Was ist Funktionstrennung (Segregation of Duties)?
Unter Funktionstrennung, Segregation of Duties (SoD) bzw. Separation of Duties versteht man die organisatorische Anforderung, bestimmte Aufgaben nicht einer einzelnen Person anzuvertrauen, um Interessenskonflikte zu vermeiden und die unabhรคngige Kontrolle von Geschรคftsprozessen sicherzustellen.
Was ist Segregation of Duties (SoD)?
Segregation of Duties (deutsch: Funktionstrennung) ist eine Sicherheitsrichtlinie zum Schutz vor Interessenskonflikten und dem Missbrauch von Privilegien innerhalb einer Organisation. Die Einhaltung von SoD sieht vor, bestimmte unvereinbare Aufgaben nicht an eine einzelne Person zu รผbertragen. Zum Beispiel die Einreichung eines Finanzberichts und dessen Kontrolle.
Segregation of Duties stellt sicher, dass Ablรคufe in einem Unternehmen durch mindestens eine weitere Person kontrolliert werden (Vier-Augen-Prinzip). Die Trennung von operativen Aufgaben und Kontrollfunktionen ist entscheidend, um betrรผgerisches und risikoreiches Verhalten zu verhindern. Besonders wichtig ist dies in Bereichen, die mit Finanzen und Auftragsdaten arbeiten.
Mรถgliche Probleme, die sich ohne die Einhaltung von SoD ergeben kรถnnen, sind z.B. HR-Mitarbeiter, die ihr eigenes Gehalt anpassen kรถnnen, oder Angestellte im Einkauf, die betrรผgerische Bestellungen tรคtigen und vertuschen (etwa um sich durch einen Kickback des Lieferanten zu bereichern). Gemeinsam mit Richtlinien gegen Beeinflussung und Geschenkannahme bildet Segregation of Duties somit einen wichtigen Baustein der Compliance in Unternehmen.
Beispiele fรผr Segregation of Duties in der Praxis:
Mitarbeiter kรถnnen Rechnungen und Spesenantrรคge nicht selbst freigeben.
Businessplรคne und Risikobewertungen werden durch unterschiedliche Personen erstellt.
รberweisungen werden durch eine weitere Person รผberprรผft.
Personaler kรถnnen keine Gehaltsstufen festlegen.
Ist Segregation of Duties verpflichtend?
Die Funktionstrennung in Unternehmen dient nicht nur dem Schutz vor Betrug, sondern ist in vielen Bereichen gesetzlich vorgegeben. Als Grundlage sauberer Geschรคftspraktiken ist die unabhรคngige Kontrolle von Finanzberichten zum Beispiel durch den SOX Act geregelt. Von besonderer Bedeutung ist das Thema SoD fรผr die Finanzbranche, wo die Trennung von operativem Geschรคft und Risikobewertungen das Fundament fรผr erfolgreiches Risikomanagement bildet. Die entsprechenden Anforderungen sind in der Verwaltungsvorschrift MaRisk und BAIT dokumentiert.
Darรผber hinaus ist Segregation of Duties auch Bestandteil vieler IT-Sicherheitsstandards wie ISO 27001, dem BSI IT Grundschutz und dem NIST Cybersecurity Framework. Durch die Trennung kritischer Funktionen soll gemeinsam mit dem Least Privilege Prinzip verhindert werden, dass ein Angreifer durch die รbernahme eines einzelnen Kontos zu viel Kontrolle รผber das Netzwerk erlangt.
Identitรคts- & Rechtemanagement in den Bankaufsichtlichen Anforderungen an die IT (BAIT)
Finden Sie heraus, wie tenfold Sie bei der Umsetzung von BAIT im Bereich Identity und Access Management unterstรผtzen kann.
Segregation of Duties umsetzen
Zur Einhaltung von SoD in der Praxis, mรผssen Unternehmen sicherstellen, dass Aufgaben, die im Konflikt zueinander stehen, nicht ein und derselben Person รผbertragen werden. Funktionen, die grundsรคtzlich fรผr Missbrauch anfรคllig sind (z.B. รberweisungen), mรผssen durch eine Kontrollinstanz abgesichert werden. Als grundlegende Anforderung mรผssen Organisationen dazu wissen:
welche Benutzerkonten es innerhalb der Organisation gibt
รผber welche IT-Berechtigungen diese verfรผgen
und welche IT-Rechte unvereinbar mit anderen Privilegien sind.
SoD und IAM
Der einfachste Weg, Segregation of Duties auf IT-Ebene umzusetzen liegt darin, ein Berechtigungskonzept zu erstellen, welches auf den Geschรคftsrollen innerhalb der Organisation aufbaut und mithilfe von Role-Based Access Control automatisch implementiert wird. Dazu benรถtigen Unternehmen Unterstรผtzung in Form einer IAM-Software, die die Vergabe und Anpassung von IT-Privilegien automatisiert und dadurch sicherstellt, dass Mitarbeiter zu jeder Zeit nur genau รผber die Rechte verfรผgen, die sie fรผr die Erfรผllung ihrer Aufgaben benรถtigen.
Als zentrale Plattform fรผr Identity Access Management verhindert tenfold nicht nur Sicherheitslรผcken durch verwaiste Konten und die Ansammlung nicht benรถtigter Rechte โ Fachleute sprechen von Privilege Creep โ sondern sorgt auch fรผr die vollstรคndige Dokumentation aller Anpassungen. รber unser Berechtigungsreporting lรคsst sich jederzeit nachvollziehen, welche Personen Zugriff auf welche Daten haben oder in der Vergangenheit hatten. So schรผtzen Sie sensible Informationen und bestehen Compliance-Audits problemlos.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.