Home Blog Wiki

Was ist Funktionstrennung (Segregation of Duties)?

Joe Kรถller · 20.04.2023

Unter Funktionstrennung, Segregation of Duties (SoD) bzw. Separation of Duties versteht man die organisatorische Anforderung, bestimmte Aufgaben nicht einer einzelnen Person anzuvertrauen, um Interessenskonflikte zu vermeiden und die unabhรคngige Kontrolle von Geschรคftsprozessen sicherzustellen.

Funktionstrennung mit tenfold umsetzen: So funktionierts

Was ist Segregation of Duties (SoD)?

Segregation of Duties (deutsch: Funktionstrennung) ist eine Sicherheitsrichtlinie zum Schutz vor Interessenskonflikten und dem Missbrauch von Privilegien innerhalb einer Organisation. Die Einhaltung von SoD sieht vor, bestimmte unvereinbare Aufgaben nicht an eine einzelne Person zu รผbertragen. Zum Beispiel die Einreichung eines Finanzberichts und dessen Kontrolle.

Segregation of Duties stellt sicher, dass Ablรคufe in einem Unternehmen durch mindestens eine weitere Person kontrolliert werden (Vier-Augen-Prinzip). Die Trennung von operativen Aufgaben und Kontrollfunktionen ist entscheidend, um betrรผgerisches und risikoreiches Verhalten zu verhindern. Besonders wichtig ist dies in Bereichen, die mit Finanzen und Auftragsdaten arbeiten.

Mรถgliche Probleme, die sich ohne die Einhaltung von SoD ergeben kรถnnen, sind z.B. HR-Mitarbeiter, die ihr eigenes Gehalt anpassen kรถnnen, oder Angestellte im Einkauf, die betrรผgerische Bestellungen tรคtigen und vertuschen (etwa um sich durch einen Kickback des Lieferanten zu bereichern). Gemeinsam mit Richtlinien gegen Beeinflussung und Geschenkannahme bildet Segregation of Duties somit einen wichtigen Baustein der Compliance in Unternehmen.

Beispiele fรผr Segregation of Duties in der Praxis:

  • Mitarbeiter kรถnnen Rechnungen und Spesenantrรคge nicht selbst freigeben.

  • Businessplรคne und Risikobewertungen werden durch unterschiedliche Personen erstellt.

  • รœberweisungen werden durch eine weitere Person รผberprรผft.

  • Personaler kรถnnen die eigene Gehaltsstufe nicht bearbeiten.

Ist Segregation of Duties verpflichtend?

Die Funktionstrennung in Unternehmen dient nicht nur dem Schutz vor Betrug, sondern ist in vielen Bereichen gesetzlich vorgegeben. Als Grundlage sauberer Geschรคftspraktiken ist die unabhรคngige Kontrolle von Finanzberichten zum Beispiel durch den SOX Act geregelt. Von besonderer Bedeutung ist das Thema SoD fรผr die Finanzbranche, wo die Trennung von operativem Geschรคft und Risikobewertungen das Fundament fรผr erfolgreiches Risikomanagement bildet. Die entsprechenden Anforderungen sind in der Verwaltungsvorschrift MaRisk und BAIT dokumentiert.

Darรผber hinaus ist Segregation of Duties auch Bestandteil vieler IT-Sicherheitsstandards wie ISO 27001, dem BSI IT Grundschutz und dem NIST Cybersecurity Framework. Durch die Trennung kritischer Funktionen soll gemeinsam mit dem Least Privilege Prinzip verhindert werden, dass ein Angreifer durch die รœbernahme eines einzelnen Kontos zu viel Kontrolle รผber das Netzwerk erlangt.

Dokumenten-Muster

Berechtigungskonzept-Vorlage: Gratis Download

Segregation of Duties umsetzen

Zur Einhaltung von SoD in der Praxis, mรผssen Unternehmen sicherstellen, dass Aufgaben, die im Konflikt zueinander stehen, nicht ein und derselben Person รผbertragen werden. Funktionen, die grundsรคtzlich fรผr Missbrauch anfรคllig sind (z.B. รœberweisungen), mรผssen durch eine Kontrollinstanz abgesichert werden. Als grundlegende Anforderung mรผssen Organisationen dazu wissen:

  • 1

    welche Benutzerkonten es innerhalb der Organisation gibt

  • 2

    รผber welche IT-Berechtigungen diese verfรผgen

  • 3

    und welche IT-Rechte unvereinbar mit anderen Privilegien sind.

Segregation of Duties: Regeln und Konsequenzen

Die Durchsetzung der Funktionstrennung erfolgt in der Praxis durch sogenannte SoD-Regeln. In einer SoD-Regel wird dabei dokumentiert, welche Berechtigungen in Konflikt zueinander stehen und wie dieser Konflikt aufgelรถst wird.

Der einfachste Weg auf einen Konflikt zu reagieren, liegt darin, die Vergabe auszuschlieรŸen. Organisationen kรถnnen jedoch auch andere Konsequenzen fรผr VerstรถรŸe festlegen, etwa die erforderliche Freigabe durch einen Vorgesetzten. Flexible Regeln und Konsequenzen helfen dabei, auch bei personellen Engpรคssen den Spagat zwischen Sicherheit und reibungslosem Arbeiten zu meistern.

Beispiel: Eine bestimmte Geschรคftsanwendung wird von genau zwei Personen im Unternehmen betreut. Im Normalfall teilen diese operative Aufgaben und Kontroll-Aufgaben untereinander auf. Doch was passiert, wenn einer von beiden im Urlaub ist? Optionen wie befristete Akzeptanz bei vorheriger Freigabe erlauben es, flexibel auf solche Sonderfรคlle zu reagieren.

Segregation of Duties Matrix

Eine SoD Matrix bildet visuell ab, welche Aufgaben in Konflikt zueinander stehen, indem Prozesse in der Organisation horizontal und vertikal in einer Tabelle aufgelistet werden. Sehen wir uns als Beispiel eine einfache SoD-Matrix fรผr die Beschaffung von Bรผro-Equipment an.

AufgabeAntrag einreichenAntrag freigebenBestellung anlegenBestellung freigeben
Antrag einreichen#####Hohes RisikoNiedriges RisikoNiedriges Risiko
Antrag freigebenHohes Risiko#####Niedriges RisikoNiedriges Risiko
Bestellung anlegenNiedriges RisikoNiedriges Risiko#####Hohes Risiko
Bestellung freigebenNiedriges RisikoNiedriges RisikoHohes Risiko#####

Wie man sieht, werden in dieser Matrix zwei Szenarien als riskant eingestuft: Zum einen das die gleiche Person eine Materialanforderung einreicht und freigibt, zum anderen das die gleiche Person eine Bestellung anlegt und freigibt. Andere รœberschneidungen haben ein geringeres Risiko, da sowohl der Antrag als auch die Bestellung von zwei Personen gegengecheckt wird.

tenfold Screenshot der Maske fรผr die Verwaltung von Separation of Duties Regeln.
Separation of Duties: Erstellen und verwalten Sie mit tenfold SoD-Regeln.

Segregation of Duties mit tenfold umsetzen

Um Segregation of Duties auf IT-Ebene abzubilden, braucht es neben essenziellen Anforderungen wie einem Berechtigungskonzept mit klar definierten Rollen auch wirksame SchutzmaรŸnahmen, um die Vergabe nicht vereinbarer Rechte zu verhindern โ€“ automatisch und systemรผbergreifend!

tenfold bietet dazu die Mรถglichkeit, eigene SoD-Regeln zu erstellen und zu verwalten. Dabei lรคsst sich flexibel festlegen, welche Konstellation von Rechten in Konflikt zueinander stehen und welche Konsequenzen tenfold bei einem VerstoรŸ ziehen soll. Die Mรถglichkeiten reichen hier vom Blockieren der Vergabe bis zur befristeten Akzeptanz bei Freigabe durch den Verantwortlichen. Beim Anlegen von Regeln werden auch bestehende VerstรถรŸe identifiziert und lassen sich so schnell beheben.

Mit tenfold ist es einfacher als je zuvor, die Funktionstrennung in Ihrer Organisation durchzusetzen, und das neben zahlreichen weiteren Governance-Features wie User Lifecycle Management, Freigaben per Self-Service oder regelmรครŸigen Access Reviews. รœberzeugen Sie sich selbst bei einer persรถnlichen Demo oder einem kostenlosen Test unserer Software.

Berechtigungen spielend einfach managen:
Entdecken Sie jetzt tenfold!

Verfasst von: Joe Kรถller

Joe Kรถller ist tenfoldโ€˜s Content Manager und verantwortet den IAM Blog, wo er laufend zum Thema Identity & Access Governance schreibt. Fรผr seine stets hilfreichen und verstรคndlichen Beitrรคge greift Joe auf die Expertise von tenfoldโ€™s erfahrenem IAM-Team zurรผck, um komplexe Materie einfach zu erklรคren โ€“ von praktischen Tipps zur Berechtigungsverwaltung bis zur รœbersicht von Compliance-Anforderungen.