Ein Maßnahmenkatalog für die Datensicherheit in der ERP Anwendungsentwicklung am Beispiel von SAP ERP

Der verantwortliche Umgang mit sensiblen Daten, wie z.B. personenbezogenen Daten, ist in der Praxis von gro?er Bedeutung. Die zahlreichen in der Presse genannten F?lle von Datenmissbrauch im Jahr 2008 verdeutlichen dies. Aus diesem Grund ist es erforderlich, f?r die Systeme der Datenhaltung technische und organisatorische Ma?nahmen zu implementieren, die einen Datenmissbrauch verhindern. Generell kann ein Datenmissbrauch von unternehmensinternen oder -externen Personen initiiert werden. Aktuelle F?lle von Datenmissbrauch wie die Liechtenstein-Aff?re zeigen, dass gerade von unternehmensinternen Personen oder Dritten mit vergleichbaren Zugriffsrechten (z.B. Partnerfirmen) eine nicht zu untersch?tzende Gefahr ausgeht. Vor diesem Hintergrund besch?ftigt sich dieser Beitrag mit der Fragestellung, wie Daten in Enterprise Resource Planning (ERP) Systemen vor Gefahren aus dem Inneren des Unternehmens gesch?tzt werden k?nnen. Betrachtet wird hier insbesondere die Gefahr des unberechtigten Zugriffs durch Anwendungsentwickler, die h?ufig ?ber weitreichende Zugriffsrechte verf?gen. Standards wie die IT-Grundschutz-Kataloge bieten bereits ein breites Spektrum an Ma?nahmen. In der Praxis zeigt sich aber, dass diese gerade im Kontext der ERP Anwendungsentwicklung nicht immer vollst?ndig umsetzbar sind. Typische Beispiele sind der Einsatz von Echtdaten f?r Testzwecke sowie der unbeschr?nkte Zugriff von Anwendungsentwicklern auf produktive Systeme. Ziel des Beitrags ist, einen Ma?nahmenkatalog f?r die Datensicherheit in der ERP Anwendungsentwicklung vorzuschlagen, der ein breites Spektrum an Ma?nahmen f?r diesen Kontext aufzeigt und dadurch eine Analyse und Entwicklung von Sicherheitskonzepten f?r die ERP Anwendungsentwicklung unterst?tzt. Im ersten Schritt werden hierf?r bestehende Theorien aus der Kriminologie und aus den Sozialwissenschaften identifiziert, die sich f?r die Bek?mpfung von Gefahren aus dem Inneren eignen. Aus dieser Theoriebasis werden eine Struktur f?r den Ma?nahmenkatalog sowie einzelne Ma?nahmen abgeleitet. Der Ma?nahmenkatalog integriert dar?ber hinaus alle geeigneten Ma?nahmen des IT-Grundschutz und umfasst auch eine Bewertung der praktischen Umsetzbarkeit der Ma?nahmen anhand des ERP Systems SAP ERP.