Whistleblower

Eine strukturierte Dokumentation Ihrer Berechtigungen in Microsoft Dynamics 365 Business Central ist ein wichtiger Baustein Ihrer Sicherheit. Schützen Sie Ihre Assets und erfüllen Sie Compliance-Anforderungen. Helfen Sie dolose Handlungen zu verhindern und stärken Sie Ihre Resilienz. Das Berechtigungskonzept ist ein Kernelement der Informationssicherheit. Ein klares Konzept ermöglicht Regelungen für eine angemessene Benutzer- und Berechtigungsverwaltung. Das Berechtigungskonzept umfasst Aspekte wie:

  • Systemarchitektur
  • Rollennamen
  • Verantwortlichkeiten
  • Umgang mit kritischen Berechtigungen

Fehlende oder unzureichende Berechtigungskonzepte oder nachlässige Einführungsprojekte führen häufig zu Schwachstellen ERP Systemen. Das führt im schlimmsten Fall zu

  • Zeit-, Ressourcen- und kostenintensiven Re-Designs der Berechtigungskonzepte
  • Reputationsschäden

Verhindern Sie unberechtigten oder unbemerkten Zugang zu kritischen Daten und Informationen.

Wir bieten Ihnen für diesen Sicherheitsbaustein eine effiziente Möglichkeit, Kontrollverlust zu vermeiden und Ihre Assets zu schützen. Die Resilienz wird erhöht und Sie begegnen Dokumentation- und Compliance-Anforderungen.

In wenigen Stunden erhalten Sie eine kompakte Übersicht der Berechtigungen Ihrer Benutzer in Microsoft Dynamics 365 Business Central. Dies gilt für die Cloud oder die On-premise Installation.

Die Anforderungsliste für Dokumentation oder Analyse „INPUT“.

Folgende Informationen werden für die Dokumente oder Analyse Ihrer Berechtigungen erhoben (soweit vorhanden).

  • Ansprechpartner (technisch, organisatorisch)
  • Cloud oder On-premise Installation
  • Eingesetzte Business Central Module
  • Eingesetzte Partnerlösungen
  • Vorhandenes Berechtigungskonzept
  • Organisationsdiagramm
  • Anzahl der Nutzer (ggf. Zuordnung von Lizenzen)
  • Anzahl der Nutzer mit Berechtigungssatz SUPER
  • Branche und relevante Compliance Anforderungen
  • Weitere Informationen

Die Analyse „VERARBEITUNG“

Im nächsten Schritt analysieren wir mit Ihnen eine Auswahl kritischer Berechtigungen. Beispiel:

  • Wer kann die „Änderungsprotokollierung“ ein- und ausschalten.

In wenigen Stunden erstellen wir Zuordnungen Ihrer Benutzer zu kritischen Systemberechtigungen. Über ein Regelwerk berücksichtigen wir dabei Berechtigungssätze, Berechtigungs­ob­jekte und Berech­ti­gun­gen (bearbeiten, ein­fügen, löschen). Wir schaffen Transparenz, die das Standardsystem so nicht übersichtlich anbietet.

Unser Bericht „OUTPUT“

Das Ergebnis dient dem Einstieg in die Analyse der Systemsicherheit und dem Schutz vor internen oder externen Angreifern.

BEST PRACTICE REGELWERK

Mit Hilfe eines Regelwerkes kritischer Aktivitäten erstellen wir innerhalb weniger Stunden detaillierte Zuordnungen von Berechtigungssätzen, Berechtigungs­ob­jekten und Berech­ti­gun­gen (lesen, bearbeiten, ein­fügen, löschen) zu Benutzern, die in Microsoft Dynamics 365 Business Central nicht unmittelbar verfügbar sind.

Gemeinsam mit unserem Ansprechpartner führen wir die Analyse durch und besprechen Schritt für Schritt unsere Ergebnisse.

Ihr Einführungspreis beträgt EUR 1.250,- netto / Tag.

Angemessene System­be­rech­ti­gungen unterstützen Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität sowie die Unveränderlichkeit von Daten nach HGB, AO und GoDB.

Das BSI (Bundesamt für Sicherheit in der Informations­technologie) fordert die Einschränkung des Zugangs zu schützens­werten Ressourcen auf berechtigte Benutzer und berechtigte IT-Komponenten.

MS Dynamics 365 Business Central ist von entscheidender Bedeutung für die Unterstützung der Geschäftsprozesse eines Unternehmens. Dazu gehören:

  • Finanzwesen
  • Finanzplanung
  • Bestandsverwaltung
  • Fertigung
  • Logistik
  • Vertrieb
  • Gehaltsabrechnung

Das System hostet sensible Daten. Dazu gehören:

  • Finanzergebnisse
  • Ferti­gungs­formeln
  • Preisstrategien
  • wichtigen geistigen Eigen­­tums
  • personenbezogene Daten von Mitarb­eitenden, Lieferanten und Kunden

Für ERP-Systeme kann die Verant­wortung für die Benutzer­verwaltung und das Berechtigungs­management nicht an Microsoft übertragen werden. Auch nicht über die Nutzung von Cloud Services. 

Gesetzliche Vorgaben wie §43 GmbHG oder §§ 93, 116 AktG z.B. i.V.m. §130 OWiG zur Haftung des Geschäfts­führers / Vorstandes / Aufsichtsrates erfordern die „Sorgfalt eines ordentlichen Geschäftsmannes“. 

Weitere Haftungssachverhalte ergeben sich u.a. aus aufsichtsrechtlichen und gesetzlichen Maßgaben wie NIS2, DORA, DSGVO, BDSG, HGB, KWG, VAG, WpHG, GxP, AO, BGB, StGB, GoBD, EU-Verordnungen und Richtlinien.

  • Präventive Vermeidung kritischer Berechtigungen (Need-to-know Prinzip)
  • Vermeidung unangemessener Kombinationen von Berechtigungen (SOD)
  • Vermeidung von Zugriff auf sensible Infor­mationen
  • Berücksichtigung von Gesetzen und Vorschriften
  • Einführung kompen­sierender Kontrollen (IKS)

Wir identifizieren kritische Schwachstellen mit technischen Analysen und langjähriger Erfahrung aus Prüfung und Beratung. 

Wir unterstützen bei der Implementierung nachgelagerter Kontrollen, beispielsweise der Einrichtung und Überprüfung von Änderungsprotokollen.

  • Vermeidung persönlicher Haftung der Geschäfts­führung / des Vorstandes 
  • Beitrag zum Schutz der Assets
  • Steigerung der Resilienz
  • Steigerung der Transparenz und Unterstützung von Prüf­pro­zessen
  • Unterstützung des IKS-Systemdesigns
  • Senkung der Prüfungsgebühren durch potentiell abnehmenden Stich­proben­umfang
  • Abwehr interner und externer Angreifer, die sich unerlaubtem Zugriff zu Benutzerkennungen mit weit­reichenden Rechten ver­schaffen können und diesen Zugriff missbrauchen 
  • Risikominimierung bezüglich des Verkaufes oder der Verschlüsselung sensibler Informationen / Daten

Die Compliance-net GmbH wurde vor 15 Jahren von er­fah­renen Beratern aus der Wirtschaftsprüfung gegründet.

Wir bieten Ihnen pragmatische Lösungen, welche die Erfahrungen unserer langjährigen Tätigkeit aus vielen Projekten widerspiegeln. Unsere Spezialisten kom­bi­nieren fachliches Know-how mit Technologie, um Ihre Zielvorgaben sicher zu erreichen. 

Unser umfassendes Netzwerk von Experten ermöglicht uns darüber hinaus die Umsetzung großer und hoch­gradig spezialisierter Projekte.