Analyse und Erarbeitung der sicherheitstechnischen Parameter des betrieblichen Datenschutzes innerhalb des ERP-Systems


Hausarbeit, 2016

23 Seiten, Note: 1,0

Anonym


Leseprobe

Inhaltsverzeichnis

1 Einleitung
1.1 Motivation und Zielsetzung
1.2 Methodische Vorgehensweise und Aufbau der Arbeit

2 Grundlagen
2.1 Kurzportrait XY GmbH
2.2 Definition Datenschutz
2.3 Definition ERP-System
2.4 Schutzwürdige und besonders schutzwürdige Daten
2.5 Zusammenwirken von IT-Sicherheit, Datensicherheit und Datenschutz
2.6 Grundsätze des betrieblichen Datenschutzes im ERP-Gesamtsystem

3 Ist-Analyse des betrieblichen Datenschutzes im ERP-System
3.1 Checkliste der technischen Sicherheits- und Schutzanforderungen
3.2 Einflussfaktoren der technischen Implementierung
3.3 Einflussfaktoren der technischen Anwendung

4 Soll-Konzeptualisierung des betrieblichen Datenschutzes imERP-System
4.1 Identifizierung und Autorisierung
4.2 Zugriffsrechte und Werteinschränkungen
4.3 Berechtigungskonzept und Rollenverteilung
4.4 Sicherheitstechnische Parameter
4.5 Qualitätssicherung und Wartung

5 Schlussbetrachtung
5.1 Zusammenfassung und Schlussfolgerungen
5.2 Ausblick

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Zusammenwirken von Datenschutz, IT-Sicherheit und Datensicherheit.

Abbildung 2: Checkliste der Anforderungen nach § 9 BDSG

Abbildung 3: Verhältnis von Rollen, Profilen und Berechtigungen.

Abbildung 4: Mehrstufiges Berechtigungskonzept mit Werteinschränkungen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Motivation und Zielsetzung

Die Herausforderung, das stetig steigende Datenaufkommen und die Digitalisierung von Informationen zu bewältigen, ist für den nachhaltigen Erfolg eines jeden Unternehmens relevant. Die Ausweitung von Märkten und die dadurch höhere Anzahl von konkurrierenden Unternehmen verlangt einen effizienten Einsatz von Ressourcen, um im Wettbewerb bestehen zu können.

Um dieses zu ermöglichen, setzen Unternehmen vermehrt komplexe computergestützte Systeme aus Soft- und Hardware ein. Ein solches System zur effizienten Ressourcenverwaltung und Steuerung des Informationsaufkommens basiert auf einer einheitlichen Datenbasis als Unterstützung für alle wesentlichen strategischen und operativen Funktionen.[1]

Die in dieses ERP-System eingespeisten Daten werden intern und über Unternehmensgrenzen hinaus geteilt, um an der entsprechenden Stelle einen optimalen Wertschöpfungsprozess zu ermöglichen. Insbesondere bei mehreren Akteuren, wie z.B. in einer Supply Chain, ist eine effiziente Vernetzung erforderlich, um einen optimalen Informations- und Ressourceneinsatz innerhalb der Wertschöpfungskette sicherzustellen.[2]

Die dabei im Umlauf befindlichen Daten enthalten sensible Informationen, die bei unzulässigem Gebrauch einen Schaden am Unternehmen verursachen können. Diese sind daher vor dem Zugriff unberechtigter Dritter zu schützen.

Die Herausforderung, aktuelle Bestimmungen und Gesetze des Datenschutzes betriebsintern umzusetzen, ist für den nachhaltigen Erfolg eines jeden Unternehmens relevant. Haftet dieses im Fall eines Verstoßes, so drohen Strafzahlungen, die sich aufgrund ihrer Höhe insbesondere für KMU existenzbedrohend auswirken können.[3]

Vor allem in Branchen, die eine hohe Dichte von sensiblen Daten aufweisen, ist die Thematik Datenschutz relevant. Dienstleister, die sich beispielsweise auf die Beratung von Unternehmen in steuerlichen, rechtlichen und ökonomischen Fragestellungen spezialisiert haben, sind besonders betroffen. Das hohe Aufkommen schutzwürdiger Daten von Dritten, steht neben dem Schutz unternehmenseigener Daten im Fokus.

Die steigende Komplexität und Funktionsweise erfordern eine ständige Weiterentwicklung der Anwender und des Systems, so dass der Schutz bestimmter Daten gewährleistet werden kann.[4] Daher zielt die vorliegende Ausarbeitung darauf ab, die sicherheitstechnischen Parameter des betrieblichen Datenschutzes innerhalb des ERP-Systems aufzuzeigen, die durch die anwenderbezogenen Maßnahmen einen ganzheitlichen Schutz von schutzwürdigen Daten ermöglichen. Aus dieser Zielsetzung lässt sich folgende Forschungsfrage ableiten: Welche konkreten Funktionen eines ERP-Systems stellen die Einhaltung des betrieblichen Datenschutzes sicher und wie sind diese durch den Nutzer anzuwenden?

1.2 Methodische Vorgehensweise und Aufbau der Arbeit

Zu Beginn der Arbeit erfolgt eine Kurzvorstellung des Beispielunternehmens XY GmbH. Zur Heranführung an die Thematik werden eine Definition von ERP-System und eine von Datenschutz gegeben. Darauf aufbauend wird herausgearbeitet, welche Daten schutzwürdig sind und die hierzu wesentlichen Grundsätze zur betrieblichen Datenerhebung aufgezeigt. Eine Abgrenzung zwischen Datenschutz und Datensicherheit in Verbindung mit dem Einfluss des BDSG hierauf wird als Grundlage gegeben.

Im Praxisteil wird die Ausgestaltung der Systemumsetzung des ERP-Systems bezüglich der Datenschutzanforderungen beschrieben. Dabei zeigt eine Analyse die aktuelle Umsetzung als Ist-Situation im Beispielunternehmen. Hierbei werden die Schwachstellen aufgezeigt und analysiert. Mit Bezug auf die Forschungsfrage sowie die Schwachstellenanalyse werden konkrete Funktionen des ERP-Systems und die Anwendung durch den Nutzer dargestellt, die die Soll-Konzeptualisierung aufzeigen. Abschließend wird eine Zusammenfassung der Thematik mit einem Fazit und einem Ausblick gegeben.

2 Grundlagen

2.1 Kurzportrait XY GmbH

Die XY GmbH ist ein mittelständisches Dienstleistungsunternehmen, welches sich auf die Beratung von Unternehmen und vermögenden Privatpersonen in wirtschaftlichen und rechtlichen Fragen spezialisiert hat. Für die spezifischen Tätigkeitsschwerpunkte wurden entsprechende Gesellschaften gegründet, welche der XY Gruppe als Dachgesellschaft unterstehen.

2.2 Definition Datenschutz

„Datenschutz (engl.: data privacy, protection of date privacy) beinhaltet die Gesamtheit der gesetzlichen und betrieblichen Maßnahmen zum Schutz der Rechte von Personen vor Verletzung der Vertraulichkeit und zur Sicherheit des Informationshaushalts.“[5]

Der Einzelne soll davor geschützt werden, dass er durch den missbräuchlichen Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.[6] Das Recht auf informationelle Selbstbestimmung, nach dem jeder Bürger grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen darf, ist als Grundlage des Datenschutzes zu sehen.[7]

2.3 Definition ERP-System

„Enterprise Resource Planning (ERP) oder auch betriebliche Anwendungssoftware bezeichnet individualisierte oder standardisierte Softwarelösungen zur Modellierung und Steuerung von betrieblichen Prozessen.

Ein ERP-System umfasst somit die Verwaltung aller zur Durchführung der Geschäftsprozesse notwendigen Informationen über die Ressourcen Material, Personal, Kapazitäten (Maschinen, Handarbeitsplätze etc.), Finanzen und Informationen.“[8]

Es werden alle für die Geschäftstätigkeit des Unternehmens notwendigen Ressourcen miteinbezogen (Integration).[9] Die Integration und logische Zusammenführung der Daten geschieht in der einheitlichen Datenbasis.[10] Die Anpassung des ERP-Systems an das Unternehmen erfolgt dabei durch die Einstellung von Parametern der Software und wird als Parametrisierung bezeichnet.[11]

2.4 Schutzwürdige und besonders schutzwürdige Daten

Die Bestimmung und Differenzierung schutzwürdiger und besonders schutzwürdiger Daten ist dem Bundesdatenschutzgesetz zu entnehmen. So sind personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“[12] (Betroffener) definiert. Als Beispiel für Angaben zur Person sind u.a. Alter, Geschlecht, Familienstand, Einkommen und finanzielle Verhältnisse zu nennen.

Die genaue Bestimmung besonders schutzwürdiger Daten oder auch besonderer Arten personenbezogener Daten sind „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“[13]

2.5 Zusammenwirken von IT-Sicherheit, Datensicherheit und Datenschutz

Um einen wirkungsvollen Schutz von analogen und digitalen Daten innerhalb des Unternehmens sicherzustellen, sind Maßnahmen zur Datensicherheit konsequent anzuwenden. Diese sollten die Vollständigkeit und Korrektheit der Unternehmensdaten sicherstellen sowie Datenverlust, Diebstahl, unerlaubte Einsichtnahme und Datenverfälschung vorbeugen. Weiterhin befasst sich die Datensicherheit mit der Sicherung des unternehmensbezogenen IT-Gesamtsystems.[14]

Die Maßnahmen der Datensicherung beziehen sich auf die Gesamtheit der Unternehmensdaten. Spezifisch für den Schutz der personenbezogenen Daten stellt daher der Datenschutz gesonderte Anforderungen an die Datensicherheit. Diese Anforderungen betreffen die Speicherung, Übermittlung, Veränderung und Löschung der sensiblen, personenbezogenen Daten, um Beeinträchtigungen im Persönlichkeitsrecht des Betroffenen auszuschließen. Datenschutz geht dabei stets einher mit Maßnahmen, die zur Sicherung der Datenbestände und Software beitragen.[15]

Neben Länderschutzgesetzen und Richtlinien zum Umgang mit sensiblen Daten gelten insbesondere die im Bundesdatenschutzgesetz festgelegten Vorgaben. Demnach sind Stellen, die nach § 9 BDSG personenbezogene Daten erheben, verarbeiten oder nutzen, durch technische und organisatorische Maßnahmen zu dessen Sicherheit und Schutz verpflichtet.[16] Diese unternehmensbezogenen Maßnahmen liegen verstärkt im Schnittbereich von Datenschutz und IT-Sicherheit sowie der gesamten Datensicherheit und verdeutlichen die Untrennbarkeit im Bezug auf effektiven Datenschutz, wie Abbildung 1 veranschaulicht.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Zusammenwirken von Datenschutz, IT-Sicherheit und Datensicherheit.[17]

2.6 Grundsätze des betrieblichen Datenschutzes im ERP-Gesamtsystem

Die grundsätzlichen Bestimmungen und Anforderungen an den betrieblichen Datenschutz bei Verarbeitung in komplexen Systemen und Programmen lassen sich vorrangig aus dem Bundesdatenschutzgesetz ableiten, das den Umgang mit schutzwürdigen Daten behandelt. Dabei sind im Besonderen die technischen und organisatorischen Maßnahmen zu betrachten, da diese die sicherheits-technischen Parameter zur digitalen Datenverarbeitung beinhalten.[18]

Die Parameter erstrecken sich dabei auf das Gesamtsystem, also sowohl Komponenten der Hard- als auch der Software. Der Zutritt zur Hardware sowie der Zugang zur Software sind daher so einzurichten, dass diese nur berechtigten Personen gewährt werden.[19]

Die Kontrolle des Zugriffs auf Daten umfasst das Erheben von Daten und der Datenbeschaffung (§ 3 Abs. 3 BDSG), weiterhin die Vorgänge des Speicherns, Veränderns und Übermittelns der Datenverarbeitung (§ 3 Abs. 4 BDSG).[20]

Die Datenerhebung, -verarbeitung und -nutzung ist jedoch nur mit der Einwilligung des Betroffenen oder nach Gesetz zulässig[21], die Erhebung ist direkt bei dem Betroffenen durchzuführen.[22] Die Einhaltung dieser Bestimmung kann durch Parameter im Bereich der Eingabekontrolle durch Protokollierung und Autorisierung des Anwenders erreicht werden.[23]

Die Auftragskontrolle gewährleistet, dass die Datenerhebung, -verarbeitung und -nutzung nur im Auftrag der verantwortlichen Stelle geschieht.[24] Ein Auskunftsrecht hat der Betroffene über die gespeicherten Daten sowie das Recht zur Berichtigung bei unrichtiger Erhebung und Speicherung.[25] Um dies gewährleisten zu können, ist die Verfügbarkeitskontrolle systematisch einzurichten.

Der Zweck der Datenerhebung und -speicherung muss durch einen bestimmbaren Grund definiert werden.[26] Dies bedeutet, dass Daten unterschiedlicher Erhebungszwecke durch eine Ordner- und Speicherstruktur voneinander zu trennen sind. Dies trägt weiterhin zur Datensparsamkeit und -vermeidung bei, so dass Redundanzen vermieden werden können. Personenbezogene Daten sind nach Möglichkeit zu anonymisieren und pseudonymisieren, um den Schutz dieser vor Dritten zu erhöhen.[27]

Die regelmäßige Qualitätssicherung und Wartung des komplexen Gesamtsystems ist ein weiterer Teil des ganzheitlichen Datenschutzes. Die Gestaltung und Durchführung von Maßnahmen erfordert daher entsprechende Kompetenzen, wie sie ein ausgebildeter Datenschützer aufweist.[28]

3 Ist-Analyse des betrieblichen Datenschutzes im ERP-System

3.1 Checkliste der technischen Sicherheits- und Schutzanforderungen

Zur Durchführung einer strukturierten Analyse der Ist-Situation von technischen Parametern im Bezug auf den betrieblichen Datenschutz eignet sich das Instrument einer Checkliste. Die Vorgaben leiten sich vorrangig aus dem § 9 des BDSG ab.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Checkliste der Anforderungen nach § 9 BDSG.[29]

3.2 Einflussfaktoren der technischen Implementierung

Die XY GmbH bietet ein breites Spektrum an Leistungen in den Bereichen rechtlicher, ökonomischer und steuerlicher Beratung an. Oftmals durchlaufen sensible und personenbezogene Daten gleich mehrere dieser Bereiche, da seitens des Unternehmens eine ganzheitliche Beratung der Mandanten angestrebt wird. Die technische Verarbeitung erfolgt dabei anlassbezogen durch verschiedene Systeme und Programme.

Die Zugangskontrolle zu Hardware-Komponenten des ERP-Systems Datev wird durch Maßnahmen wie einen verschließbaren Raum für Datenspeicher sowie verschließbare Büroräume geleistet. Der Empfangsbereich ist zu Bürozeiten durch einen Mitarbeiter besetzt und gewährleistet, dass Besucher nur in festgelegten Räumen einen Zutritt haben. Außerhalb der Bürozeiten schützt ein Alarm die Räume sowie die Daten.

Die Zugangskontrolle zu Software-Komponenten ist durch eine Benutzerkennung mit Passwort, einer Firewall und einer zertifikatsbasierte Zugangsberechtigung eingerichtet. Ein gibt einen universellen Gast-Zugang, dessen Passwort und zertifikatsbasierte Zugangskarte mehreren Mitarbeitern zur Verfügung steht und vollen Zugang zu schutzwürdigen Daten ermöglicht. Eine Zugriffskontrolle ist in diesem Zugang ebenfalls nicht möglich.

Die mitarbeiterbezogenen Zugänge haben eine individuelle Benutzerkennung, ein Passwort und eine zertifikatsbasierte Zugangskarte. Hierdurch wird eine Zugangskontrolle gewährleistet. Die Zugriffskontrolle weist jedoch Schwachstellen auf, da weder ein Berechtigungskonzept, noch eine Rollenverteilung, gesicherte Schnittstellen sowie eine Datenträgerverwaltung eingerichtet sind.

Die Eingabekontrolle ist durch die Protokollierung der Handlungen des identifizierten Nutzers im System gegeben. Die Auftragskontrolle ist systematisch eingerichtet und durch den Mandanten bestätigt. Die Weitergabekontrolle wird durch die Verschlüsselung von Datensätzen, das Fax-Protokoll jedoch nicht durch eine digitale Protokollierung im System sichergestellt und zeigt daher eine weitere Schwachstelle.

Das Trennungsgebot nach Zweckmäßigkeit von Datensätzen in Ordner- und Speicherstruktur sowie eine Verfügbarkeitskontrolle definieren weitere Schwachstellen im Datenschutz, da diese Parameter nicht durch das System vorgegeben werden. Zudem erfolgt eine Qualitätssicherung und Wartung nur in unregelmäßigen Abständen und schwächt damit den Schutz und die Sicherheit der Daten.

Neben dem ERP-System Datev werden noch weitere Programme wie MS-Office und Lotus Notes verwendet, in denen schutzwürdige Daten verarbeitet werden. Zudem sind diese Datensätze nicht in die gemeinsame Datenbasis integriert. Diese Umgehung des systeminternen ERP-Datenschutzkonzeptes schwächt den betrieblichen Datenschutz, da die Daten weder durch eine Zugangs-, Zugriffs-, Eingabe- sowie Weitergabekontrolle geschützt sind und eine Verfügbarkeitskontrolle nicht ermöglichen.

3.3 Einflussfaktoren der technischen Anwendung

Die technische Anwendung des Datenschutzes erfolgt durch die Mitarbeiter des Beispielunternehmens, welche personenbezogene Daten im Bereich der üblichen Tätigkeit ihrer Stelle erheben, verarbeiten und speichern. Ferner ist eine betriebliche Datenschützerin bestimmt, welche die Umsetzung der Maßnahmen zum betrieblichen Datenschutz begleitet.

Die Maßnahmen zur technischen Umsetzung, die insbesondere die Implementierung sicherheitstechnischer Parameter im ERP-System betreffen, werden durch einen externen IT-Dienstleister umgesetzt. Da die Kompetenzen zwischen Datenschützerin und externem IT-Dienstleister nicht exakt definiert sind und eine Abstimmung erschweren, kann hier eine Schwachstelle im Datenschutz identifiziert werden.

Für den Umgang der Mitarbeiter mit betrieblichen Informationen und Datensätzen gibt es neben der Verschwiegenheitserklärung keine formalen Leitsätze. Allgemeine Maßnahmen zum Datenschutz werden zwar zu Beginn des Beschäftigungsverhältnisses dem Mitarbeiter mitgeteilt, dieser wird jedoch seitens des Unternehmens nicht zur Umsetzung verpflichtet. Das Verhalten der Mitarbeiter und die fehlende Kontrolle definieren somit weitere Schwachstellen.

Eine Schulung der Mitarbeiter im Umgang mit sensiblen Daten in spezifischen Programmen wie Elster, Datev oder Lotus Notes ist bisher nicht durchgeführt worden, so dass technische Parameter nicht adäquat genutzt werden.

[...]


[1] Vgl. Konradin Business GmbH (Hrsg.), 2011, S. 10f.

[2] Vgl. Kurbel, K., Enterprise Resource Planning and Supply Chain Management, Heidelberg 2013, S. 94.

[3] Vgl. DPN Datenschutz GmbH & Co. KG (Hrsg.), 2013, S. 11.

[4] Vgl. Abels & Kemmner Gesellschaft für Unternehmensberatung (Hrsg.), 2009, S. 1.

[5] Hansen, H./ Neumann, G., Wirtschaftsinformatik 1, Stuttgart 2009, S. 193.

[6] Vgl. Bundesamt für Sicherheit und Informationstechnik (Hrsg.), 2013, Abschnitt 4.

[7] Siehe Art. 2 Abs. 1 i.V.m. Art 1 Abs. 1 GG.

[8] Gronau, N., Enterprise Resource Planning, München 2010, S. 4.

[9] Vgl. Kurbel, K., Enterprise Resource Planning, München 2011, S. 227.

[10] Vgl. Gronau, N., Enterprise Resource Planning, München 2010, S. 7.

[11] Vgl. Leitning, A., Unternehmensziel ERP-Einführung, Wiesbaden 2012, S. 165.

[12] Siehe § 3 Abs. 1 BDSG.

[13] Siehe § 3 Abs. 9 BDSG.

[14] Vgl. Schwarzer, B./ Krcmar, H., Wirtschaftsinformatik, Stuttgart 2010, S. 288.

[15] Vgl. Hansen, H./ Neumann, G., Wirtschaftsinformatik 1, Stuttgart 2009, S.193.

[16] Vgl. Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hrsg.), 2014.

[17] Eigene Darstellung.

[18] Siehe § 4f BDSG.

[19] Vgl. Leitning, A., Unternehmensziel ERP-Einführung, Wiesbaden 2012, S. 172.

[20] Vgl. Deutlmoser, R./ Filip, A., Europäischer Datenschutz und US-amerikanische (e-)Discovery-Pflichten, München 2012, S. 5.

[21] Siehe § 4 Abs. 1 BDSG.

[22] Siehe § 4 Abs. 2 BDSG.

[23] Vgl. Leitning, A., Unternehmensziel ERP-Einführung, Wiesbaden 2012, S. 165.

[24] Siehe § 11 BDSG.

[25] Siehe § 20; 35 BDSG.

[26] Siehe § 3a BDSG.

[27] Siehe § 3a BDSG.

[28] Vgl. Jung, H., Personalwirtschaft, München 2011, S. 820.

[29] Eigene Darstellung.

Ende der Leseprobe aus 23 Seiten

Details

Titel
Analyse und Erarbeitung der sicherheitstechnischen Parameter des betrieblichen Datenschutzes innerhalb des ERP-Systems
Veranstaltung
Informationssysteme und quantitative Methoden
Note
1,0
Jahr
2016
Seiten
23
Katalognummer
V338708
ISBN (eBook)
9783668285149
ISBN (Buch)
9783668285156
Dateigröße
588 KB
Sprache
Deutsch
Schlagworte
Datenschutz, ERP-System, Informationsmanagement
Arbeit zitieren
Anonym, 2016, Analyse und Erarbeitung der sicherheitstechnischen Parameter des betrieblichen Datenschutzes innerhalb des ERP-Systems, München, GRIN Verlag, https://www.grin.com/document/338708

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Analyse und Erarbeitung der sicherheitstechnischen Parameter des betrieblichen Datenschutzes innerhalb des ERP-Systems



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden