Datensicherheit ist eine Grundanforderung, die fast alle Unternehmen in ihr ERP-Lastenheft schreiben. Das fordern nicht nur interne Compliance-Vorgaben, sondern auch die Datenschutzgrundverordnung der EU (DSGVO). Allerdings handelt es sich dabei eher um ein abstraktes Kriterium. Datensicherheit muss gewährleistet sein – aber nur wenige ERP-Entscheider können genau definieren, was das in der Praxis bedeutet. Dieser Umstand führt dazu, dass Datensicherheit bei der Systemauswahl nur selten im Vordergrund steht. Stattdessen geht es um andere Faktoren, wie etwa technische Anforderungen oder die Usability.
Datensicherheit kann allerdings nicht ewig abstrakt bleiben. Sie, als ERP-Entscheider, kommen nicht darum herum, Themen wie Rechtevergabe und Zugangsschutz irgendwann zu konkretisieren. Spätestens bei der Systemimplementierung brauchen Sie ein konkretes Rollenkonzept, sonst kommt es zu Verzögerungen. Daher lohnt es sich, wenn Sie sich schon früh mit zwei Fragen beschäftigen:
- Welche Rollen gibt es im Unternehmen?
- Welche Rechte benötigt jede Rolle?
Typischen Rollen im ERP-System
Heutzutage sind die meisten Unternehmen hierarchisch organisiert. Typischerweise gibt es die Geschäftsführung, mittlere Führungsebenen (z. B. Abteilungsleiter) sowie Mitarbeiterinnen und Mitarbeiter in den jeweiligen Fachabteilungen. Diese Struktur müssen Sie natürlich auch in Ihrem ERP-System abbilden, da die Rechtevergabe oft auf dieser Hierarchie basiert. Die meisten ERP-Systeme bieten bereits vordefinierte Rollen. Zum Beispiel:
- Standard-User: Diese Anwender dürfen nur das sehen und bearbeiten, was für ihren individuellen Aufgabenbereich von Bedeutung ist. Dafür richten die Systemadministratoren einen Datenfilter ein, sodass gesperrte Bereiche grau hinterlegt und nicht anklickbar sind.
- Key User: Sie gehören oft zur mittleren Führungsebene und sind mit umfangreicheren Rechten als Standard-User ausgestattet. Key User dürfen beispielsweise alle Datensätze ihrer Abteilung sehen und bearbeiten.
- Power User: Sie sind die Administratoren des ERP-Systems und besitzen Zugriffsrechte für alle Datensätze und Funktionen des Systems – auch abteilungsübergreifend.
Das sind allerdings nur die Standardrollen. Moderne ERP-Systeme sind in der Lage, diese Rollen bei Bedarf weiter aufzuteilen. Das ist in der Praxis auch fast immer nötig, denn nur in den wenigsten Organisationen genügt die Dreiteilung den Ansprüchen des Tagesgeschäfts. Auszubildende sollten beispielsweise weniger Rechte erhalten, als erfahrene Kollegen, die bereits seit einigen Jahren in dem Unternehmen arbeiten. Das Gleiche gilt für Praktikanten, Trainees sowie für Leih- und Zeitarbeiter. Sie alle als Standard-User mit den gleichen Rechten auszustatten, wäre für die Prozesse der meisten Unternehmen hinderlich.
Aus Unternehmenssicht ist die Prozesssicherheit nicht zu unterschätzen, die sich durch rollenbasierte Rechtevergaben ergibt. ERP-Systeme bieten durch ihre Funktionen die Möglichkeit, Zugriffsrechte in der Software präzise festzulegen.
Im Rahmen der Projektvorbereitung sollten Sie bereits eine Vorstellung davon entwickelt haben, wie Sie die Rollenverteilung im System handhaben können. Denn in dieser Phase nehmen Sie Ihre Prozesse ohnehin unter die Lupe. Achten Sie auch darauf, welcher Kollege und welche Kollegin für welche Rolle in Frage kommt – und wie weit Sie die Rollenverteilung weiter gliedern möchten, damit das System Ihre Prozesse bestmöglich unterstützen kann.
Denken Sie dabei auch daran, Stellvertreterfunktionen einzurichten! Ist ein Kollege wegen eines Urlaubs oder Krankheitsfalls nicht im Haus, besteht sonst die Gefahr, dass Prozesse behindert werden. Fällt zum Beispiel die Vertriebsleitung aus, könnte es ohne Stellvertreterfunktion passieren, dass die ganze Abteilung keine Aufträge mehr abschließen kann – denn niemand sonst hat im ERP-System die Berechtigung dazu.
Die vier Standard-Rechte für Ihre User
Den einzelnen Rollen, die Sie im System definieren, können Sie jeweils eigene Rechte zuweisen. Die meisten ERP-Systeme sind dazu in der Lage, diese Rechtevergabe sehr granular zu gestalten – oft bis auf Feldebene. Vier typische Rechte sind:
- Sehen (View)
- Verändern (Edit)
- Anlegen (Create)
- Löschen (Delete)
Auf der untersten Ebene (Sehen) sind die User sehr eingeschränkt. Die meisten Funktionen und Datensätze im System bleiben ihnen verschlossen. Auf den höheren Ebenen kommen dann jeweils neue Rechte und System-Funktionen hinzu; je nachdem, welche Rolle ein Mitarbeiter oder eine Mitarbeiterin in dem Unternehmen einnimmt.
Die Rechtevergabe innerhalb des ERP-System richtet sich nach Ihren internen Prozessen und Freigabe-Richtlinien.
Warum rollenbasierte Rechtevergaben sinnvoll sind
Rollenbasierte Systeme sind für die Ausgestaltung der Rechtevergabe innerhalb einer Organisation aus mehreren Gründen sinnvoll. Zunächst einmal sind sie eine Erleichterung für die Verwaltung der Rechtevergabe: Einen neuen User zu konfigurieren, ist durch die Voreinstellungen wesentlich einfacher und effizienter. Würden Sie allen Kollegen jeweils eigene Rechte zuweisen, wäre dies mit hohem Aufwand verbunden.
Dazu sorgt diese Methodik für eine verbesserte Software-Usability. Jeder Nutzer sieht und arbeitet lediglich mit den Datensätzen und Funktionen, die er für seine Arbeit braucht. Die Benutzeroberfläche des ERP-Systems wird dadurch simpler. Das erleichtert es Ihren Mitarbeiterinnen und Mitarbeitern, sich die neue Software zu erschließen und erhöht deren Veränderungsbereitschaft.
Ein weiterer Vorteil ist, dass Sie DSGVO-Anfragen schneller beantworten können. Für Ihr Berechtigungskonzept müssen Sie genau dokumentieren, wer in Ihrem Unternehmen Zugriff auf welche Datensätze hat. Haben Sie ein stichhaltiges Rollensystem entwickelt, können Sie eine Übersichtsliste mit wenigen Klicks aus Ihrem ERP-System exportieren. Andernfalls müssten Sie die Informationen in Eigenregie zusammensuchen – das kostet Zeit und Nerven.
Aus Unternehmenssicht ist auch die Prozesssicherheit nicht zu unterschätzen, die sich durch rollenbasierte Rechtevergaben ergibt. Führungskräfte können Hierarchien und Entscheidungsprozesse bei der Ausgestaltung ihres Rollensystems präzise festlegen. So können Sie beispielsweise sicherstellen, dass nicht jeder Kollege aus dem Vertrieb dazu berechtigt ist, Rabatte zu vergeben.
Wie Sie die Rechtevergabe handhaben können
ERP-Systeme bieten durch ihre Funktionen die Möglichkeit, Zugriffsrechte in der Software präzise festzulegen. Alles abnehmen kann die ERP-Lösung Ihnen aber leider nicht. Wie Sie Ihr rollenbasiertes Zugriffsrechtesystem organisieren, müssen Sie selbstverständlich selbst festlegen. Eine Pauschallösung gibt es in diesem Zusammenhang nicht. Dafür ist eine ausführliche Analyse Ihrer Prozesse notwendig, die alle Abläufe und Abhängigkeiten in Ihrer Organisation berücksichtigt.
Teil Ihres ERP-Projektes ist eine solche Analyse ohnehin. Sie findet bereits während der Vorbereitungsphase statt, wenn Sie Ihre Anforderungen an das neue System in Ihrem Lastenheft zusammenfassen. Hierbei sollten Sie auch das Thema Rechtevergabe berücksichtigen – denn andernfalls müssen Sie sich damit zu einem späteren Zeitpunkt befassen. Das ist ein doppelter Aufwand, der zu Verzögerungen führen kann.
Wenn Sie noch mehr darüber wissen möchten, was Sie im Rahmen Ihres ERP-Projektes alles bedenken müssen, empfehlen wir Ihnen einen Blick auf unser Whitepaper „Die ERP-Einführung von A bis Z – So läuft das ERP-Projekt rund“. Darin finden Sie noch viele weitere nützliche Informationen.