Vier-Augen-Prinzip in IT-Umgebungen

Womöglich haben Sie schon einmal von eXtreme-Programming (XP) gehört. Ein wichtiges Prinzip dabei ist, dass zwei Programmierer gemeinsam an einem Computer Software entwickeln. Einer der beiden programmiert aktiv und der zweite führt eine unmittelbare Sichtung des erstellten Codes durch und kann eingreifen, um die Codequalität zu verbessern und Programmierfehler zu vermeiden: eine moderne Umsetzung des Vier-Augen-Prinzips im Bereich der Software-Entwicklung.

Allgemein betrachtet ist das Vier-Augen-Prinzip nur ein Teil der möglichen Umsetzung eines internen Kontrollsystems. Es ist vor allem bei Finanzprozessen ein etabliertes Mittel, um Betrug oder Unterschlagung zu verhindern. In Unternehmen werden viele kritische Prozesse durch die Kontrolle einer weiteren Person abgesichert, meist durch einen gleichberechtigten oder übergeordneten Mitarbeiter. Die Frage, welche Prozesse als kritisch einzustufen sind, ist im Rahmen einer Risikobewertung zu beantworten. Grundsätzlich sind das Prozesse, die bei nicht korrekter Durchführung zu Schäden an Personen oder zu erheblichen finanziellen Einbußen für das Unternehmen führen können.

Die Anwendung des Vier-Augen-Prinzips auf die IT-Welt ist leider nicht so einfach, wie es zunächst scheinen mag. Ausgehend von der Unterschrift auf Verträgen lässt sich durch digitale Signaturen das Vier-Augen-Prinzip ohne Weiteres in die digitale Welt übertragen. Vergleichen wir den physischen Zugriff auf einen Tresor, abgesichert mit zwei Schlüsseln, die sich jeweils im Besitz unterschiedlicher Personen befinden, mit dem Zugriff auf Daten von IT-Systemen, versagen die meisten Berechtigungskonzepte moderner Betriebssysteme. Auch für die kontrollierte Ausführung von Kommandos auf Betriebssystemen haben die etablierten Betriebssysteme keine Lösungen an Bord.

Datenzugriffe kontrollieren

Der Schutz von Daten ist in Unternehmen eng verbunden mit der

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.