Herausforderungen bei der Verwendung von Standard-Business-Templates für SAP-Sicherheitsaktivitäten

SAP wird nach 2027 keinen Wartungssupport mehr für SAP ECC anbieten, was Kunden effektiv dazu zwingt, vor diesem Datum auf S/4HANA zu migrieren. Derzeit haben weniger als 40 % dieser Umstellung abgeschlossen, so dass Tausende von Kunden in den kommenden Jahren migrieren müssen. Diese bevorstehende Migrationswelle stellt eine große Herausforderung für SAP und ihre Partner dar und kann zu einem Mangel an Ressourcen führen, um die vorgeschriebenen Fristen einzuhalten.

Um dem entgegenzuwirken, hat SAP die Entwicklung mehrerer Accelerator-Tools initiiert, um diese Projekte zu unterstützen. Aufgrund der schieren Menge an Unternehmen, die sich noch auf diese Reise begeben müssen, können viele von ihnen während ihres S/4HANA-Projekts auf vorgefertigte Standard-Geschäftsvorlagen für verschiedene Funktionen zurückgreifen. In unserer Diskussion hier werden wir uns mit den potenziellen Herausforderungen befassen, die sich bei der Verwendung dieser vorgefertigten Standard-Geschäftsvorlagen für SAP-Sicherheits- und GRC-Aktivitäten (Governance, Risk und Compliance) ergeben.

Zwei typische Standard-Geschäftsvorlagen für SAP-Sicherheits- und GRC-Aktivitäten, die in diesem Artikel erläutert werden, sind:

1. SAP-Standardbetriebsrollen
2. Standardmäßige "Out-the-Box"-Regelsätze

SAP-Standardbetriebsrollen

Diese vordefinierten SAP-Rollen werden erstellt, um die notwendigen Funktionen für bestimmte Berufsrollen abzudecken, wie z. B. einen Kreditorenbuchhalter. Sie bestehen aus verschiedenen standardisierten SAP-Einzelrollen, die möglicherweise aus mehreren SAP-Systemen stammen. Geschäftsrollen können, wenn sie richtig entworfen und implementiert werden, die Effizienz von Zugriffsverwaltungsaktivitäten wie Benutzerzugriffsanfragen und Benutzerzugriffsüberprüfungen erheblich verbessern.

Was sind die Vor- und Nachteile der Verwendung von SAP-Standardbetriebsrollen?

• Profis:
  • Die Verwendung von vorgefertigten SAP-Standard-Business-Rollen reduziert den Aufwand für die Erstellung von Rollen während der Projektphase. Wenn das Sicherheitsteam mit Verzögerungen konfrontiert ist oder es an Fachwissen mangelt, können diese Rollen sicherstellen, dass Tests früher durchgeführt werden können und Endbenutzern beim Go-Live Zugriff zugewiesen wird, um ihre Aufgaben auszuführen.
• Nachteile:
  
  • Organisationen unterscheiden sich erheblich in ihren Abläufen, so dass standardisierte Geschäftsrollen für bestimmte Benutzergruppen oder Jobfunktionen möglicherweise ungeeignet sind. Eine Standard-Benutzerrolle kann nicht nur zu einer Überbelegung bestimmter Funktionen führen, sondern auch dazu, dass Endbenutzern mehrere standardisierte Geschäftsrollen zugewiesen werden, was zu einem breiten und unangemessenen Zugriff führt. Dies erhöht nicht nur das Zugriffsrisiko des Unternehmens, sondern erschwert auch Compliance-Aufgaben wie Benutzerzugriffsüberprüfungen.

Die Standardisierung von Jobrollen führt häufig dazu, dass SAP-Benutzer einen breiteren Zugriff haben, wodurch die Gefährdung des Unternehmens durch zugriffsbezogene Risiken erhöht wird. Unternehmen müssen die Vorteile der Effizienzsteigerung bei der Bereitstellung aufgrund standardisierter Aufgabenrollen gegen das erhöhte Zugriffsrisiko abwägen.

Das Ausmaß, in dem eine Organisation ihre Jobrollen standardisiert, kann unterschiedlich sein und zeigt sich in zwei Hauptvarianten:

1. Der Anteil der Benutzerrollen an den SAP-Benutzern. Beispiel: Unternehmen A mit 2.000 SAP-Benutzern hat 50 Benutzerrollen (ein Verhältnis von 1 Benutzerrolle pro 40 SAP-Benutzer) im Vergleich zu Unternehmen B mit der gleichen Anzahl von Benutzern, aber 100 Benutzerrollen (ein Verhältnis von 1:20). Unternehmen B wird wahrscheinlich weniger Zugriffsrisikoverletzungen haben, da die größere Anzahl von Benutzerrollen für SAP-Benutzer es ihnen ermöglicht, jeder Gruppe von SAP-Benutzern einen angemesseneren Zugriff zuzuweisen.  
2. Ob eine Business Rolle nur Kern- oder allgemeine Aktivitäten umfasst, wobei alle eindeutigen Funktionen, die von einer Teilmenge der Gruppe verwendet werden, direkt den Benutzern zugewiesen werden, die sie benötigen. Bei diesem Ansatz wird vermieden, dass eindeutige Funktionen in die Benutzerrolle aufgenommen werden, was andernfalls dazu führen würde, dass alle Benutzer, die dieser Benutzerrolle zugewiesen sind, diesen Zugriff erben.

Die Bestimmung des Ausmaßes der Standardisierung ist von Unternehmen zu Unternehmen unterschiedlich und hängt von mehreren Faktoren ab, darunter die Größe des Unternehmens, die Branche und die Risikotoleranz. Eine häufige Hürde für viele Organisationen ist, dass die Entscheidungen zur Standardisierung oft von der Geschäftsleitung getroffen werden, die ihre Vorteile erkennt, aber kein umfassendes Bewusstsein für die damit verbundenen Herausforderungen und Risiken hat. Um dieses Problem zu lösen, müssen SAP-Sicherheitsexperten ihre Fähigkeit verbessern, die Geschäftsleitung über diese potenziellen Probleme aufzuklären.

Ein vorgeschlagener Ansatz beinhaltet die Durchführung einer gründlichen Zugriffsrisikoanalyse für jede Geschäftsrolle innerhalb von SAP, um den Grad des Zugriffsrisikos zu ermitteln. Rolleninhaber können dann fundierte Entscheidungen darüber treffen, ob das Zugriffsrisiko, das mit jeder Benutzerrolle verbunden ist, für die Organisation akzeptabel ist. Wenn dies als inakzeptabel erachtet wird, können Änderungen an der Business Role vorgenommen werden, bis das damit verbundene Zugriffsrisiko dem Zugriffsrisikoappetit der Organisation entspricht.

Um Rolleninhaber jedoch vor dem SAP-Go-Live mit Informationen zum Zugriffsrisiko auszustatten, muss das für den Rollenaufbau zuständige SAP-Sicherheitsteam Zugriff auf eine Zugriffskontroll- oder GRC-Lösung haben. Leider durchlaufen viele Unternehmen die Phase des Rollenaufbaus in einem SAP-Implementierungs- oder Upgrade-Projekt, ohne dass eine solche Lösung vorhanden ist, und übersehen potenzielle Zugriffsrisiken. Folglich werden Rollen für Endbenutzertests durch die SAP-Landschaft (DEV, QAS, PRD) transportiert und schließlich SAP-Benutzern in der Produktionsumgebung zugewiesen. Erst wenn sich die Rollen in der SAP-Produktion befinden, erfolgt eine Bewertung des Zugriffsrisikos von SAP-Rollen und -Benutzern. Zum jetzigen Zeitpunkt ist es zu spät, um sinnvolle Änderungen vorzunehmen, wenn man die Auswirkungen auf den bevorstehenden Go-Live bedenkt.

Die Behebung von Rollendefiziten in der SAP-Produktion wird komplex und herausfordernd, da wesentliche Änderungen nach dem Go-Live den Geschäftsbetrieb stören können. Folglich verharren Unternehmen oft über längere Zeiträume auf unangemessenen Rollen und den damit verbundenen Risiken und akzeptieren die potenziellen Konsequenzen, die sich aus der Zurückhaltung ergeben, Geschäftsunterbrechungen zu verursachen.

Standard-Regelsätze

Diese Regelsätze werden in der Regel vom Anbieter der Zugriffssteuerungs- oder GRC-Lösung bereitgestellt und stellen integrierte Regeln innerhalb der jeweiligen Lösung dar. Darüber hinaus sind Regelsätze von Drittanbietern aus externen Quellen wie den Wirtschaftsprüfungsgesellschaften verfügbar.

Out-of-the-Box-Regelsätze bestehen aus vordefinierten Regeln, die SAP-Benutzer und -Rollen identifizieren, die gegen bestimmte Bedingungen verstoßen. Beispielsweise enthält eine gängige Standardregel in den meisten Regelsätzen von Softwareanbietern die Berechtigungen zum Generieren und Freigeben einer Bestellung. Die SAP-Benutzer- und Rollendaten aus den SAP-Systemen werden in der Zugriffskontrolllösung anhand des Regelsatzes analysiert, um SAP-Benutzer und -Rollen hervorzuheben, die gegen eine der Regeln verstoßen.

Was sind die Vor- und Nachteile der Verwendung von SAP-Standardregelwerken?

• Profis:
  • Standard-"Out-the-Box"-Regelsätze ermöglichen es Unternehmen, eine Analyse des Zugriffsrisikos durchzuführen und sofort mit der Überwachung zu beginnen. Diese Standardregelwerke, die mittlerweile gut etabliert (ausgereift) sind, umfassen in der Regel eine Vielzahl von Geschäftsprozessen.
• Nachteile:
  • Standard-"Out-the-Box"-Regelwerke decken keine Risiken ab, die spezifisch oder exklusiv für ein Unternehmen sein könnten. Sie unterstützen auch keine benutzerdefinierten Funktionen (benutzerdefinierte Transaktionscodes oder Fiori-Apps). Folglich führt diese Abwesenheit dazu, dass sich das Unternehmen der einzigartigen Zugangsrisiken, die sich aus ihrer Anpassung ergeben, nicht bewusst ist.
  • Darüber hinaus umfassen Standard-"Out-the-Box"-Regelwerke Risiken über mehrere Branchen hinweg, einschließlich potenziell irrelevanter Risiken für bestimmte Organisationen. Folglich führt dies dazu, dass die Organisation Aufwand für die Überwachung von Risiken aufwendet, die in ihrer Umgebung keine echte Bedrohung darstellen.

Die Verwendung eines standardmäßigen "Out-of-the-Box"-Regelsatzes ist in vielen Unternehmen relativ üblich. Obwohl die Anpassung des standardmäßigen "Out-the-Box"-Regelwerks nachdrücklich empfohlen wird, ist es allgemein anerkannt, dass die Organisation den Out-the-Box-Regelsatz für einen bestimmten Zeitraum nutzen kann, bevor sie ein Projekt zur Anpassung des Regelsatzes in Angriff nimmt. Auf der anderen Seite ist die Anpassung der Business Roles vor dem Go-Live sehr zu empfehlen.

Wenn Sie mehr darüber erfahren möchten, wie Soterion Sie bei Ihren SAP-Sicherheits- und GRC-Anforderungen unterstützen kann, wenden Sie sich bitte an uns unter [email protected].