GRC-Grundlagen für SAP-Kunden

Die Bedeutung eines soliden Fundaments

Viele Unternehmen, die SAP einsetzen, befinden sich entweder im Projektmodus auf ihrer Reise zu S/4HANA oder in der Planungsphase ihres S/4HANA-Projekts. Die meisten Unternehmen haben diese Reise als eine einmalige Gelegenheit erkannt, ihre SAP-Sicherheit zu stärken. Intuitiv denken sie an GRC- und IAM-Tools, um dies zu erreichen. Ohne die zugrundeliegenden Probleme des SAP-Rollendesigns anzugehen, werden GRC- und IAM-Tools nicht die erwarteten Ergebnisse liefern und die Organisation enttäuscht zurücklassen.

Viele Unternehmen verfügen über veraltete Rollenkonzepte, die den Anwendern den für ihre Aufgaben erforderlichen Zugriff verweigern. Diese Unternehmen gehen fälschlicherweise davon aus, dass die SAP-Sicherheit ausschließlich mit Produkten und Tools wie z. B. Lösungen für die Zugriffskontrolle oder das Identity Access Management gelöst werden kann. Diese sind zwar hilfreich, aber die Leistungsfähigkeit dieser Tools wird erheblich eingeschränkt, wenn das zugrunde liegende SAP-Rollendesign veraltet und/oder unangemessen ist. Ihr Unternehmen wird aufgrund des unzureichenden SAP-Rollendesigns nicht den erwarteten Nutzen aus diesen Investitionen ziehen. Das SAP-Rollendesign bildet die Grundlage für alles, was mit GRC und IAM zu tun hat.

Wirksame GRC-Pyramide

Betrachten wir die Auswirkungen eines unangemessenen SAP-Rollendesigns, das den Benutzern viel zu viele Zugriffsmöglichkeiten bietet, auf GRC- und IAM-Tools.

1. Lösung zur Zugangskontrolle
Die Lösung für die Zugriffskontrolle zeigt so viele Verstöße gegen das Zugriffsrisiko auf, dass Geschäftsanwender, die die Risiken überprüfen, nicht wissen, wo sie anfangen sollen. Die Geschäftsanwender beginnen möglicherweise, jeden Antrag auf Änderung des SAP-Zugangs zu genehmigen, ohne den Ergebnissen viel Bedeutung beizumessen, da es zu viele Risikoverstöße gibt. Kurz gesagt, die Leistungsfähigkeit der Zugriffsrisikolösung ist beeinträchtigt.

2. Identity Access Management Lösung
Die Lösung für das Identitätszugangsmanagement sorgt für mehr Effizienz bei den Prozessen für den Beitritt, den Austritt und den Wechsel von Mitarbeitern. Sie weist jedoch unangemessene Zugriffsrechte zu, was zu einer sehr hohen Anzahl von Zugriffsrisiken führt. Dies ist alles andere als ideal und kontraproduktiv für die S/4-Strategie, zumal diese Unternehmen mehr Wert auf Sicherheit legen.

Was bedeutet das alles nun praktisch? Wenn Sie als GRC-Experte die S/4HANA-Reise Ihres Unternehmens nutzen wollen, um Ihre Sicherheit zu verbessern, und Sie vermuten, dass Ihr zugrunde liegendes SAP-Rollendesign veraltet ist, was sollten Sie dann tun? Sie haben zwei Möglichkeiten, um ein unangemessenes SAP-Rollendesign zu beheben: entweder eine SAP-Rollenbereinigung oder ein SAP-Rollen-Redesign. Lassen Sie uns dies ein wenig genauer erklären.

SAP-Rollenbereinigung

Eine SAP-Rollenbereinigung ist in der Regel möglich, wenn das zugrundeliegende SAP-Rollendesign noch in relativ gutem Zustand ist, d.h. die SAP-Einzelrollen sind gut aufgebaut.

Die Herausforderung besteht jedoch darin, dass diese Rollen im Laufe der Jahre aufgrund der schleichenden Ausweitung der SAP-Berechtigungen übermäßig häufig zugewiesen wurden. Möglicherweise gibt es eine kleine Anzahl von Rollen, die inhaltliche Änderungen erfordern (Rollensplits usw.).

Eine SAP-Rollenbereinigung wird in der Regel von Unternehmen bevorzugt, da es sich um ein schnelleres und kostengünstigeres Projekt handelt. Ein zusätzlicher Vorteil ist, dass es den Geschäftsbetrieb weniger stört, da weniger Endbenutzer getestet werden müssen und es weniger Probleme mit der Genehmigung gibt als bei einem Redesign-Projekt.

SAP-Rollen-Redesign

Ein Rollen-Redesign wird empfohlen, wenn der Aufwand für die Bereinigung der SAP-Lösung größer ist als der Aufwand für die Durchführung eines Rollen-Redesigns. Mit anderen Worten: Die SAP-Lösung hat sich über den Punkt hinaus verschlechtert, an dem es kein Zurück mehr gibt.

Ein SAP-Rollen-Redesign ist in der Regel ein längeres und kostspieligeres Unterfangen als eine Rollenbereinigung und bringt ein höheres Maß an geschäftlicher Beteiligung und Unterbrechung mit sich. Ein SAP-Rollen-Redesign bietet jedoch mehrere bedeutende Vorteile.

Erstens: Wenn Ihr Unternehmen seit mehreren Jahren keine Rollenumgestaltung vorgenommen hat, können sich die Kontrollanforderungen des Unternehmens im Laufe der Zeit geändert haben. So waren beispielsweise Bewegungsarten oder Lagernummern vor zehn Jahren vielleicht noch nicht wichtig. Mit einer Rollenneugestaltung können diese neuen Kontrollelemente jedoch eingeführt werden.

SAP hat im Laufe der Jahre mehrere neue Kontrollberechtigungen eingeführt. Zum Beispiel die Steuerung des Tabellenzugriffs auf einer granulareren Ebene nach Tabellennamen (S_TABU_NAM) gegenüber einer breiteren Ebene von Berechtigungsgruppen (S_TABU_DIS). Viele der neuen Datenschutzbestimmungen wirken sich auf Unternehmen aus. Infolgedessen ist eine detailliertere Kontrolle erforderlich, die durch ein Projekt zur Neugestaltung von Rollen erreicht werden kann. Data Privacy by Design ist ein zentraler Punkt der meisten Datenschutzbestimmungen. Dies im Rahmen einer Rollenneugestaltung umzusetzen, ist wahrscheinlich einfacher als im Rahmen eines Rollenbereinigungsprojekts.

Zusammenfassend lässt sich sagen, dass das Herzstück einer sicheren SAP-Umgebung ein gutes SAP-Rollendesign ist. Es bildet das Rückgrat aller GRC-Aktivitäten. Wenn Ihr Unternehmen den Wert des zugrundeliegenden SAP-Rollendesigns nicht erkennt, wird es nie den erwarteten Nutzen aus seinen GRC- und IAM-Lösungen ziehen können. Die Auseinandersetzung mit dem SAP-Rollendesign ist eine Investition, die sich auf lange Sicht lohnt.

Für weitere Informationen senden Sie uns bitte eine E-Mail an [email protected]