Denkanstöße

GRC-Vorhersagen: Der kritische Mangel an qualifizierten SAP-Sicherheitsfachkräften

8. Juli 2024 Von Soterion

In einer kürzlich erschienenen Folge des SAP Security & GRC Podcasts, moderiert von Dudley Cartwright, lag der Fokus auf einer der wichtigsten Vorhersagen aus dem GRC Trends Report von Soterion: dem Mangel an qualifizierten SAP Sicherheitsressourcen. In der Folge kamen die Branchenexperten Meindert Keuning von BR1GHT und Emile Steyn von Soterion zu Wort, die wertvolle Einblicke in die Ursachen, Auswirkungen und möglichen Lösungen für dieses drängende Problem gaben. Hören Sie sich diese Diskussionen auf Ihrer bevorzugten Podcast-App oder auf YouTube an, oder lesen Sie die Zusammenfassung der Episode unten.

Laden Sie Ihr Exemplar des vollständigen GRC-Trends-Berichts herunter.

Hören Sie

Siehe

Die Entwicklung von SAP und die Komplexität der SAP-Sicherheit

In den letzten zwei Jahrzehnten hat sich die SAP-Umgebung stark verändert. Sie hat sich von einem relativ einfachen R/3-System zu einer komplexeren Landschaft entwickelt, die auch Cloud-basierte Lösungen wie SAP Ariba und SuccessFactors umfasst. Dieser rasche Wandel hat es zunehmend schwieriger gemacht, qualifizierte SAP-Sicherheitsexperten auszubilden und zu halten. Die Einführung fortschrittlicher Produkte wie SAP S/4HANA und Fiori hat die Landschaft noch komplizierter gemacht, so dass Berater jahrelange Erfahrung benötigen, um kompetent zu werden.

Meindert betonte, dass die sich verändernde SAP-Landschaft einen höheren Grad an Spezialisierung erfordert. In der Vergangenheit wurden Autorisierungsfunktionen oft von Basis- oder Funktionsberatern übernommen. Die gestiegene Komplexität erfordert nun jedoch dedizierte Sicherheitsexperten, die von Grund auf Rollen speziell für S/4HANA entwerfen und verwalten können.

Die Herausforderungen bei der Ausbildung und Bindung qualifizierter Mitarbeiter

Die Ausbildung eines SAP-Sicherheitsberaters, der in der Lage ist, Projekte zu leiten, dauert in der Regel fünf bis sieben Jahre. Diese lange Lernkurve wird noch dadurch verschärft, dass viele Unternehmen gleichzeitig auf S/4HANA migrieren müssen, was einen hohen Bedarf an qualifizierten Ressourcen innerhalb eines kurzen Zeitrahmens schafft. Das Ergebnis ist ein "perfekter Sturm", bei dem die Unternehmen um denselben begrenzten Pool von Experten konkurrieren.

Emile fügte hinzu, dass viele erfahrene Berater den Wechsel zu S/4HANA mit seinen neuen Sicherheitskonzepten und Cloud-Lösungen als entmutigend empfinden könnten. Dies könnte dazu führen, dass einige erfahrene Fachleute eher in den Ruhestand gehen, als sich neu zu qualifizieren, was den Mangel weiter verschärfen würde.

Auswirkungen des Fachkräftemangels

Der Mangel an qualifizierten SAP-Sicherheitsmitarbeitern hat für die Unternehmen mehrere erhebliche Auswirkungen:

  • Ineffizienzen: Unerfahrenes Personal braucht oft viel länger, um Probleme zu lösen, was zu Ineffizienzen führt.
  • Irrtümer: Mangelnde Erfahrung kann zu Sicherheitsfehlkonfigurationen führen, wie z. B. unsachgemäße Rollenzuweisungen oder die Verwendung von Platzhaltern, was das Risiko eines unbefugten Zugriffs und potenziellen Betrugs erhöhen kann.
  • Kosten für die Einhaltung der Vorschriften: Für Unternehmen können sich die Kosten für die Einhaltung der Vorschriften erhöhen, da umfangreiche Prüfungen und Abhilfemaßnahmen erforderlich sind.
  • Risiko von Betrug: Ein unsachgemäßes Rollendesign und -management kann das Betrugsrisiko erhöhen, da ein unbefugter Zugriff zu finanziellen Verlusten führen kann.
  • Unzureichendes Rollendesign: Unternehmen haben oft mit suboptimalen Rollendesigns zu kämpfen, die die Einhaltung von Vorschriften und die Überprüfung des Benutzerzugriffs erschweren.

Mögliche Lösungen: Verwaltete Dienste

Die Podcast-Gäste waren sich einig, dass die Option von Managed Services eine praktikable Lösung für den Mangel an qualifizierten SAP-Sicherheitsressourcen darstellt. Managed-Services-Anbieter können auf Anfrage spezialisiertes Fachwissen anbieten, so dass Unternehmen hohe SAP-Sicherheitsstandards aufrechterhalten können, ohne dass sie Vollzeit-Experten im Haus haben müssen.

Dieses Modell bietet mehrere Vorteile:

  • Zugang zu Fachwissen: Anbieter von verwalteten Diensten bieten Zugang zu hochqualifizierten Fachleuten, die bei komplexen Sicherheitsfragen je nach Bedarf helfen können.
  • Kosteneffizienz: Unternehmen können Kosten sparen, da sie keine Vollzeit-Experten beschäftigen müssen. Stattdessen können sie die Ressourcen des Anbieters nach Bedarf nutzen.
  • Konsistenz und Qualität: Managed Services gewährleisten eine konsistente und qualitativ hochwertige Verwaltung der SAP-Sicherheitsfunktionen und verringern das Risiko von Fehlern und Compliance-Problemen.

Meindert betonte, dass ein Managed-Services-Modell nur dann erfolgreich sein kann, wenn die Unternehmen die Verantwortung für Sicherheit und Compliance behalten. Der Managed Services-Anbieter kümmert sich um die technischen Aspekte, aber alle Änderungen und Genehmigungen müssen vom Unternehmen kommen.

BR1GHT's Managed Services Angebot

BR1GHT bietet ein umfassendes Managed-Services-Modell, das auf die Bedürfnisse jedes einzelnen Kunden zugeschnitten ist. Ihr Ansatz umfasst:

  • Eine Governance-Bewertung: Identifizierung aller kritischen Rollen und Gewährleistung geeigneter Governance-Strukturen.
  • Maßgeschneiderte Dienstleistungen: Bereitstellung von First-Line-Support-Diensten, Wartung komplexer Rollen und GRC-Tool-Management.
  • Flexible Modelle: Angebot von festen oder flexiblen Servicemodellen, die sich in die bestehenden Systeme des Kunden integrieren lassen.

Meindert betonte auch, wie wichtig es ist, Geschäftsanwender über Zugangsrisiken und -kontrollen aufzuklären. Indem sie das Verständnis und die Verantwortung für die Sicherheit unter den Geschäftsanwendern erhöhen, können Unternehmen die Zugangsrisiken besser verwalten und mindern.

Schlussfolgerungen

Die Folge schloss mit der Erkenntnis, dass Managed Services eine kostengünstige und effiziente Lösung für den Mangel an qualifizierten SAP-Sicherheitsressourcen sein können. Allerdings sind nicht alle Anbieter von Managed Services gleich. Unternehmen müssen sich vergewissern, dass der von ihnen gewählte Anbieter über die notwendigen Fachkenntnisse und Fähigkeiten verfügt, um ihre spezifischen Anforderungen zu erfüllen.

Unternehmen, die sich mit der Komplexität der sich entwickelnden SAP-Landschaft auseinandersetzen müssen, können durch den Einsatz von Managed Services das erforderliche Fachwissen und die Flexibilität erhalten, um robuste Sicherheits- und Compliance-Standards aufrechtzuerhalten. Auf diese Weise können Unternehmen die Risiken, die mit dem derzeitigen Mangel an qualifizierten SAP-Sicherheitsressourcen verbunden sind, abmildern und sicherstellen, dass ihre Systeme sicher und konform bleiben.

Ein Tool zur Zugriffskontrolle (GRC), um die SAP-Sicherheit zu erhöhen und die Einhaltung von Vorschriften zu gewährleisten  

Soterion unterstützt und arbeitet mit einem globalen Partnernetzwerk zusammen, um Kunden mit effektiven SAP-Sicherheitslösungen zu versorgen. BR1GHT kann eine umfassende Managed-Services-Lösung für Unternehmen anbieten, die nicht über die notwendigen internen SAP-Sicherheitsressourcen verfügen.

Um Ihr SAP-Sicherheits- und Risikomanagement zu verbessern, kann Soterion Unternehmen geschäftsorientierte GRC-Lösungen anbieten, die Ihrem Unternehmen helfen, die Verantwortlichkeit für Risiken zu verbessern, die Sicherheit Ihrer SAP-Lösung zu erhöhen und die Einhaltung von Vorschriften zu gewährleisten.

Kontaktieren Sie uns, um mehr über die GRC-Softwarelösungen von Soterion zu erfahren.

Das könnte Sie interessieren