SAP-Sicherheit: Umgang mit bereichsübergreifendem Zugriff bei Saint-Gobain
Zugangskontrolle in einem Unternehmen der Extraklasse
Die Zugangskontrolle in SAP ist in jedem Kontext eine Herausforderung.
Die Tatsache, dass mehrere Unternehmen in ein gemeinsames SAP-Ökosystem eingebunden sind, stellte Saint-Gobain Südafrika vor eine Reihe einzigartiger Probleme bei der Zugriffskontrolle.
In diesem Artikel berichten wir über die Highlights der Saint-Gobain SA auf dem Weg zur SAP-Berechtigungskonformität, insbesondere darüber, wie das Unternehmen die bereichsübergreifende Zugriffskontrolle gehandhabt hat.
SAP-Zugangskontrolle in einer Unternehmensgruppe
Die Zugangskontrolle in einer Unternehmensgruppe, die SAP einsetzt, wirft eine Reihe spezifischer Probleme auf, nämlich:
- Konsistenz in der Rollenmethodik: Große Konzerne wie Saint-Gobain leiden oft unter Inkonsistenzen in der Art und Weise, wie das SAP-Rollendesign festgelegt und umgesetzt wird. Oftmals verderben "zu viele Köche den Brei" und der Einsatz von ausgelagerten Ressourcen.
- Abteilungsübergreifende Zugriffskontrolle: Benutzer behalten oft Zugriffsrechte, die sie nicht mehr haben sollten, wenn sie zwischen Unternehmen und Rollen wechseln. Ohne eine regelmäßige Überprüfung der Benutzer, um die schleichende Ausweitung der Berechtigungen einzudämmen, kann den Risiken nicht wirksam begegnet werden.
Saint-Gobain - eine Tradition mit hohen Standards
Die Saint-Gobain-Gruppe wurde 1665 als eine von 25 königlichen Spiegelglasfabriken gegründet und kann auf eine über 350-jährige Geschichte zurückblicken. Saint-Gobain dehnte seine Geschäftstätigkeit auf andere Materialien und Marken aus, als die Nachfrage nach Glas und anderen Baumaterialien nach der industriellen Revolution stieg.
Heute ist Saint-Gobain in 67 Ländern mit mehr als 180 000 Mitarbeitern vertreten. Das Unternehmen entwirft, produziert und vertreibt Werkstoffe und Lösungen, die für das Wohlergehen eines jeden von uns und für die Zukunft aller von entscheidender Bedeutung sind. Sie sind überall in unseren Wohnräumen und in unserem täglichen Leben zu finden: in Gebäuden, im Transportwesen, in der Infrastruktur und in vielen industriellen Anwendungen. Sie bieten Komfort, Leistung und Sicherheit und stellen sich gleichzeitig den Herausforderungen des nachhaltigen Bauens, der Ressourceneffizienz und des Klimawandels.
Der Fall der undichten chinesischen Mauer
Vier Abteilungen und unangekündigte Audits
Die Saint-Gobain SA besteht aus mehreren Geschäftsbereichen. Vier der Geschäftsbereiche (Weber, Gyproc, ISOVER und PAM) greifen auf ein einziges SAP ECC-System zu, wobei der Zugriff auf geschäftsübergreifende Aktivitäten eingeschränkt werden muss. Ein Mitarbeiter einer Geschäftsaktivität sollte keinen Zugang zu einer anderen Geschäftsaktivität haben, wenn diese Einschränkung besteht.
Um die hohen Standards aufrechtzuerhalten, verfügt Saint-Gobain über eine leistungsstarke konzernweite interne Auditabteilung. Sie ist beauftragt, regelmäßig unangekündigte Audits durchzuführen, die in der Regel nur einen Monat im Voraus angekündigt werden. Aufgrund des Charakters der Gruppe liegt das Hauptaugenmerk bei solchen Audits auf dem Zugang der Benutzer (insbesondere dem breiten und geschäftsübergreifenden Zugang).
Das geprüfte Unternehmen erhält am Ende des Audits eine Note, die auf einer der folgenden Prozessnoten basiert:
| Klasse | Beschreibung |
| A | Die Kontrolle ist vorhanden, effizient und formalisiert. Die Risiken werden angemessen gemildert. |
| B | Kontrolle vorhanden, aber nicht vollständig effizient und/oder Probleme bei der Formalisierung festgestellt. Es besteht ein begrenztes Restrisiko. |
| C | Kontrolle ist vorhanden, aber unvollständig. Es besteht ein gewisses Restrisiko. |
| D | Ineffiziente Kontrolle. Es besteht ein erhebliches Restrisiko. |
| E | Keine Kontrolle. Es besteht eine ständige Hochrisikoexposition |
Die Herausforderungen des Outsourcing und der schleichenden Zunahme von Genehmigungen
Saint-Gobain SA führte SAP erstmals im Jahr 2001 ein und sah sich mit einer Reihe von Herausforderungen konfrontiert, da die Audits zur Zugangskontrolle regelmäßig nicht bestanden wurden.
Die erste Herausforderung war die Methode der Zugriffskontrolle, die bei der ursprünglichen SAP-Implementierung gewählt wurde. Die arbeitsplatzbasierten Rollen waren zu weit gefasst und gewährten den Benutzern zu viel Zugang.
Wie in den meisten Unternehmen, die SAP einsetzen, gab es auch bei Saint-Gobain SA das Problem der "schleichenden Berechtigungserweiterung", d. h. die Benutzer erhielten zusätzliche Zugriffsrechte, wenn sie intern zwischen Stellen und Geschäftseinheiten innerhalb des Konzerns wechselten. Wenn der Benutzer in eine neue Position wechselte, gab es eine Übergabephase, in der er vorübergehend Zugriff auf seine vorherige Rolle benötigte. Da es jedoch keine Lösung für das Zugangsrisiko gab, um diese Risiken aufzuzeigen, blieb der Zugang oft bestehen. Dies führte zu einer "undichten chinesischen Mauer" zwischen den Unternehmen.
Saint-Gobain SA nutzte einen ausgelagerten SAP-Berechtigungsanbieter, um technische Funktionen wie Rollenänderungen durchzuführen. Der Einsatz eines ausgelagerten Anbieters brachte zwei unerwartete Herausforderungen mit sich:
- Der Dienstleister führte nur seinen eigenen Ansatz aus und bot keine Hinweise auf bewährte Verfahren. Als die Rollen geändert wurden, wurden viele der riskanten Praktiken in das System integriert.
- Der ausgelagerte Anbieter wechselte mehrmals die Sicherheitsressourcen. Dies führte zu Unstimmigkeiten bei den Rollenmethoden, da jede Ressource einen eigenen Ansatz bevorzugte.
Ohne eine Lösung für das Zugriffsrisiko gab es keinen Einblick in die Auswirkungen der SAP-Zugriffsänderungen auf das Zugriffsrisiko.
Die GRC-Reise in Angriff nehmen
Starke Fundamente ähnlich wie bei einem mehrstöckigen Gebäude
Nach der Evaluierung einer Reihe möglicher SAP-Lösungen für Zugangsrisiken (GRC) entschied sich Saint-Gobain SA für die Soterion-Lösung und implementierte sie 2015. Die Implementierung einer Zugriffsrisikolösung war jedoch nicht der Königsweg, den Saint-Gobain SA erwartet hatte.
Saint-Gobain SA fiel bei Audits immer noch durch, weil Benutzer abteilungsübergreifenden Zugang hatten, obwohl eine Lösung für Zugangsrisiken vorhanden war.
Saint-Gobain SA war sehr daran interessiert, eine gute SAP-Sicherheit zu implementieren. Das Unternehmen erkannte, dass es mehr als nur eine technische Lösung für das Zugriffsrisiko benötigte und wandte sich an Soterion, um die zugrunde liegenden Probleme zu verstehen und zu beheben.
Bei der ersten Konsultation mit Soterion wurden zwei kritische Punkte hervorgehoben:
- Saint-Gobain SA verfügte über einen Mix von Rollenmethodiken, was die Zuweisung eines angemessenen Rollenzugangs übermäßig kompliziert machte.
- Die Risikobewertung ergab, dass viele Funktionen bereichsübergreifenden Zugang hatten, wodurch eine "undichte chinesische Mauer" zwischen den verschiedenen Abteilungen entstand.
Eine robuste Zugangskontrolle kann mit einem mehrstöckigen Gebäude verglichen werden. Ein starkes Fundament erfordert ein gutes Rollendesign sowohl für geschäftliche als auch für technische Rollen. Die Organisation profitiert von einer GRC-Lösung, sobald ein solides Fundament vorhanden ist. Sobald ein solides Rollendesign und GRC-Prinzipien vorhanden sind, kann die nächste Stufe des Identity Access Management (IAM) implementiert werden, das eine feinkörnige Zugangskontrolle fördert und gewährleistet.
Ein Fahrplan für die GRC-Wende
Neugestaltung der Rolle
In SAP gibt es verschiedene Ansätze für das Rollendesign, jeder mit seinen eigenen Vor- und Nachteilen. Für Saint-Gobain SA wurde ein Vergleich zwischen einer abgeleiteten Rollenmethodik und einer Aufgaben/Wertrollenmethodik durchgeführt. Auf der Grundlage der Anforderungen von Saint-Gobain SA wurde das folgende Ergebnis ermittelt:
| Methodik der Rollengestaltung | Profis | Nachteile |
| Abgeleitet |
|
|
| Aufgabe und Wert |
|
|
| Komposit |
|
|
Eine Hauptanforderung für Saint-Gobain SA war es, ein Gleichgewicht zwischen Flexibilität und Kontrolle bei der Rollengestaltung zu finden. Saint-Gobain SA entschied sich für die Schaffung kleinerer Funktions- oder Aufgabenrollen (z.B. Auftragsabwicklung), um das erforderliche Maß an Flexibilität zu gewährleisten. Die abgeleitete Rollenmethodik wurde aufgrund der enormen Anzahl von Rollen, die Saint-Gobain aufgrund der Anzahl von Kontrollfeldwerten (Buchungskreise oder Werke usw.) erhalten hätte, verworfen. Letztendlich entschied man sich für eine Rollenmethodik auf der Grundlage von "Aufgabe und Wert", die auf geschäftliche und technische Rollen angewendet werden sollte.
Entsprechend den Rollentypen wurde das Projekt wie folgt aufgeteilt:
- Rollen für geschäftliche Endbenutzer: Anhand der Benutzer-Transaktionsprotokolle (SM20) wurden den Benutzern auf der Grundlage historischer Daten in Kombination mit der Genehmigung des Vorgesetzten Aufgabenrollen zugewiesen. Eine Reihe von funktionalen Rollen wurden identifiziert und als Geschäftsrollen zugewiesen. Dies ermöglicht bei Bedarf eine einfache Änderung. Der Zugang auf Organisationsebene wurde über Wertrollen bereitgestellt.
- Technische Rollen (Phase 1): Geeignete Aufgabenrollen im Zusammenhang mit technischen Funktionen (z. B. Basis, Berechtigungsverwaltung usw.) begrenzten das Risiko eines umfassenden Zugriffs durch internes Supportpersonal und ausgelagerte Dienstleister.
- Technische Rollen (Phase 2): Einschränkung der grundlegenden kritischen Berechtigungsobjekte, mit besonderem Schwerpunkt auf der Implementierung eines feinkörnigen Remote Function Call (RFC)-Zugriffs.
Anpassung des Regelsatzes
Regelsätze sind kombinierte Regeln, die mit identifizierten GRC-Risiken verbunden sind. Sie werden als Mittel zur Verknüpfung abschwächender Kontrollen mit den mit den Geschäftsprozessen verbundenen Risiken implementiert. Soterion entwickelte ein Standard-Regelwerk, das an die Bedürfnisse von Saint-Gobain SA angepasst werden musste.
Die Lösung von Soterion wurde mit einem marktführenden Regelsatz für Zugangsrisiken implementiert. Wie bei allen Standard- oder Standard-Regelsätzen sind diese jedoch so konzipiert, dass sie für Unternehmen in verschiedenen Branchen und Regionen anwendbar sind. Die Anpassung des Regelsatzes an die Bedürfnisse von Saint-Gobain SA war ein wichtiger Schritt, um die Akzeptanz des Unternehmens sicherzustellen.
Abhilfemaßnahmen
Da es unmöglich ist, ohne jegliches Zugangsrisiko zu arbeiten, spielen Maßnahmen zur Risikominderung eine entscheidende Rolle bei der Verringerung des Risikos für die Organisation. Es war wichtig, die unvermeidlichen und für die Organisation relevanten Risiken zu mindern. Viele Kontrollen waren bereits im Unternehmen vorhanden. Diese Kontrollen wurden identifiziert und in einem zentralen Repository dokumentiert und den Risiken im angepassten Regelsatz zugeordnet.
Wirtschaftliche Bildung
Ein Teil der Lösung bestand darin, die Vorgesetzten über Risiken und Kontrollmaßnahmen in ihrem Zuständigkeitsbereich aufzuklären und die Eigenverantwortung zu fördern. Die Leiter der Geschäftseinheiten wurden geschult, damit sie verstehen, was sie überprüfen, um fundierte Geschäftsentscheidungen treffen zu können, und so eine Kultur des Risikobewusstseins in der Organisation zu fördern.
Notfall-Zugangsmanagement
Unter bestimmten Umständen benötigen Geschäfts- und Supportnutzer vorübergehend oder ad hoc (in Notfällen) Zugang, um geschäftskritische Aktivitäten durchzuführen.
Saint-Gobain SA hat den Elevated Rights Manager von Soterion implementiert, um den Zugang zu sensiblen Daten und Notfällen zu verwalten. Dieses Modul stellt sicher, dass sowohl Support- als auch Geschäftsanwender bei Bedarf auf kontrollierte Weise Zugriff auf sensible Funktionen haben. Elevated-Rights-Sitzungen werden protokolliert und ihre Aktivitäten zur Überprüfung an die Eigentümer gesendet.
Die Reise geht weiter: Die nächsten Schritte für Saint-Gobain SA
Eine ordnungsgemäße GRC-Verwaltung ist ein fortlaufender Prozess. Das Ziel jeder GRC-Reise ist eine flexible, effektiv kontrollierte Verwaltung der Benutzerzugriffsrechte.
Die nächsten Schritte auf dem Weg der Saint-Gobain SA sind:
- Überprüfung des Benutzerzugangs: Implementierung eines Verfahrens zur Beantragung, Überprüfung und Genehmigung des Zugangs.
- Identitätsmanagement: Als zusätzliche Ebene für eine fein abgestufte Zugangskontrolle wird Saint-Gobain SA den Business Case für eine Identitäts-Zugangsmanagement-Lösung prüfen.
GRC als Managed Service
Mehr als Outsourcing
Ein SAP-System verändert sich ständig, wenn sich die Organisation weiterentwickelt. Mitarbeiter wechseln zwischen Abteilungen, neue Mitarbeiter kommen hinzu, und im Falle einer Unternehmensgruppe wechseln Mitarbeiter manchmal zu Schwesterunternehmen. Bei jedem Wechsel eines Mitarbeiters muss sich der Benutzerzugang ändern, aber ohne entsprechende Unterstützung bleiben sie oft falsch zugeordnet.
Die Saint-Gobain SA kennt den Grund für ihre SAP-Berechtigungsprobleme vor ihrer GRC-Reise und möchte sicherstellen, dass die Lösung in gutem Zustand bleibt. Das Unternehmen ist sich bewusst, dass die Integrität seiner Genehmigungslösung zu einem großen Teil von der Fähigkeit seines ausgelagerten Anbieters abhängt, Best Practices im Einklang mit dem neuen Ansatz umzusetzen.
Die Misserfolge, die sie mit zuvor ausgelagerten Anbietern erlebt haben, haben deutlich gemacht, dass sie nicht nur Genehmigungen auslagern wollen. Stattdessen suchen sie nach einem umfassenderen Angebot: GRC als verwaltete Dienstleistung.
Was ist GRC als verwaltete Dienstleistung?
GRC als Managed Service ist eine Beziehung zwischen dem Dienstleister und dem Kunden, der neben der Technologie auch Fachwissen einbringt, um bestimmte Anforderungen zu erfüllen. Es handelt sich nicht nur um die Auslagerung technischer Tätigkeiten, sondern um eine Partnerschaft, bei der sich der Dienstleister um den Kunden kümmert, als wäre er ein Teil des Unternehmens.
Für SAP GRC geht ein Managed Service über die Standard-SAP-Berechtigungen hinaus und umfasst auch die Unterstützung von Risiken, Kontrollen und Audits.
Da Saint-Gobain SA auf seinem GRC-Weg immer weiter voranschreitet, konnte das Unternehmen dank seines internen Fachwissens einen Teil der Aktivitäten intern durchführen. Das bedeutet, dass sie sich nicht mehr vollständig auf den ausgelagerten Support verlassen müssen, um Berechtigungsfunktionen auszuführen. Stattdessen muss nur noch die Änderung von Rolleninhalten ausgelagert werden, während die Zuweisung von Rollen intern erfolgt.
Im Zuge dieser Entwicklung führte Saint-Gobain SA eine Abteilung für interne Kontrollen ein. Dadurch konnte die Verantwortung von der IT-Abteilung auf das Unternehmen verlagert werden, so dass die Prozessverantwortlichen einen besseren Einblick in und eine bessere Kontrolle über die Risiken in ihren Bereichen erhalten.
Schlussfolgerungen
Für Saint-Gobain SA war die Zugangskontrolle zu ihren SAP-Systemen eine ständige Herausforderung. Das Unternehmen hatte keinen klaren Überblick über sein Zugriffsrisiko und litt unter einer schleichenden Autorisierung. Die Probleme wurden durch ausgelagerte Partner noch verschärft, die technische Funktionen auf Anfrage ausführten, anstatt sie zu Best Practices anzuleiten. Mit dem Wechsel jeder ausgelagerten Ressource wurde die Verwaltung des Rollenzugriffs durch die unterschiedlichen Methoden der Rollengestaltung übermäßig kompliziert. All diese Probleme spiegelten sich in den Ergebnissen der unangekündigten Audits wider, die sie oft nicht bestanden.
Nach der Zusammenarbeit mit Soterion war die Saint-Gobain SA durch die Neugestaltung der Rollen auf einen erfolgreichen Audit vorbereitet. Durch ein besseres Verständnis der Geschäftsrisiken und ein höheres Maß an Zugangskontrolle konnten die Prozessverantwortlichen mehr Verantwortung für das Geschäft übernehmen. Die Lösung von Soterion verschafft den Leitern der Geschäftsbereiche mehr Transparenz, Kontrolle und Management-Buy-in.
Governance, Risiko und Compliance sind ein kontinuierlicher Prozess. Mit der Unterstützung von Soterion hat die Saint-Gobain SA eine solide Grundlage für ihre Genehmigungen und einen klaren Fahrplan für die Zukunft geschaffen.
