Eine solide Grundlage ist entscheidend

Viele Unternehmen, die SAP einsetzen, befinden sich entweder im Projektmodus auf dem Weg zu S/4HANA oder in der Planungsphase ihres S/4HANA-Projekts. In den meisten Organisationen wird diese Reise als eine günstige Gelegenheit zur Stärkung ihrer SAP-Sicherheit gesehen. Dazu wenden sich die Gedanken intuitiv den GRC- und IAM-Werkzeugen zu. Ohne eine Auseinandersetzung mit den zugrunde liegenden Fragen der SAP-Rollengestaltung werden GRC- und IAM-Werkzeuge nicht die erwarteten Ergebnisse liefern und der Organisation letztendlich Enttäuschung bereiten.

Viele Organisationen haben veraltete Rollendesigns, die den Benutzern einen für ihre Aufgaben ungeeigneten Zugriff ermöglichen. Diese Organisationen gehen fälschlicherweise davon aus, dass die SAP-Sicherheit allein mit Produkten und Werkzeugen wie z.B. Lösungen für Zugriffskontrolle oder Identity Access Management gelöst werden kann. Diese helfen zwar, aber die Leistungsfähigkeit dieser Werkzeuge wird erheblich beeinträchtigt, wenn das zugrunde liegende SAP-Rollendesign veraltet und/oder ungeeignet ist. Ihr Unternehmen wird nicht den erwarteten Nutzen aus diesen Investitionen ziehen, weil das zugrunde liegende SAP-Rollendesign veraltet und/oder ungeeignet ist.

Betrachten wir die Auswirkungen eines unangemessenen SAP-Rollendesigns, das den Benutzern viel zu viel Zugriff gewährt, sowohl auf GRC- als auch auf IAM-Tools.

1. Zugriffskontroll-Lösung
Die Zugriffskontrolllösung hebt viele Zugriffsrisikoverletzungen hervor, bei denen Geschäftsanwender, die die Risiken überprüfen, nicht wissen, wo sie anfangen sollen. Aufgrund des Umfangs der Risikoverletzungen kann es vorkommen, dass Geschäftsanwender jede SAP-Zugriffsänderungsanforderung genehmigen, ohne großen Wert auf die Ergebnisse zu legen. Kurz gesagt – die Leistungsfähigkeit der Zugriffsrisikolösung ist vermindert.

2. Identity Access Management-Lösung
Die Identity Access Management-Lösung führt zu Effizienzsteigerungen in den Prozessen Mitarbeitereintritt, -austritt und -wechsel. Es wird jedoch ein unangemessener Zugriff zugewiesen, was zu einer sehr hohen Zugriffsrisikozahl führt. Dies ist keineswegs ideal und wirkt sich kontraproduktiv auf ihre S/4-Strategie aus, zumal diese Organisationen mehr Wert auf Sicherheit legen.

Nun, die praktische Bedeutung all dessen? Wenn Sie ein GRC-Praktiker sind, der die S/4HANA-Reise Ihres Unternehmens zur Stärkung Ihrer Sicherheit nutzen möchte, und Sie vermuten, dass das zugrunde liegende SAP-Rollendesign veraltet ist, was sollten Sie dagegen tun? Sie können auf zwei Arten gegen ein ungeeignetes SAP-Rollendesign vorgehen: entweder durch eine SAP-Rollenbereinigung oder durch ein SAP-Rollen-Redesign. Wir erklären dies etwas ausführlicher.

 

SAP-Rollenbereinigung

Eine SAP-Rollenbereinigung ist in der Regel dann möglich, wenn das zugrundeliegende SAP-Rollendesign noch in relativ gutem Zustand ist, d.h. die SAP-Einzelrollen gut aufgebaut sind.

Die Herausforderung besteht jedoch darin, dass diese Rollen im Laufe der Jahre übermäßig verteilt wurden und zwar aufgrund des Schleichgangs der SAP-Berechtigungen. Möglicherweise stellen Sie fest, dass es eine kleine Anzahl von Rollen gibt, die inhaltliche Änderungen erfordern (Rollensplittung usw.)

Unternehmen bevorzugen in der Regel eine SAP-Rollenbereinigung, da diese schneller und kostengünstiger durchgeführt werden kann. Ein zusätzlicher Vorteil besteht darin, dass es weniger störend für den Geschäftsbetrieb ist, da weniger Endbenutzer Tests durchführen und weniger Berechtigungsprobleme auftreten als bei einem Redesign-Projekt.

 

SAP-Rollen-Redesign

Ein Rollen-Redesign wird empfohlen, wenn der Aufwand zur Bereinigung der SAP-Lösung größer ist als der Aufwand zur Durchführung eines Rollen-Redesigns. Mit anderen Worten, die SAP-Lösung hat sich so verschlechtert, dass es kein Zurück mehr gibt.

Ein SAP-Rollendesign ist in der Regel ein längeres und kostspieligeres Unterfangen als eine Rollenbereinigung und ist mit einem höheren Maß an geschäftlicher Beteiligung und Unterbrechungen verbunden. Es bietet jedoch mehrere bedeutende Vorteile.

Erstens, sollte Ihre Organisation seit mehreren Jahren kein Rollen-Redesign vorgenommen haben, können sich die Kontrollanforderungen der Organisation im Laufe der Zeit geändert haben. Zum Beispiel können Bewegungsarten oder Lagernummern vor zehn Jahren noch nicht wichtig gewesen sein. Allerdings können bei einem Rollen-Redesign diese neuen Kontrollelemente eingeführt werden.

SAP hat im Laufe der Jahre mehrere neue Kontrollberechtigungen eingeführt. So zum Beispiel die Steuerung des Tabellenzugriffs auf einer granulareren Ebene über den Tabellennamen (S_TABU_NAM) gegenüber einer breiteren Ebene von Berechtigungsgruppen (S_TABU_DIS). Von den neuen Datenschutzbestimmungen sind viele Organisationen betroffen. Infolgedessen ist eine granularere Kontrolle erforderlich, die durch ein Rollen-Redesign-Projekt erreicht werden kann. Datenschutz per Design ist für die meisten Datenschutzbestimmungen von zentraler Bedeutung. Die Umsetzung mit einem Rollen-Redesign dürfte einfacher sein als im Rahmen eines Rollenbereinigungsprojekts.

Zusammenfassend lässt sich sagen, dass ein gutes SAP-Rollendesign von zentraler Bedeutung für jede sichere SAP-Umgebung ist. Es bildet das Rückgrat des gesamten GRC. Wenn Ihr Unternehmen den Wert einer Auseinandersetzung mit dem zugrundeliegenden SAP-Rollendesign nicht erkennt, wird es niemals den erwarteten Nutzen aus seinen GRC- und IAM-Lösungen ziehen. Die Auseinandersetzung mit dem SAP-Rollendesign ist eine Investition, die sich auf lange Sicht lohnt.

 

Für weitere Informationen schreiben Sie uns bitte unter [email protected] an.

  • Teilen

Zurück zur Liste der neuesten Nachrichten