Saint-Gobain


Zugriffskontrolle in einem Unternehmen einzigartiger Klasse

Die Zugriffskontrolle in SAP ist in jedem Kontext eine Herausforderung. Die Einbindung mehrerer Unternehmen in ein gemeinsames SAP-Ökosystem hat für Saint-Gobain Südafrika eine einzigartige Reihe von Zugriffskontrollproblemen geschaffen.

In diesem Artikel berichten wir über die Höhepunkte auf dem Weg von Saint-Gobain SA zur Einhaltung von SAP-Berechtigungen, insbesondere über die Verwaltung der bereichsübergreifenden Zugriffskontrolle.

 

SAP-Zugriffskontrolle in einer Gruppe von Unternehmen

Die Zugriffskontrolle in einer Gruppe von SAP einsetzenden Unternehmen bringt eine Reihe von Problemen mit sich, nämlich:

  1. Konsistenz der Rollenmethodiken: Große Gruppen wie Saint-Gobain leiden oft unter Inkonsistenzen in der Art und Weise, wie das SAP-Rollendesign festgelegt und implementiert wird. Es handelt sich oft um „zu viele Köche verderben den Brei“ und den Einsatz von ausgelagerten Ressourcen.
  2. Bereichsübergreifende Zugriffskontrolle: Benutzer behalten oft Zugriffsrechte, die sie nicht mehr haben sollten, wenn sie zwischen Unternehmen und Rollen wechseln. Ohne regelmäßige Überprüfung der Benutzer, die das schleichende Anwachsen der Berechtigungen („authorization creep“) mindert, können Risiken nicht wirksam angegangen werden.

 

Saint-Gobain – eine Tradition der hohen Standards

Saint-Gobain – eine Tradition der hohen StandardsDie Saint-Gobain-Gruppe wurde 1665 als eines von 25 königlichen Unternehmen zur Herstellung von Spiegelglas gegründet und kann auf eine über 350-jährige Geschichte zurückblicken. Als die Nachfrage nach Glas und anderen Baumaterialien nach der industriellen Revolution wuchs, erweiterte Saint-Gobain seine Aktivitäten auf andere Materialien und Marken.

Heute ist Saint-Gobain in 67 Ländern mit mehr als 180.000 Mitarbeitern vertreten. Das Unternehmen entwirft, produziert und vertreibt Materialien und Lösungen, die für das Wohlergehen eines jeden von uns und die Zukunft aller wichtig sind. Sie sind überall in unseren Lebensräumen und in unserem Alltag zu finden: in Gebäuden, im Transportwesen, in der Infrastruktur und in vielen industriellen Anwendungen. Sie bieten Komfort, Leistung und Sicherheit und sprechen gleichzeitig die Herausforderungen des nachhaltigen Bauens, der Ressourceneffizienz und des Klimawandels an.

Der Fall des undichten Informationssperre

Vier Abteilungen und Überraschungsprüfungen

SSaint-Gobain SA besteht aus mehreren Geschäftsbereichen. Vier der Unternehmensbereiche (Weber, Gyproc, ISOVER und PAM) greifen auf ein einziges SAP ECC-System zu, mit der Auflage, den Zugang zu geschäftsübergreifenden Aktivitäten zu beschränken. Unter dieser Einschränkung sollte ein Mitarbeiter innerhalb einer Geschäftsaktivität keinen Zugang zu irgendwelchen anderen Geschäftsaktivitäten haben.

Im Rahmen ihrer Bemühungen, ihre hohen Standards aufrechtzuerhalten, verfügt Saint-Gobain über eine leistungsfähige konzernweite interne Revisionsabteilung. Sie ist mit der Durchführung von regelmäßigen Überraschungsprüfungen beauftragt, die in der Regel nur einen Monat im Voraus angekündigt werden. Aufgrund der Art der Gruppe wird bei solchen Audits vor allem auf den Benutzerzugriff (insbesondere auf einen breiten und geschäftsübergreifenden Zugriff) geachtet.

Das geprüfte Unternehmen erhält am Ende der Prüfung eine Note, die auf einer der folgenden Prozessnoten basiert:

Note Beschreibung
A Vorhandene Kontrolle, effizient und formalisiert. Die Risiken werden ordnungsgemäß gemindert.
B Die Kontrolle ist vorhanden, aber nicht vollständig effizient und/ oder es wurden Probleme im Hinblick auf die Formalisierung festgestellt. Es besteht ein begrenztes Restrisiko.
C Kontrolle vorhanden, aber unvollständig. Es besteht noch ein gewisses Restrisiko.
D Ineffiziente Kontrolle. Es besteht noch ein erhebliches Restrisiko.
E Keine Kontrolle. Es besteht weiterhin ein hohes Risiko.

Die Herausforderungen von Outsourcing und dem schleichenden Anwachsen von Berechtigungen

Saint-Gobain SA führte SAP erstmals im Jahr 2001 ein und sah sich mit mehreren Herausforderungen konfrontiert, wobei sie an den Zugriffskontrollprüfungen immer wieder scheiterte.

Als erste Herausforderung erwies sich die Zugriffskontrollmethodik, die bei der anfänglichen SAP-Implementierung ausgewählt wurde. Die auftragsbasierten Rollen waren zu umfangreich gefasst und boten den Benutzern einen zu breiten Zugriff.

Typisch für die meisten Unternehmen, die SAP einsetzen, stand Saint-Gobain SA auch vor der Herausforderung eines schleichenden Anwachsen der Berechtigungen („authorization creep“), bei dem die Benutzer zusätzliche Zugriffsrechte erbten im Rahmen des internen Wechsels zwischen Arbeitsplätzen und Geschäftsbereichen innerhalb der Gruppe. Bei einem Wechsel auf eine neue Stelle entstand eine Übergabephase, in der der Benutzer vorübergehend auf seine vorherige

Rolle zugreifen musste. Da es jedoch keine Zugriffsrisikolösung gab, die diese Risiken aufzeigte, blieb der Zugriff häufig bestehen. Dies führte zu einer undichten Informationssperre („Leaky Chinese Wall“) zwischen den Unternehmen.

Saint-Gobain SA beauftragte einen ausgelagerten Anbieter für SAP-Berechtigungen, um technische Funktionen wie z.B. Rollenwechsel durchzuführen. Die Zusammenarbeit mit einem ausgelagerten Anbieter brachte zwei unerwartete Herausforderungen mit sich:

  1. Der Dienstleister handelte ausschließlich anhand der Ausführung seines Ansatzes und bot niemals Hinweise auf bewährte Praktiken. Mit der Anwendung von Rollenwechseln wurden viele der riskanten Praktiken im System verankert.
  2. Der ausgelagerte Anbieter wechselte die Sicherheitsressourcen mehrmals. Dies führte zu Inkonsistenzen bei der Rollenmethodik, da jede Ressource einen bevorzugten Ansatz hatte.

Ohne eine Zugriffsrisikolösung war die Auswirkung der SAP-Zugriffsänderungsanforderung auf das Zugriffsrisiko nicht sichtbar.

 

Die GRC-Reise beginnt

Starke Fundamente, ähnlich einem mehrstöckigen Gebäude

Nach der Evaluierung einer Reihe von möglichen SAP-Zugriffsrisiko- bzw. GRC-Lösungen hat Saint-Gobain SA die Soterion-Lösung 2015 ausgewählt und implementiert. Die Implementierung einer Zugriffsrisikolösung war jedoch nicht das Allheilmittel, das Saint-Gobain SA erwartet hatte.

Saint-Gobain SA bestand die Audits immer noch nicht, da die Benutzer einen bereichsübergreifenden Zugriff hatten, obwohl eine Lösung für das Zugriffsrisiko vorhanden war.

Saint-Gobain SA setzte sich leidenschaftlich für die Implementierung guter SAP-Sicherheit ein. Sie erkannten, dass sie nicht bloß eine Lösung für das technische Zugriffsrisiko brauchten, und wandten sich an Soterion um Hilfestellung beim Verständnis und der Behebung der zugrunde liegenden Probleme.

Bei der ersten Beratung mit Soterion wurden zwei kritische Punkte hervorgehoben:

  1. Saint-Gobain SA hatte einen Mix von Rollenmethoden, der die Zuweisung eines angemessenen Rollenzugriffs übermäßig erschwerte.
  2. Die Risikobewertung zeigte viele Rollen auf, die bereichsübergreifenden Zugriff hatten, wodurch eine undichte Informationssperre („Leaky Chinese Wall“) zwischen den verschiedenen Abteilungen entstand.

Eine robuste Zugriffskontrolle kann mit einem mehrstöckigen Gebäude verglichen werden. Ein starkes Fundament erfordert ein gutes Rollendesign sowohl für geschäftliche als auch für technische Rollen. Die Organisation profitiert von einer GRC-Lösung, sobald ein starkes Fundament vorhanden ist. Nachdem ein solides Rollendesign und GRC-Prinzipien eingeführt sind, kann der nächste Stock (Identitätszugriffsmanagement (IAM)) eingebaut werden, welches eine feinkörnige Zugriffskontrolle fördert und gewährleistet.

 

Eine GRC-Turnaround-Roadmap

Rollen-Redesign

Bei der Rollengestaltung im SAP gibt es verschiedene Ansätze, die jeweils ihre eigenen Vor- und Nachteile haben. Für Saint-Gobain SA wurde ein Vergleich zwischen einer Methode für abgeleitete Rollen und einer Methode für Aufgaben-/ Wertrollen durchgeführt. Entsprechend den Anforderungen von Saint-Gobain SA wurde das folgende Ergebnis ermittelt:

 

Rollendesign Methodik Vorteile Nachteile
Abgeleitet
  • Allgemein bekannte Methodik
  • Wenn kleine (funktionale) Rollen angelegt werden, entstehen am Ende viele Rollen, die für jede Organisationsebene oder jedes Kontrollfeld abgeleitet werden
  •  Beratungsintensiv
Aufgabe und Wert
  • Weniger Rollen, bessere Sichtbarkeit des Benutzerzugriffs
  • Leichtere Risikosanierung für überflüssige Rollen
  • Feinkörnige oder angemessene Zuweisung des Zugriffs
  • Keine allgemein bekannte Methodik
  • Erfordert fortgeschrittenere Sicherheitsadministratoren, um die Lösung robust zu halten
Zusammengestellt
  • Einfache Wartung oder Unterstützung
  • Minimale Flexibilität, breiterer Zugriff (mehr Risiko)

Bei ihrem Rollendesign war es für Saint-Gobain SA vor allem wichtig, ein Gleichgewicht zwischen Flexibilität und Kontrolle zu finden. Saint-Gobain SA entschied sich für die Erstellung kleinerer Funktions- oder Aufgabenrollen (z.B. Auftragsbearbeitung), um das erforderliche Maß an Flexibilität zu gewährleisten. Die Methode für abgeleitete Rollen wurde abgelehnt, da Saint-Gobain aufgrund der Anzahl kontrollierender Feldwerte (Buchungskreise oder Werke usw.) eine erhebliche Anzahl von Rollen erhalten hätte. Letztendlich wurde die Rollenmethodik auf der Grundlage von „Aufgabe und Wert“ gewählt, die auf geschäftliche und technische Rollen angewandt werden sollte.

Den Rollentypen entsprechend wurde das Projekt wie folgt aufgeteilt::

  1. Geschäftsendbenutzer-Rollen: Mit Hilfe der Benutzer-Transaktionsprotokolle (SM20) wurden Aufgabenrollen den Benutzern zugewiesen, und zwar auf der Grundlage historischer Daten in Kombination mit der Genehmigung durch den Linienvorgesetzten. Eine Reihe von funktionalen Rollen wurde identifiziert und als Geschäftsrollen angewendet. Dies ermöglicht eine einfache Änderung, falls erforderlich. Der Zugriff auf die Organisationsebene wurde über Wertrollen bereitgestellt.
  2. Technische Rollen (Phase 1): Geeignete Aufgabenrollen, die mit technischen Aufgabenfunktionen (z.B. Basis, Berechtigungsverwaltung usw.) verbunden sind, begrenzten das Risiko eines breiten Zugriffs auf internes Support-Personal und ausgelagerte Anbieter.
  3. Technische Rollen (Phase 2): Beschränkung der basiskritischen Berechtigungsobjekte, mit besonderem Schwerpunkt auf der Implementierung eines feinkörnigen Remote Function Call (RFC)-Zugriffs.

Anpassung des Regelsatzes

Regelsätze sind kombinierte Regeln, die an identifizierte GRC-Risiken geknüpft sind. Sie sollen dazu dienen, mindernde Kontrollen mit den in den Geschäftsprozessen auftretenden Risiken zu verknüpfen. Soterion entwickelte einen Standard-Regelsatz, der an die Bedürfnisse von Saint-Gobain SA angepasst werden musste.

Die Soterion-Lösung wurde mit einem marktführenden Regelsatz für Zugriffsrisiken implementiert. Wie bei allen standardmäßigen bzw. vorkonfigurierten Regelsätzen sind sie jedoch so konzipiert, dass sie auf Unternehmen in verschiedenen Branchen und Regionen anwendbar sind. Die Anpassung des Regelsatzes an die spezifischen Anforderungen von Saint-Gobain SA war ein wichtiger Schritt auf dem Weg zur Gewährleistung der Annahme durch das Unternehmen.

Minderungen

Da es unmöglich ist, ohne jegliches Zugriffsrisiko zu betreiben, spielt die Minderung des Risikos für die Organisation eine entscheidende Rolle. Dabei war es wichtig, die unvermeidlichen und für die Organisation relevanten Risiken zu mindern. Viele Kontrollen waren bereits im Unternehmen vorhanden. Diese Kontrollen wurden identifiziert und in einem zentralen Repository dokumentiert und den Risiken in dem angepassten Regelsatz zugeordnet.

Schulung für Führungskräfte

Ein Teil der Lösung bestand darin, die Vorgesetzten über Risiken und die für ihren Verantwortungsbereich relevanten Minderungskontrollen zu schulen und die Eigenverantwortung zu fördern. Damit sie fundierte Geschäftsentscheidungen treffen können, erhielten die Geschäftsbereichsleiter eine Schulung, die ihnen verdeutlicht, was sie überprüfen. Dadurch wird auch eine Kultur des Risikobewusstseins in der Organisation gefördert.

Notfallzugriffsverwaltung

Unter bestimmten Umständen benötigen Geschäfts- und Supportbenutzer vorübergehenden oder Ad-hoc-Zugriff (Notfall), um geschäftskritische Aktivitäten durchzuführen.

Saint-Gobain SA implementierte den Erhöhte-Berechtigungen-Manager von Soterion, um den Zugriff auf sensible Daten und Notfälle zu verwalten. Dieses Modul stellt sicher, dass sowohl Support- als auch Geschäftsbenutzer bei Bedarf auf geregelte Weise Zugriff auf sensible Funktionen haben. Erhöhte-Berechtigungen-Sitzungen werden protokolliert, und ihre Aktivität wird zur Überprüfung an die Eigentümer gesendet.

Die Reise fortsetzen: Nächste Schritte für Saint-Gobain SA

Ein regelrechtes GRC-Management stellt einen fortlaufenden Prozess dar. Jede GRC-Reise hat eine flexible, effektiv gesteuerte Verwaltung der Benutzerzugriffsrechte zum Ziel.

Die nächsten Schritte auf diesem Weg sind für Saint-Gobain SA:

  1. Überprüfung des Benutzerzugriffs: Implementierung eines Zugriffsanfrage-, -überprüfungs- und -genehmigungsprozesses.
  2. Identitätsmanagement: Als zusätzliche Schicht zur Bereitstellung einer feinkörnigen Zugriffskontrolle wird Saint-Gobain SA den Geschäftsfall für eine IAM-Lösung in Erwägung ziehen.

 

GRC als Managed Service

More than outsourcing

Ein SAP-System verändert sich ständig, während sich die Organisation weiterentwickelt. Mitarbeiter wechseln zwischen den Abteilungen, neue Mitarbeiter kommen hinzu, und im Falle einer Unternehmensgruppe wechseln die Mitarbeiter manchmal zu Schwestergesellschaften. Der Benutzerzugriff muss sich bei jeder Bewegung eines Mitarbeiters ändern, aber ohne entsprechende Unterstützung bleibt er oft falsch zugeordnet.

Saint-Gobain SA begreift den Grund für ihre Schwierigkeiten bezüglich SAP-Berechtigung vor ihrer GRC-Reise und möchte sicherstellen, dass die Lösung weiterhin in gutem Zustand bleibt. Sie erkennen, dass die Integrität ihrer Berechtigungslösung weitgehend davon abhängt, dass ihr ausgelagerter Anbieter in der Lage ist, Best Practices im Einklang mit dem neuen Ansatz zu implementieren.

Die Misserfolge, die bisher bei ausgelagerten Anbietern zu verzeichnen waren, brachten zum Ausdruck, dass sie nicht lediglich Berechtigungen auslagern wollen. Stattdessen sind sie auf der Suche nach einem umfassenderen Angebot: GRC als Managed Service.

Was ist GRC als Managed Service?

GRC als Managed Service entspricht einer Beziehung zwischen dem Dienstleister und dem Kunden, die Fachwissen und Technologie zur Erfüllung bestimmter Bedürfnisse beiträgt. Es handelt sich nicht nur um die Auslagerung technischer Aktivitäten sondern um eine Partnerschaft, bei der der Dienstleister den Kunden so betreut, als wäre er Teil des Unternehmens.

Für SAP GRC geht ein Managed Service über die standardmäßigen SAP-Berechtigungen hinaus und umfasst auch Risiken, Kontrollen und Prüfungsunterstützung.

Mit zunehmender Reife im Rahmen ihrer GRC-Reise hat Saint-Gobain SA dank ihres internen Fachwissens einige der Aktivitäten firmenintern übernommen. Das bedeutet, dass sie sich nicht mehr zur Ausführung von Berechtigungsfunktionen vollständig auf den ausgelagerten Anbieter verlassen müssen. Stattdessen müssen jetzt nur noch die inhaltlichen Änderungen der Rollen ausgelagert werden, während die Rollenzuweisung intern abgewickelt wird.
Im Rahmen dieser Entwicklung führte Saint-Gobain SA eine interne Kontrollabteilung ein. Dadurch konnte die Verantwortung von der IT auf das Unternehmen verlagert werden, wodurch die Prozessverantwortlichen einen besseren Einblick in bzw. eine bessere Kontrolle über die Risiken in ihrem Bereich erhielten.

 

Zusammenfassung

Für Saint-Gobain SA stellte die Steuerung des Zugriffs auf ihre SAP-Systeme eine ständige Herausforderung dar. Sie hatten keine klare Sicht auf ihr Zugriffsrisiko und litten unter einem schleichenden Anwachsen der Berechtigungen. Zudem wurden die Probleme durch ausgelagerte Partner noch verschärft, indem diese sie nicht an Best Practices heranführten, sondern lediglich technische Funktionen auf Anfrage ausführten.

Mit dem Wechsel jeder ausgelagerten Ressource wurde die Verwaltung des Rollenzugriffs durch unterschiedliche Rollendesign-Methodiken übermäßig kompliziert. All diese Probleme spiegelten sich in den Ergebnissen von Überraschungsaudits wider, die die Organisation häufig nicht bestand.

Nach der Zusammenarbeit mit Soterion war Saint-Gobain SA auf den Erfolg des Audits vorbereitet, und zwar durch das Rollen-Redesign. Durch besseres Verständnis der Geschäftsrisiken und ein höheres Maß an Zugriffskontrolle entwickelten die Prozessverantwortlichen mehr Geschäftsverantwortung. Die Lösung von Soterion bietet den Geschäftsbereichsleitern mehr Transparenz, Kontrolle und Buy-in von Seiten des Managements.

Governance, Risikomanagement und Compliance ist eine fortlaufende Reise. Durch die Zusammenarbeit mit Soterion hat Saint-Gobain SA eine sichere Grundlage für ihre Berechtigungen und einen klaren Zukunftsplan aufgestellt.

  • Teilen

Zurück zur Liste der neuesten Nachrichten