Wer darf was und warum?
Ungeliebt, aber absolut notwendig: das SAP-Berechtigungskonzept
Unter SAP R/3 war das Berechtigungskonzept einfacher und somit manuell zu bewältigen. Mit dem NetWeaver, Engines und Rollen bekam das SAP’sche Berechtigungskonzept eine Komplexität, die entweder ausgeblendet wurde oder nur noch mit IT-Werkzeugen zu beherrschen war. Aufgrund von Compliance-, Governance- und Security-Regeln wurde die sorgfältige und nachvollziehbare Pflege des Berechtigungskonzepts von ERP/ECC 6.0 zur zentralen Aufgabe der SAP-Basis. Um der Komplexität eines modernen S/4-Systems gerecht zu werden, braucht der Administrator passende IT-Werkzeuge.
Eine weitere wichtige Aufgabe eines konsistenten Berechtigungskonzepts liegt in der Rollenverteilung hinsichtlich der User-Lizenzen. Eine unüberlegte Vergabe von Rollen kann schnell in hohen Lizenzgebühren enden.
Warum spielt das SAP-Berechtigungskonzept eine zentrale Rolle für die Sicherheitsstrategie?
Phillip Latini, Sivis: Im SAP-System liegen sensible Daten und Kernprozesse. Diese gilt es nicht nur vor Cyberangriffen von außen, sondern auch vor internen Risiken zu schützen. Eine Zugriffskontrolle ist deshalb zum Schutz der Integrität, Vertraulichkeit und Verfügbarkeit unverzichtbar. Hinzu kommen externe Sicherheitsanforderungen des Gesetzgebers oder von Geschäftspartnern, die ebenfalls im Berechtigungskonzept abgebildet werden müssen.
SAP verwendet eine rollenbasierte Zugriffskontrolle. Was ist die Herausforderung an Role Based Access Control?
Latini: Das Modell, Berechtigungen in Rollen zu bündeln und dann jedem Nutzer Rollen zuzuordnen, macht die Erstellung von SAP-Berechtigungskonzepten komplex. Auch unsere Consultants verwenden in SAP-Projekten sehr viel Zeit darauf, Rollen zu bauen und Tabellen mit Berechtigungen zu füllen. Obwohl wir in den letzten Jahren einige Tools entwickelt haben, die solche Aufgaben beschleunigen, waren wir nicht zufrieden. Mithilfe von Automation durch evolutionäre Algorithmen ist hier noch weit mehr möglich – unser neuer virtueller Rollenberater, der Authorization Robot, ist das Ergebnis. Er bietet im gesamten Lebenszyklus der SAP-Berechtigungskonzepte enormes Effizienzpotenzial.
Was sind für SAP-Kunden die drei größten Vorteile automatisiert erstellter Berechtigungskonzepte?
Latini: Erstens die Geschwindigkeit. Auf Basis der Auswertung unserer Beta-Testphase gehen wir davon aus, dass der Authorization Robot künftig bis zu 95 Prozent der Beraterstunden für den Rollenbau einsparen kann. Zweitens werden Fehlerquellen und Sicherheitslücken minimiert. Und drittens stellt die Automatisierung sicher, dass Best Practices zuverlässig eingehalten werden.
Das Berechtigungskonzept spielt auch bei der Lizenzvermessung eine Rolle. Ist es dann ein CIO- oder ein CFO-Thema?
Latini: Die Lizenzvermessung ist insbesondere bei der Migration auf S/4 Hana spannend: Da die Lizenzkosten je User künftig nicht mehr von seiner tatsächlichen Nutzung, sondern vom Berechtigungsumfang abhängen können, schlummern in alten Berechtigungskonzepten unkalkulierbare finanzielle Risiken. Das Redesign ist deshalb ein hochaktuelles CFO-Thema! Auch hier bietet der virtuelle Rollenberater großes Potenzial, da er Konzeptvorschläge ganz gezielt für das Kriterium der Lizenzkosteneinsparung berechnen kann – und zwar schneller und passgenauer als jeder SAP-Consultant.
Verlagert sich die Verantwortung für SAP-Berechtigungskonzepte in Richtung Management?
Latini: Auf jeden Fall hat sich das Bewusstsein für Sicherheitsrisiken in den letzten Jahren deutlich erhöht, über alle Ebenen des Unternehmens hinweg. Technisch und organisatorisch ist zwar nach wie vor die IT-Abteilung für Berechtigungskonzepte verantwortlich, aber der Input wird zunehmend von den Fachabteilungen eingefordert. Automatisierte Lösungen können hier Brücken bauen und Verantwortliche entlasten. Das Management hat die wichtige Aufgabe, verbindliche Leitplanken vorzugeben – beispielsweise mit Prinzipien wie „Zero Trust“ – und das Thema Sicherheit transparent zu kommunizieren.
Moderne Softwarelandschaften integrieren neben SAP häufig noch weitere Systeme. Werden auch die Berechtigungskonzepte hybrid?
Latini: Berechtigungen sind ein ganzheitliches Thema, auch heute schon. Microsoft, Ticketsysteme und branchenspezifische Insellösungen, On-premises und in der Cloud: Jeder User bewegt sich in seinem beruflichen Alltag in vielen verschiedenen Welten. Auch hier wird Automatisierung ein sinnvoller Ansatz sein, um die wachsende Komplexität systemübergreifend zu verwalten. Der Authorization Robot ist technisch so konzipiert, dass wir die virtuelle Unterstützung für Berechtigungskonzepte jederzeit auf andere Ökosysteme übertragen können.
Lässt sich auch die laufende Pflege der Berechtigungen im SAP-System automatisieren?
Latini: Sein volles Potenzial spielt der virtuelle Rollenberater bei der Berechnung von initialen Rollenkonzepten und aufwändigen Redesign-Projekten aus. Aber auch für punktuelle Überprüfungen oder jährliche Aktualisierungen bietet die Automatisierung Performance-Vorteile. Für die laufende Pflege des Berechtigungskonzepts bringt die Sivis-Plattform ergänzende digitale Tools mit, wie den Role Manager oder den Compliance Manager.
Welche Ressourcen benötigt der Einsatz des Authorization Robot hinsichtlich Systemvoraussetzungen und Manpower?
Latini: Die Anbindung des Authorization Robot an das SAP-System erfolgt über den benutzerfreundlichen Sivis Web Manager. Benötigt wird außerdem eine Docker-Umgebung auf einem Linux-Server – die Rechenleistung hängt von der Größe des Unternehmens ab. Die Analyse und das Clustering der Tracing-Daten sowie die Erstellung der Konzeptvorschläge laufen vollständig automatisiert ab. Die menschlichen Interaktionen beschränken sich auf die Vorgabe der gewünschten Zielkriterien – beispielsweise „maximale Sicherheit“ oder „Lizenzkosten-Optimierung“ – und eine abschließende Verifizierung der generierten Vorschläge. Die Nutzung ist intuitiv und benötigt keine aufwändige Schulung.
Ist der Svis Authorization Robot durch SAP zertifiziert?
Latini: Der neue Authorization Robot ist Teil unserer SAP-zertifizierten Plattform, die zahlreiche Tools rund um Identity and Access Management, Compliance und Governance, Role Management und Berechtigungskonzepte sowie License und Asset Management integriert. Seit April 2023 kann der Authorization Robot als Software as a Service für SAP-Umgebungen lizenziert werden.
E-3: Herr Latini, danke für das Gespräch.