Information und Bildungsarbeit von und für die SAP-Community

Bei Industrie 4.0 kommt die Sicherheit schnell unter die Räder

Vor einigen Jahren prüfte ich das Berechtigungskonzept eines Anlagenbauers mit mehreren Tausend Mitarbeitern – und was musste ich da feststellen: Die Einkäufer eines Werks konnten in den jeweils anderen Werken…
Bernd Israel, Sivis
13. Juli 2017
It-Security
avatar

Im Falle des Anlagenbauers kam diese Kombination an Berechtigungen durch ein historisch gewachsenes Berechtigungskonzept zustande, in dem Rollen immer weitervererbt und mit zusätzlichen Transaktionen angereichert wurden.

Leider ist diese Vorgehensweise bei vielen Unternehmen auch heute noch gängige Praxis und macht es Mitarbeitern einfach, sich auf Kosten der eigenen Firma zu bereichern.

Dem wirkt ein gutes SAP-Berechtigungsmanagement entgegen. Es reduziert die Gefahr, dass es zu unberechtigten Zugriffen auf kritische Daten in SAP-Systemen kommen kann.

Wesentlich für den Datenschutz in Unternehmen und Organisationen ist ein auf dem neuesten Stand befindliches Berechtigungskonzept. Es belegt, wer in der Firma auf welche Daten Zugriff hat.

Ein ausgefeiltes Berechtigungskonzept berücksichtigt auch Mitarbeiter-Vertretungen bei Krankheit und Urlaub. Es berücksichtigt den Wechsel von Mitarbeitern in andere Abteilungen – oder ihren Weggang. Neue Nutzer werden automatisch in das Berechtigungskonzept integriert.

Aber eine andere Entwicklung macht mir viel größere Sorgen. Neue IT-Trends wie mobile Endgeräte und damit verbundene Anwendungen konterkarieren in Unternehmen das Thema Sicherheit – und zwar von Grund auf.

Dabei spiele ich vor allem auf direkte Vernetzungen auf Geräteebene durch IoT und Industrie 4.0 an. Das muss man sich mal vorstellen: Plötzlich erhalten selbst Geräte Zugriffsrechte auf personenbezogene Daten und verarbeiten diese automatisiert.

Alle reden zwar von Industrie 4.0 – und jeder will noch schnell auf den fahrenden Zug aufspringen. Das Thema Sicherheit kann dabei aber schnell unter die Räder kommen.

Bei der IT-Sicherheit kommt es zudem immer öfter darauf an zu prüfen, ob Mitarbeiter ihre Berechtigungen wirklich sachgerecht einsetzen und nicht missbrauchen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) thematisiert das Thema SAP-Rollen- und -Berechtigungskonzepte in seinem IT-Grundschutzkatalog, dessen Lektüre ich jedem IT-Leiter nur ans Herz legen kann.

Hier wird ausdrücklich auf die Notwendigkeit einer besonders sorgfältigen Vergabe von kritischen Berechtigungen sowie der regelmäßigen Überprüfung des bestehenden Rollen- und Berechtigungskonzeptes hingewiesen.

Doch wie lässt sich dies im Unternehmensalltag möglichst einfach umsetzen? Und was ist mit kritischen Berechtigungskombinationen, also mit zwei Berechtigungen, die erst zusammen vergeben kritisch werden?

Das A und O ist hier ein durchdachtes Berechtigungskonzept. Hier sollte jeder CEO von Beginn an darauf achten, dass durch die Kombination von Berechtigungen keine Risiken entstehen.

Sensible Berechtigungen sollten nur bei absoluter Notwendigkeit vergeben werden. SAP-Anwender können sich hier am DSAG-Prüfleitfaden orientieren. Ein internes Kontrollsystem (IKS) ist ebenfalls von Vorteil.

Änderungen lassen sich z. B. automatisch lückenlos und nachvollziehbar dokumentieren, sofern man das SAP-Berechtigungswesen mit Funktionen oder Tools von Drittanbietern komplettiert.

Im Idealfall sollte man die Auswirkungen der Vergabe neuer Berechtigungen bereits im Vorfeld der Produktivsetzung simulieren können. Nur so können typische Konflikte rechtzeitig und automatisch erkannt und gebannt werden.

Ferner lassen sich auf diese Weise alle Rollen und Berechtigungen periodisch oder anlassbezogen ohne großen Aufwand prüfen. Und noch eine Sache liegt mir am Herzen: Ihr Unternehmen profitiert zusätzlich, wenn Sie bei der Umsetzung neuer Compliance-Anforderungen an Ihr Berechtigungsmanagement auch die Folgen von Datenabflüssen neu bewerten.

Denn diese verursachen immer höhere Kosten, wie die 11. aktuelle Data Breach Study von Ponemon belegt. Danach sind die Gesamtkosten für Datenmissbrauch in Unternehmen von zwölf Industrieländern von 3,8 auf 4 Millionen Dollar angestiegen.

Ob das Berechtigungskonzept Ihres Unternehmens diesen vielen Bedrohungslagen standhält, sollten Sie besser heute als morgen unter die Lupe nehmen.

avatar
Bernd Israel, Sivis

Als ehemaliger Head of Point of Business bei T-Systems Schweiz, ist Bernd Israel heute Geschäftsführer von Sivis.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.