Information und Bildungsarbeit von und für die SAP-Community
IT Management, MAG 24-11

Gelöst: SoD-Probleme bei der S/4-Migration

Das Agrarunternehmen U.S. Sugar suchte im Rahmen einer S/4-Migration eine Lösung zur Überprüfung von Funktionstrennungskonflikten für seine rund 2500 Mitarbeitenden. Die Wahl fiel auf Pathlock, einen globalen Marktführer für Access Governance und Application Security.
Pathlock
8. November 2024
Inhalt:
avatar

Das Agrarunternehmen U.S. Sugar baut Zuckerrohr, Zitrusfrüchte und Zuckermais an und verarbeitet diese für namhafte amerikanische Marken weiter. Im Rahmen der Migration auf SAP S/4 Hana suchte das Unternehmen für seine rund 2500 Mitarbeitenden eine Lösung zur Überprüfung von Funktionstrennungskonflikten. Die Wahl fiel auf die Zusammenarbeit mit Pathlock, dem globalen Marktführer für Access Governance und Application Security. Eine Success-Story.

Immer häufiger setzen Unternehmen bei ihren Business-Applikationen auf einen Mix aus On-premises und Cloud-Anwendungen. Und mit der zunehmenden Verbreitung vernetzter Applikationen, sei es im Beschaffungswesen, der Kredi­toren-/Debitorenbuchhaltung oder im Customer Relationship Management, steigen auch die Sicherheitsrisiken. Dies gilt in besonderem Maße für Konflikte der Funktionstrennung (Segregation of Duties, SoD). Um aktuellen und auch zukünftigen SoD-Risiken zu begegnen, müssen Unternehmen eine anwendungsübergreifende Sicht auf ihr Access Management entwickeln, das neben der Absicherung und Überwachung von On-premises-Anwendungen auch Cloud-Applikationen einschließt.

U.S. Sugar nahm mit Matthew Miller, Senior Director of IT Business Solutions & Benefits, die anstehende S/4-Hana-Migration zum Anlass, rechtzeitig Maßnahmen einzuleiten, um die historisch gewachsenen und durch die hybriden Systemlandschaften nochmals verstärkten SoD-Risiken nicht mitzumigrieren. Auf der Suche nach einer Möglichkeit, die Compli­ance-Konformität zu monitoren, SoD-Konflikte zu beheben und die Kontrollen zu dokumentieren, hat das Unternehmen zahlreiche alternative Lösungen verglichen mit dem Ergebnis, dass die Software-Suite von Pathlock genau das abdeckt, was gewünscht wurde.

Ein Vorteil der Pathlock-Lösung: Sie bietet bereits vordefinierte, schnell anpassbare und dynamische SoD-Regelwerke für nahezu alle führenden Geschäftsanwendungen. Das Ziel von U.S. Sugar war, die erprobten Pathlock-Regelwerke unternehmensspezifisch anzupassen und mit einem wirksamen Warnsystem zu implementieren. Es sollte Benutzerrechte effektiv durchsetzen und entweder notwendige Korrekturen vornehmen oder Kontrollmechanismen enthalten, um auf Verstöße umgehend reagieren zu können.

Früherkennung von SoD-Risiken

U.S.-Sugar-IT glich zunächst die eigenen Funktionstrennungskonflikte der vergangenen Jahre mit den Risikoeinstufungen der vordefinierten Regelwerke von Pathlock ab. Die Ergebnisse wurden im Anschluss auf ihre Relevanz für die Buchhaltungs- und die Finanzabteilung des Unternehmens analysiert. Als Folge wurden unternehmensspezifische Risikoeinstufungen angepasst, Kritikalitäten von Berechtigungen herausgenommen oder gesenkt, andere hinzugefügt oder erhöht.

Schließlich wurden alle identifizierten Konflikte mit einer hohen kritischen Bewertung individuell geprüft und entweder kompensierende Kontrollen in das System integriert oder auch problematische Benutzerrechte ganz aus Rollen entfernt. Maßgeblich war mithilfe der angepassten Regelwerke der Pathlock Suite und der Automatisierung der Prozesse, nicht nur den neu erreichten Status quo zu erhalten, sondern künftig potenzielle SoD-Risiken bereits vor der Vergabe neuer Berechtigungen zu erkennen.

Übergreifende Sicherheitschecks

An der Pathlock Suite gefiel U.S. Sugar besonders, dass die Software nicht nur alle betrieblichen und gesetzlichen Anforderungen erfüllt, sondern auch ausgesprochen benutzerfreundlich ist. Pathlock zeigt mögliche SoD-Risiken bereits bei der Beantragung eines neuen Zugriffs, zum Zeitpunkt der Vergabe und auch während der Prüfzyklen auf.

Dadurch ist U.S. Sugar nun in der Lage, SoD-Verstöße frühzeitig zu erkennen und in Situationen, in denen eine sofortige Behebung nicht möglich ist, entsprechende Kontrollmaßnahmen einzuleiten. Darüber hinaus werden Benutzerkonten, Berechtigungen und Daten über sämtliche Business-Applikationen hinweg mitei­nander verknüpft und analysiert, was das Management von SoD-Konflikten erleichtert. Durch anwendungsübergreifende Schnittstellen konnten auch CRM-Applikationen wie Oracles PeopleSoft nahtlos in den neuen Compliance-Prozess inte­griert werden.

Keine Angst vor dem Audit

Das erspart nicht nur die Arbeit mit Tabellen und Testmustern, sondern auch den Bedarf an externen Beratern und reduziert somit sowohl Risiken als auch Ressourcen. Zudem sorgen detaillierte Berichte dafür, dass jeder Schritt dokumentiert wird, was die regelmäßigen Audits erheblich vereinfacht. Matthew Miller betont, wie viel gelassener sein Team nun den jährlichen Audits entgegensieht, in dem Bewusstsein, dass es den Prüfern die systemgenerierten Berichte sowie die Compliance-Konformität, inklusive einer Liste aller kompensierenden Kontrollen, auf Knopfdruck vorlegen kann. Die Prüfung verläuft durch den hohen Automatisierungsgrad jetzt insgesamt viel reibungsloser.

Risiken während der S/4-Migration

Matthew Miller sieht heute den Einsatz der Software-Suite als entscheidenden Faktor für die erfolgreiche Transition. So wurde die Umstellung auf SAP S/4 Hana perfekt genutzt, um gleichzeitig Maßnahmen zu ergreifen, das Unternehmen künftig noch besser vor Risiken durch kritische User-Berechtigungen zu schützen. Auch wenn es sich nicht um ein Problem der Funktionstrennung handle, sei es für sein Unternehmen maßgeblich zu überwachen, wer Zugang zu kritischen Transaktionen hat. U.S. Sugar verwendet zudem das Superuser Management von Pathlock. Damit werden alle Aktivitäten, die von privilegierten Usern durchgeführt werden, überwacht, lückenlos dokumentiert und zur Überprüfung bereitgestellt.

Nahtlose SoD-Analysen

Wie wichtig eine applikationsübergreifende SoD ist, erweist sich für U.S. Sugar ganz aktuell durch den Erwerb einer Raffinerie in Savannah, die PeopleSoft nutzt. Mit der Path­lock Suite, so Matthew Miller, ist es nun möglich, deren Sicherheitsregeln in ein zentrales Berichtssystem einzubeziehen. Dies ermöglicht eine Analyse, um übergreifend Funktionstrennungskonflikte zu erkennen – und dort, wo sich SoD-­Risiken nicht ad hoc beseitigen lassen, eine gute kompensierende Kontrolle zu finden.

Die Lösungen von Pathlock bieten eine Dashboard-basierte Darstellung des aktuellen Risikostatus inklusive der applikationsübergreifenden SoD-Analyse. Die Anwendung der vorkonfigurierten und individuell anpassbaren Pathlock-Regelwerke erspart den Einsatz von Tabellen, Testmustern und externen Beratern und reduziert damit nicht nur Risiken, sondern auch benötigte Ressourcen. Die automatisierte SoD- und Risikoanalyse sowie das automatisierte Reporting für alle gängigen Business-Applikationen ermöglichen so, die ­gesetzlichen Anforderungen einfach und zeitsparend zu erfüllen, seien es SAP ERP, S/4, Cloud-Applikationen oder Non-SAP-IT-Systeme.

Auf diese Weise können Unternehmen eine zentrale, anwenderfreundliche Plattform nutzen, um Funktionstrennungskonflikte über ihre gesamte Anwendungslandschaft hinweg zu identifizieren, schnell zu beheben und kontinuierlich zu überwachen. Eine solche Strategie hält allen Audits stand und bildet eine solide Basis der GRC.

Zum Partnereintrag.

Schreibe einen Kommentar

Der smarte Weg zum erfolgreichen Change

Solid Core: Best Practices für die S/4-Migration

Analyse von Clean-Core-Ansätzen für die SAP-S/4-Hana-Migration

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.