Information und Bildungsarbeit von und für die SAP-Community

IT-Security – bitte kein Lametta mehr

Wo das Thema IT-Security ernsthaft Budget bekommt, könnte es schwerer werden, qualifizierte Mitarbeiter zu gewinnen. IT-Talente wollen Arbeitgeber, die auf Automatisierung setzen und nicht auf manuelle Massenänderungen.
Tobias Harmes, ­mindsquare GmbH
12. September 2019
It-Security
avatar

Ich bin ein großer Fan des Pessimists-Archive-Podcasts. Jason Feifer berichtet mitreißend und überhaupt nicht angestaubt über die Geschichte des Widerstands gegen Veränderung.

Dinge, die heute eher konservativ und etabliert eingeordnet werden, waren bei der Einführung revolutionär und auch oft „vom Teufel“. So war der Walzer in den frühen 1800er-Jahren so skandalös wie später der Rock ’n’ Roll. Es haben sich sogar Menschen wegen der Ehrenhaftigkeit des Walzers duelliert. Kann gar nicht sein?

Ob etwas ernst genommen wird, sehe ich daran, ob jemand bereit ist, Geld dafür zu bezahlen. Und Security für SAP wird mittlerweile ernst genommen. Heute erlebe ich: Die Unternehmen sind bereit, etwas zu ändern.

Allerdings weiterhin nur so viel, dass es möglichst wenig am Etablierten ändert. Da werden dann neue SAP-Berechtigungen angefragt, die konfliktfrei sein und in das bestehende Konzept passen sollen. Doch das Konzept für den Betrieb lautet in der Regel, mit Menschenkraft Massenarbeit manuell zu erledigen.

Stumpf, fehleranfällig, langweilig und völlig austauschbar. Administratoren in Dutzenden von Unternehmen, die ich persönlich kennengelernt habe, arbeiten beim Thema IT-Security immer noch wie vor der Einführung des iPhones. Das war 2007.

Während nun in vielen Firmen vorne daran geschraubt wird, wie die Mitarbeiter und Kunden über hübsche neue Fiori-Oberflächen auf das SAP-System kommen, herrscht im Maschinenraum eine düstere und unheimliche Stimmung. Da wird nicht orchestriert und kontrolliert, da wird stumpf Kohle in das Feuer geschippt.

Hunderte von Rollen auf Front-End- und Back-End-Servern synchron zu halten, ohne in Konzepte und Werkzeuge für das Rollen- und Identity-Management zu investieren, ist – veraltetes Konzept.

Ein SAP-System zu betreiben, ohne ein Security-Monitoring etabliert zu haben, ist – veraltetes Konzept. Nicht in die systematische Ausbildung der Mitarbeiter hinsichtlich SAP Security zu investieren ist – Sie ahnen es schon – veraltetes Konzept.

Und das sind neue Mitarbeiter zunehmend nicht bereit zu akzeptieren. Warum auch, sie haben ja die Wahl – es gibt genügend Arbeitergeber, die dringend fachkundiges und motiviertes Personal suchen.

Wa­rum sollte ein junger Mitarbeiter sich dann auf stumpfe Jobs mit alten Konzepten einlassen? Wo er doch bei anderen Unternehmen Konzepte entwickeln und Tools konfigurieren kann, die für ihn die repetitive Arbeit erledigen?

In der „get in IT Studie 2017–2018“ heißt es:

„IT-Talente wollen innovativ arbeiten und Experten für ihr Fach werden.“

Wir haben hier also die verrückte Situation, dass Budget da ist, der Erfolg sich jedoch nicht einstellen wird. Weil ein nachhaltiges Security-Konzept immer noch von fachkundigem Personal betrieben werden muss. Und das hat keine Lust auf die „Früher war mehr Lametta“-Leier.

Es ist nicht so, dass irgendjemand etwas falsch gemacht hat. Wenn die SAP-Bestandskunden aber in der aktuellen Wirklichkeit sicher weiterexistieren wollen und nicht als Datenschleuder in den Schlagzeilen oder bei Betriebsgeheimnissen wie Rezepturen im Bankrott landen wollen, dann müssen auch Mitarbeiter gewonnen werden, die dabei helfen. Und die Unternehmen müssen auch akzeptieren, dass es mehr zu ändern gilt, als einmal „feucht durch das SAP-System zu wischen“.

In der Geschichte aller Innovationen gab es immer auch ein oder mehrere Personen, die sich nicht haben abbringen lassen von der Idee des Neuen. Auch wenn alle gemeckert, geunkt oder gebremst haben. Diesen einen muss es in jedem Unternehmen geben. Der geduldig die Vorteile des Neuen erklärt, ohne diejenigen zu brüskieren, die noch nach dem Alten streben.

Am Ende des Tages ist es wie beim Walzer: Die Jungen werden sich nicht abbringen lassen, weil sie die neue Welt verstehen und IT-Security so ernst nehmen, wie es heutzutage erforderlich ist.

Eben nicht, indem man manuell an Rollen rumschraubt oder Benutzer anlegt. Dafür entwickelt man ein Konzept und setzt auf etablierte Werkzeuge. Sodass man auch die Zeit hat, sich über neue Security-Risiken zu informieren, und Gegenmaßnahmen planen kann.

avatar
Tobias Harmes, ­mindsquare GmbH

Tobias Harmes ist SAP-Basis- & Secu­rity-Berater bei der ­mindsquare GmbH und Herausgeber des ­wöchentlichen Podcasts „SAP Basis & Security“ von RZ10.de.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.