Information und Bildungsarbeit von und für die SAP-Community
MAG 15-06, Szene

SAP-Berechtigungen – Sicherheit braucht Überblick

Deutsche Unternehmen erhöhen seit Jahren ihre Ausgaben für die IT-Sicherheit. Doch Angriffe auf ihr SAP-System bemerken viele Unternehmen nicht. Es kommt immer häufiger zu Unterschlagungsfällen und Datenraub. Nur die Spitze des Eisbergs gelangt an die Öffentlichkeit. Ein Schlüssel für mehr SAP-Sicherheit ist die saubere Vergabe und dauerhafte Prüfung der Benutzerberechtigungen.
E-3 Magazin
22. Juni 2015
Inhalt:
2015
avatar

Der Azubi durchläuft alle Abteilungen im Unternehmen, erhält immer neue SAP-Berechtigungen und verfügt letztlich über weitreichende Rechte. Dieses überspitzte Beispiel ist der Realität in manchen Unternehmen nicht so fern.

Ursache sind oft historisch gewachsene, immer komplexer gewordene SAP-Strukturen. Entstehende Sicherheitsrisiken bleiben meist über Jahre unentdeckt. Einem solchen Zustand wollte Nordwest Handel, ein Handelsunternehmen im Produktionsverbindungshandel mit 950 angeschlossenen mittelständischen Handelsunternehmen, vorbeugen.

Nordwest Handel bietet neben Warenbeschaffung und Lagerhaltung/Logistik auch Dienstleistungen für Finanzen, Logistik, IT und Vertrieb. Im SAP-System, das Mitte der 90er-Jahre eingeführt und stetig ausgebaut wurde, liegen geschäftskritische Daten zur Buchführung, Controlling sowie Kunden- und Lieferantenstammdaten.

Nordwest Handel beschloss, sein SAP-Berechtigungsmanagement von Grund auf zu modernisieren. Der administrative Aufwand für die Verwaltung sollte verringert werden. Durch eine verbesserte Dokumentation sollte die Transparenz über die Prozesse hinweg erhöht werden.

Stefan Lendzian, Bereichsleiter Informatik/Systembetreuung bei Nordwest Handel, sagt:

„SAP bietet im Standard nur sehr eingeschränkte Möglichkeiten, Rollen und Risiken komfortabel zu verwalten und zu dokumentieren.“

Zur Modernisierung bieten sich einem Unternehmen aus seiner Sicht grundsätzlich drei Wege:

1. den SAP-Standard bestmöglich ausnutzen, hierfür ggf. einen externen Spezialisten hinzuziehen, 2. eine Lösung einsetzen, die außerhalb von SAP entwickelt wurde, oder 3. eine in SAP vollintegrierte Lösung nutzen.

Nordwest Handel entschied sich für den dritten Weg, um sicher zu sein, dass die gewählte Anwendung stets auf dem aktuellsten SAP-Systemstand ist. Nach einer dreimonatigen Marktsondierung wählten die Verantwortlichen hierfür die Sast GRC Suite des Hamburger Unternehmens Akquinet aus.

Das Kürzel Sast steht für „System Audit und Security Toolkit“. Steffen Maltig, Projektleiter und Senior-Berater bei Akquinet, erklärt:

„Zu Beginn stellen wir zumeist fest, dass die SAP-Berechtigungen zu großzügig ausgelegt und damit kaum zu überblicken sind. Unser Ziel ist es, sie dauerhaft möglichst passgenau zu vergeben, ohne die Handlungsfähigkeit des Unternehmens einzuschränken.“

Die Wünsche des Unternehmens wurden mittels Fragebögen erhoben. Kernfragen waren: Welche Daten sind besonders schützenswert? Wer erhält Zugriff? Durch Auswertung dieser Daten sowie der Nutzungsstatistik wurden mithilfe eines „Rollenbaukastens“ bestehend aus 700 Vorlagen für jeden Arbeitsplatz neue Rollen ermittelt.

Ziel war ein übergreifendes Arbeitsplatzberechtigungsmodell, welches in allen Organisationseinheiten anwendbar war und die Dateneigentümerschaft berücksichtigt.

Unter Zuhilfenahme von Sast wurden die Arbeitsrollen direkt einer Risikoprüfung unterzogen. Dabei prüft das System, ob alle externen Richtlinien bei der Berechtigungsvergabe eingehalten werden und Funktionstrennungen sauber erfolgen.

Es sollten auch verschiedene Einkaufs- und Verkaufsorganisationen von Nordwest Handel seitens ihrer Datenzugriffe vollständig voneinander getrennt werden, damit übergreifende Schreib- und Lesezugriffe nicht mehr möglich sind.

Bei der Neumodellierung wurden da­rüber hinaus arbeitsplatzbezogene Sammelrollen eingeführt. Nach einer finalen Testphase mit Pilotnutzern, in der letzte Berechtigungslücken geschlossen wurden, führte Nordwest Handel das neue Berechtigungskonzept gemäß Zeit- und Budgetplanung unternehmensweit ein.

Den laufenden SAP-Betrieb sichert ein automatisierter Risikomanagement-Prozess innerhalb der Berechtigungsverwaltung. Mögliche Gefahren in Echtzeit können erkannt und gemeldet werden. Ein externer Prüfer bestätigte Nordwest Handel im Anschluss an das Projekt, dass die Sicherheit des SAP-Berechtigungsmanagements die Anforderungen uneingeschränkt erfüllt.

„Wir bieten unseren Kunden, Lieferanten und Mitarbeitern langfristig ein Maximum an Datenschutz und Vertraulichkeit. Im Alltag haben wir dennoch einen geringen Pflege- und Dokumentationsaufwand“

sagt Lendzian.

avatar
E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.


Alle Artikel des Autors

Schreibe einen Kommentar

Round Table:  Personalmanagement und Finanzen, der ERP-Motor für den Mittelstand

SAP-Cloud-Verträge: Versteckte Stolperfallen

Das Ende des SolMan

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.