Interessante Neuigkeiten
Blog: E-3 Magazin 05/2012: Herkulesaufgabe SAP-Berechtigungen?

Interview zu SAP-Berechtigungen im E-3-Magazin für die SAP-Community

Im Interview Mario Linkies, Geschäftsführer LINKIES. Unternehmensberatung GmbH aus Leipzig und Kurt-Jürgen Jacobs, Geschäftsführer der Nürnberger qSkills GmbH & Co. KG

 

 

E-3 Mai 2012

Herkulesaufgabe SAP-Berechtigungen?

Wenn die Einführung von SAP-Berechtigungssystemen zu wahren Heldenleistungen werden

Die Arbeitsstrukturen in modernen Unternehmen unterliegen permanenten Veränderungen. Um flexibel auf neue Anforderungen reagieren zu können, braucht es gut funktionierende, straff organisierte Berechtigungssysteme. Doch das ist leichter gesagt als getan.

Unternehmen wandeln sich, müssen auf das globale Marktgeschehen schnell, effektiv und mit Innovationskraft reagieren. Mitarbeiter kommen hinzu, scheiden aus, wechseln den Aufgabenbereich oder bilden für bestimmte Projekte ein zeitlich begrenztes Team. Um die Fluktuation im eigenen Haus besser abzubilden und darauf flexibel reagieren zu können, sind SAP-Berechtigungssysteme für Mitarbeiter ein wichtiges Element. In der Theorie klingt das einfach. In der Praxis ergeben sich vielfach Fallstricke beim Aufbau und dem Betrieb einer komplexen SAP-Berechtigungsumgebung. Wichtig ist das Verständnis für Berechtigungsprozesse sowie eine umfassende Expertise zu IT-Sicherheits- und Risikomanagementstrukturen. Warum, erklären Kurt-Jürgen Jacobs, Geschäftsführer des unabhängigen IT-Trainingsanbieters qSkills, und Mario Linkies, Unternehmensberater und Global Managing Partner der internationalen Beratungsgruppe LINKIES. Management Consulting im E-3 Interview. 

E-3: Welche Faktoren machen SAP-Berechtigungssysteme so komplex?

Kurt-Jürgen Jacobs: Zunächst die nackten Zahlen. SAP-Systeme bestehen im Standard aus mehr als 120.000 Transaktionen und Funktionen. Diese wiederum lassen sich durch Hunderte Berechtigungsobjekte schützen. Ganz zu schweigen von der Vielzahl an Berechtigungsrollen und -konzepten. Die scheinbar nackten Zahlen machen vor allem eines deutlich. Ein SAP-Berechtigungssystem ist einerseits sehr mächtig und flexibel. Andererseits äußerst komplex in der Konfiguration und im Regelbetrieb. Ein wichtiger Punkt bilden in diesem Zusammenhang mögliche kriminelle Aktivitäten durch interne und externe Mitarbeiter. Das heißt, die jeweiligen Autorisierungs- und Berechtigungsvergaben im SAP-System sind elementar innerhalb der gesamten Sicherheitsstruktur einer Organisation. Und dies setzt ein überdurchschnittliches Maß an technischem Wissen sowie fundiertem Prozessverständnis voraus. Nicht zu vergessen das Sensibilisieren vor Schwachstellen und Bedrohungen, um einen ungehinderten Datenabfluss zu vermeiden. Also alles in allem haben wir es an dieser Stelle mit einer großen Bandbreite an Faktoren, Überlegungen und potenzieller Risiken zu tun, die in ihrer Summe das SAP-Berechtigungsverfahren oft zu einer Herkulesaufgabe machen.

E-3: Wo liegen die internen Fallstricke und Knackpunkte im Umgang mit SAP-Berechtigungen?

Mario Linkies: Berechtigungen laufen oft der Realität hinterher. Schuld an dieser Misere sind historisch gewachsene Berechtigungssysteme mit einer Vielzahl an Berechtigungskomponenten und unübersichtliche Rollenarten. In vielen Unternehmen tragen Mitarbeiter unterschiedliche Berechtigungen von einem Arbeitsplatz zur nächsten Abteilung. Keiner macht sich ernsthaft darüber Gedanken. Ganz abgesehen davon, dass Kontrollen des tatsächlichen Funktionsbedarfs fehlen und eine ausreichende Betrachtung bestehender Risiken nur mangelhaft intern verankert ist. Die Folge ist eine ungenügende Transparenz ohne Kontrolle und Übersicht, ein offenes Scheunentor für den potenziellen Datenmissbrauch. Lösungen wie Soterion for SAP können Methoden wie das Reverse Business Engineering anwenden, um einen genauen Status der Benutzerrechte und Risiken aufzuzeigen. Mit dem Entfernen überflüssiger Berechtigungen, die für einen Großteil der Risiken verantwortlich sind, ist ein wichtiger Anfang getan.

E-3: Gibt es hierfür ein konkretes Beispiel?

Linkies: Die Krux liegt darin, dass einzelne Berechtigungen in den meisten Fällen vom SAP-Basisadministrator aufgesetzt werden. Dieser avanciert zum Eigentümer der Berechtigungen und den damit verbundenen Risiken. Im Klartext: Berechtigungen werden in der Praxis meist ohne Mitwirken der Fachabteilung und ohne angemessene Risikokontrolle aufgesetzt. Durch eine einseitige Fokussierung auf die Funktionsvergabe werden die notwendigen Funktionstrennungen und weitere systemtechnische Kontrollmaßnahmen nicht umgesetzt. Das daraus entstehende Spannungsfeld ergibt sich aus der Tatsache, dass der Administrator zwar die technischen Funktionen versteht. In seltenen Fällen erfasst er die Gesamtzahl der Geschäftsprozesse. Und diese werden in nicht unerheblichem Maße durch die Vergabe von SAP-Berechtigungen beeinflusst.

E-3: Wie kann an dieser Stelle ein Gesamtkonzept aussehen?

Jacobs: Durchbrechen lässt sich dieser Teufelskreis beispielsweise mithilfe einer konsequenten Einbindung von Informationseignern in Risikokontroll- und Freigabeprozesse. Und das bedeutet eine Verlagerung von Berechtigungs- und Änderungsmanagementaktivitäten in die Fachbereiche. Die zentrale Administration und dezentrale Verteilung von Berechtigungen an Benutzer ist eine Methode zur Erreichung dieses Ziels. Im Grunde müssen alle an einen Tisch. Die Administration und die Fachabteilung. Nur so lassen sich die Bedürfnisse abgleichen und zielgerichtet umsetzen. Das klingt zwar einfach, wird in der Praxis aber vielfach nicht gemacht oder als nicht wichtig erachtet.

E-3: Welchen Anforderungen müssen moderne Berechtigungssysteme genügen, gerade vor dem Hintergrund neuer technischer Entwicklungen und gesetzlicher Rahmenbedingungen?

Linkies: Verschärft wird das komplexe Gebilde eines SAP-Berechtigungssystems durch immer neue Produkte. Vor allem das mobile Zeitalter bringt neue Gefahren mit sich. Mithilfe mobiler Geräte wie Smartphones oder Notebooks ist das Firmenwissen jederzeit und von überall abrufbar. Das bringt teils unkalkulierbare Folgen für Unternehmen mit sich. Ein großes Risiko stellen darüber hinaus ungeschützte mobile Endgeräte dar, die ohne Passwortschutz, mit fehlenden Pin-Codes oder nicht vorhandener Firewall eine leichte Hürde für Datendiebe sind. Im Grunde haben wir es an dieser Stelle mit einem durchgängigen Mobilsystem-Management zu tun, das ein einheitliches Sicherheitskonzept für alle mobilen Endgeräte in der Organisation vorsehen sollte und ebenfalls mit dem Thema SAP-Berechtigungen eng verzahnt sein muss. Der Markt an Lösungen wächst rasant und spiegelt die Notwendigkeiten der Unternehmen wider. Flexibilität, Transparenz, Nachhaltigkeit und Vereinfachung sind die wichtigen Ziele, die es dabei umzusetzen gilt.

Jacobs: Einen wichtigen Hebel bilden in diesem Kontext die zunehmenden gesetzlichen Anforderungen. Unternehmenslenker sind dazu verpflichtet, effektive Kontroll- und Risikomanagementsysteme zu etablieren und deren Überwachbarkeit sicherzustellen. Fakt ist, dass das Management mittlerweile stärker nach Wegen sucht, um bessere interne Kontrollen zur Unternehmensführung und Rechtssicherheit zu gewährleisten. Fakt ist auch, dass Aktivitäten zur Verbesserung des Berechtigungssystems oftmals erst bei negativen Prüfberichten oder aufgedeckten Verstößen stattfinden. Wichtig ist an dieser Stelle ein klares Bekenntnis zum Risikomanagement. Das Berechtigungssystem ist wesentlich für die Etablierung transparenter Grundlagen für SAP-Arbeitsplätze, gleichermaßen aber auch das wichtigste Kontrollinstrument für SAP-Systeme. Die heutigen Anforderungen lassen sich nicht mehr mit klassischen Konzepten und ohne substanzielle IT-Unterstützung meistern. Die Unternehmensleitung muss sich diesen Anforderungen stellen und durchgängiges Risikomanagement im gesamten Unternehmen ausgewogen fördern. Unterstützende Lösungen müssen einfache und klare Regeln schaffen, um einheitliche Disziplin in allen Prozessen zu gewährleisten. Informationseigner müssen in die Lage versetzt werden, ihre Aufgaben als Risikoeigner ebenfalls wahrzunehmen. Ein Prozess, der klare Verfahren erfordert. Vor allem unter dem Aspekt getrennter Funktionen sowie der Einbettung eines funktionierenden Risikomanagements in das Berechtigungsmanagement.

E-3: Wie muss der Wissenstransfer gestaltet sein, um SAP-Berechtigungen optimal in der eigenen Organisation einzusetzen?

Jacobs: Um komplexe SAP-Berechtigungssysteme zu beherrschen, ist ein tiefes Verständnis für unterschiedliche Faktoren, Anforderungen und Auswirkungen in diesem Bereich unerlässlich. Das fängt bei Rollen und Zugriffskomponenten über das SAP-Berechtigungssystem als zentrales Kontrollinstrument an und reicht bis zu Trends und Risikokontrollen sowie Anforderungen bei Funktionstrennungen. Vor dem Hintergrund, dass ein SAP-Berechtigungssystem ein wichtiges und zugleich sensibles Zugangsinstrument zu internen Daten ist, sollten Organisationen auf das Wissen und die Expertise rund um Berechtigungssysteme ein wesentliches Augenmerk legen. Die Wissensvermittlung spielt eine entscheidende Rolle. Es empfiehlt sich, Mitarbeiter regelmäßig Trainingsmaßnahmen in Theorie und Praxis durchlaufen zu lassen. Wir weisen Unternehmen immer wieder darauf hin, ihr Glück nicht mit veralteten Verfahren oder Halbwissen zu versuchen. Das führt in eine Sackgasse. Die Merkmale guter Weiterbildung sind konzeptionelle Übersichten, praktische Übungen und das Erlernen strategischer Erkenntnisse zur Anwendung im eigenen Unternehmen.

Im Fall der SAP-Berechtigungen nehmen neben den technischen Kenntnissen auch die Risikoanalysen und die Sensibilisierung der Mitarbeiter einen großen Raum ein. Definiert ein Unternehmen beispielsweise ein Berechtigungskonzept, kommen schnell Fragen nach einem Enterprise Risk Management als organisatorisches Gesamtkonzept samt interner Kontrollen auf. Wichtig sind eine vernetzte Arbeitsweise und der systemübergreifende Blick auf weitere Einflussfaktoren: ein absolutes Muss in IT- und IT-Managementschulungen. In diesem Kontext spielt der Mitarbeiter eine entscheidende Rolle. Es hängt wesentlich von ihm ab, ob Prozesse funktionieren und die gewünschte Sicherheit bieten. Das bedeutet, SAP-Berechtigungsschulungen müssen verstärkt auf den Mitarbeiter als potenzielle Sicherheitslücke eingehen. In Verknüpfung mit den technischen Herausforderungen entsteht an dieser Stelle ein Gesamtsystem mit fein gegliederten Faktoren als komplexes Gebilde. Dies wiederum braucht Trainer, die bei der Konzeption und Durchführung von SAP-Berechtigungsprojekten eine langjährige Praxiserfahrung mitbringen. Das sind im Grunde Workshopleiter, die in reellen Projekten arbeiten und wissen, welche Hebel für das Gelingen der Wissensvermittlung im SAP-Berechtigungsbereich notwendig sind. Einen Mehrwert, den wir von qSkills als unabhängiger Schulungsanbieter nicht nur im SAP-Trainingsumfeld bieten.

E-3: Vielen Dank für das Gespräch.

 

http://www.e3cms.de/index.php?id=5102&PHPSESSID=f308612c2c77312a3de6417947f19732

[ zurück]
Vorherige News
Nächster news
© 2009 - 2013 LINKIES. Unternehmensberatung GmbH. All rights reserved. Email: info@linkies.eu | Nutzungsbedingungen | Datenschutzrichtlinie | Cookies Policy
Global Headquarters: LINKIES. Management Consulting, Schreberstrasse 14b, 04109 Leipzig, Saxony, Germany, Europe
We use cookies to give you the best online experience. By using our website you agree to our use of cookies in accordance with our cookie policy. Learn more here.