Berechtigungskonzept 2.0_ Die 5-Konzept-Leitlinie – Teil 2

Berechtigungskonzept 2.0: Die 5-Konzept-Leitlinie – Teil 2

Wie in meinem ersten Blog „Berechtigungskonzept 2.0 bei der Umstellung auf SAP S/4Hana – Teil 1“ bereits erwähnt, sind beim Umstieg von einer SAP ECC, SAP R/3 Landschaft auf eine komplexe SAP S/4HANA Landschaft diverse Dinge zu beachten. Anhand einer sog. „5-Konzept-Leitlinie“ ist es möglich, diese Komponenten in unterschiedliche Bereiche zu gliedern und nachhaltig aufzustellen.

Hierzu haben wir die folgenden Einzelkomponenten definiert:

(1) Berechtigungs Konzept

  • Dieses Konzept enthält alle relevanten Randbedingungen innerhalb der Berechtigungs- und Security-Umgebung
  • Wie sieht die Systemlandschaft aus? Wie lautet die Namenskonvention? Welche Prozesse sind involviert? Wie wird mit SAP Standard Usern umgegangen? Welche Tools werden eingesetzt? Welche Compliance Vorgaben (SOD Konflikt Kontrolle, Zugriff auf kritische Berechtigungen …) werden berücksichtigt? etc. etc., …
  • Welche Zusatzkomponenten (Hybrid, Cloud etc.) sind im Einsatz?
  • Sind Third-Party Tools im Einsatz und müssen diese auf die neue Umgebung angepasst werden etc.?

 

(2) Rollen Konzept

  • Hier werden die jeweiligen Rollen je Fachbereich beschrieben und inhaltlich hinterlegt
  • Welche Prozesse je Fachbereich sind involviert?
  • Welche Transaktionen/FIORI Apps sind je Prozess notwendig?
  • Gibt es Einschränkungen (z.bsp. auf Kostenstelle, Kontenplan etc.) auf Feld Ebene innerhalb der anhängigen Objekte je Transaktion?
  • Welche Ableitungskriterien gibt es (z.bsp. unterschiedliche Buchungskreise je Standort etc.)?

 

(3) IT-support Rollen Konzept

  • Dieses Konzept enthält eine komplette Abtrennung der IT-Support-Rollen von den „daily-business“ Rollen?
  • Hier werden Rollen zur reinen User-Administration, Rollen-Administration, Interface-Administration, Transport-Administration etc. beschrieben
  • Diese IT-support Berechtigungen dürfen dann in den „daily-business“ Rollen nicht berücksichtigt werden

 

(4) Emergency User Konzept

  • Kommt es im System zu einem „Emergency case“ – also ein Fall, der mit den eigentlichen Berechtigungen nicht umgesetzt werden kann, aber zeitnah umgesetzt werden muss, so ist es möglich einen Notfalluser zu nutzen
  • Die Nutzung eines solches User muss stark limitiert und reglementiert werden
  • Ein Prozess zur Beantragung, Genehmigung, Zuordnung/Nutzung, Dokumentation und Nachvollziehbarkeit (Security Audit Log etc.) muss gewährleistet und berücksichtigt werden
  • Der SAP Standard – ohne Zusatztool – bietet hier leider nur sehr eingeschränkte Möglichkeiten und daher muss ein solches Konzept auf organisatorischer Ebene definiert werden
  • Welche Third-Party Tools gibt es am Markt und können diesbezüglich eingesetzt bzw. genutzt werden etc.?

 

(5) Monitoring Konzept

  • Das Monitoring Konzept enthält eine Beschreibung periodisch zu prüfender Aufgaben
  • Diese Prüfungen müssen revisionssicher analysiert, dokumentiert und abgelegt werden
  • Ferner müssen Maßnahmen definiert werden, die vom IST-Zustand wieder zum SOLL-Zustand, führen – sofern Abweichungen vom SOLL-Zustand festgestellt werden etc.

 

Mit Hilfe der 5-Konzepte-Leitlinie ist eine vollumfängliche Abdeckung der relevanten Security Themen möglich. Bei Bedarf können die entsprechenden Dokumente jederzeit erweitert werden. Durch die Aufteilung der einzelnen Punkte in jeweils eigene Konzepte ist die Übersicht der vorhandenen Elemente sehr viel übersichtlicher und nahvollziehbarer.

Natürlich können hierbei bereits vorhandene Dokumente in einem Unternehmen genutzt und in die oben beschriebene 5-Konzept-Leitlinie überführt werden. Dadurch werden hier direkt kundenspezifische Aspekte berücksichtigt, sofern diese in den bereits vorhandenen Dokumenten berücksichtigt und beschrieben wurden.

Im Zuge einer Implementierung der benannten Einzelkomponenten nutzen wir entsprechende NTT DATA Business Solutions Dokumente, welche die Berücksichtigung und Bearbeitung der jeweiligen Punkte vereinfachen und eine Umsetzungs-Empfehlung enthalten. Diese werden dann nach den entsprechenden kundenspezifischen Voraussetzungen und Wünschen angepasst, sodass am Ende ein vollumfängliches revisionssicheres Konzept mit den oben beschriebenen Einzelkomponenten vorhanden ist.

Für weitere Fragen, Ausführungen, Erklärungen etc. stehen wir natürlich jederzeit sehr gerne zur Verfügung.

 

– von Thomas Leger, SAP Security Expert, NTT DATA Business Solutions AG –
E-Mail: [email protected]

Expertenwissen im OnDemand-Webinar

Beherrschen Sie die IT-Komplexität: Managed Services in der Praxis

Komplexe IT-Architekturen, schwierige Sicherheitsfragen, S/4HANA, KI und IoT halten die IT-Abteilungen auf Trab. Wie gelingt dennoch eine planvolle digitale Transformation des Unternehmens? In unserem Webinar...

online
Webinaraufzeichnung
Jetzt anmelden
Business Process Management: Geschäftsprozesse in der SAP-Welt beherrschen und gestalten

Unser Webinar zeigt den Process Driven Approach, eine neue Methodik, mit der Sie individuelle und wertschöpfende Prozesse sowie SAP-Standardprozesse effizient planen und umsetzen können –...

online
Webinaraufzeichnung
Jetzt anmelden
SAP Analytics in der Praxis: So sammelt, bewertet und visualisiert Team Beverage Daten auf einer digitalen Informationsplattform

Team Beverage war auf der Suche nach einer zentralen Plattform, die Analysen, Planungen und Prognosen zusammenführt und über zentrale Kommentierungs- und Kollaborationsfunktionen verfügt. Unser Webinar...

online
Webinaraufzeichnung
Jetzt anmelden
Der Tag, an dem Change kam: Business Process Management in der Praxis

Unser Webinar zeigt den Process Driven Approach im Praxiseinsatz. Mit ihm lassen sich individuelle und wertschöpfende Prozesse sowie SAP-Prozesse effizient planen und umsetzen – Stichwort:...

online
Webinaraufzeichnung
Jetzt anmelden
Die Zukunft der Softwareentwicklung im SAP-Umfeld – So finden Sie die richtige Strategie und etablieren einen sicheren und agilen Prozess

In unserer Webinaraufzeichnung machen wir Sie mit der Strategie von SAP bei der Softwareentwicklung vertraut. Davon ausgehend zeigen wir Ihnen, wie Sie in Ihrem Unternehmen...

online
Webinaraufzeichnung
Jetzt anmelden
So gelingt die Transition des Custom Codes bei der Umstellung auf SAP S/4HANA

Unternehmen, die bislang SAP ERP nutzen, haben den Standard im Laufe der Jahre an ihre individuellen Anforderungen angepasst und um Eigenentwicklungen ergänzt. Wenn diese Unternehmen...

online
Webinaraufzeichnung
Jetzt anmelden
SAP ERP Cloud mit S/4HANA Cloud richtig einführen

Unser Webinar zeigt Ihnen, wodurch sich SAP S/4HANA Cloud-Implementierungsprojekte im Vergleich zur Einführung eines klassischen On-Premise-Projektes unterscheiden. Wir zeigen Ihnen, welche Rolle dabei die SAP...

online
Webinaraufzeichnung
Jetzt anmelden
SAP Blockchain as a Service: Promise Practice and Application

Mit Blockchain as a Service (BaaS) auf Basis von SAP lassen sich nicht nur die unterschiedlichen Transaktionen der einzelnen Fachbereiche verfolgen. Die Dokumentation der Vorgänge...

online
Webinaraufzeichnung
Jetzt anmelden
DSGVO in der Praxis – Wie SAP Information Lifecycle Management unsere Kunden bei der Umsetzung unterstützt

SAP Information Lifecycle Management verwaltet Ihre Daten von der Entstehung über die Archivierung bis zur endgültigen Löschung samt allen dazugehörigen Dokumenten. Erfahren Sie, wie SAP...

online
Webinaraufzeichnung
Jetzt anmelden
Thomas Leger
Thomas Leger
SAP Security Expert

Seit 2001 arbeitet Thomas Leger im Bereich SAP Security & Authorization. Hierbei konnte er sein Portfolio in diversen unterschiedlichen Kundenprojekten, mit entsprechend komplexen Prozessanforderungen, auf- und ausbauen. In Rahmen seiner Karriere war er u.a. als Projektleiter und Prozessverantwortlicher tätig. Mehrjährige Erfahrung u.a. bei IBM Deutschland runden sein ganzheitliches Portfolio im Bereich BackEnd und FrontEnd Security ab. So konnte er sich auch im Bereich SAP S/4HANA und SAP FIORI fundierte Kenntnisse erarbeiten und gewinnbringend einsetzen. Seit März 2016 ist er als SAP Security Expert bei der NTT DATA Business Solutions AG tätig.

itelligence ist jetzt NTT DATA Business Solutions
So werden wir noch besser für unsere Kunden, Partner und Mitarbeitenden.
Entdecken Sie unsere neue Webseite
Kontakt

Sie haben Fragen? Sie erreichen uns montags bis freitags von 8:00 bis 17:00 Uhr.

Rufen Sie uns gerne an
Schreiben Sie uns