Anforderungen an ein SAP S/4HANA Berechtigungskonzept – Teil 3

Interview mit dem SAP Security Experten Thomas Leger – Teil 3 der Interviewreihe

Thomas Leger ist seit Januar 2001 im Bereich SAP Security und Berechtigungswesen tätig. Seit März 2016 arbeitet er bei NTT DATA Business Solutions für den Bereich SAP Security und Authorization. Dort ist er SAP Security Experts. Im dritten Teil der Interviewreihe erfahren Sie, wieso ein Berechtigungskonzept im Zusammenhang mit SAP Secrutiy so wichtig ist und mit welchen aktuellen Herausforderungen Kunden grade jetzt zu kämpfen haben.

Aus Deiner Experten-Perspektive: Welche Anforderungen und Bedarfe siehst Du auf dem Gebiet SAP Security aktuell bei unseren Kunden?

In meinen Kundenprojekten habe ich ganz unterschiedliche Anforderungen. Angefangen hat es mit der „alten Welt“, sprich mit der GUI-Oberfläche, die lauffähig gemacht werden musste. In den letzten Jahren ändert sich das Bild jedoch ein wenig. Durch die DSGVO, die 2018 in Kraft trat, haben sehr viele Unternehmen gemerkt, dass sie nicht mehr den gesetzlichen Vorgaben entsprechen, die sich aus dieser und weiteren gesetzlichen Bestimmungen ergeben. Zudem lag durch den anstehenden Umstieg auf SAP S/4HANA mit der neuen Fiori-Oberfläche bereits eine Notwendigkeit für die Überarbeitung der Berechtigungskonzepte vor. Bedingt durch diese beiden Faktoren entschließen sich viele Unternehmen dazu, ihr Berechtigungskonzept komplett zu überarbeiten.

Unsere Aufgabe in entsprechenden Kundenprojekten ist, zunächst den alten Stand zu analysieren und zu schauen „Wo stehen wir?“. Dann gilt es, diesen zum einen SAP S/4HANA lauffähig zu machen und zum anderen, bei der Implementierung der jeweiligen Komponenten die entsprechenden gesetzlichen Vorgaben zu berücksichtigen.

Je nach Branche müssen wir dabei die unterschiedlichsten rechtlichen Bestimmungen berücksichtigen; bspw. SOD Konflikt-Kontrollen¹, SOX-Konformität² oder, etwa in der Lebensmittelbranche, die Bestimmungen der amerikanischen FDA³. D. h., meine Hauptthemen gliedern sich in die Schritte:

• Aufnahme der aktuellen Berechtigungen
• Überarbeitung und Sicherstellung der Funktionalität hinsichtlich der neuen Technologie und unter Berücksichtigung der entsprechenden gesetzlichen Vorgaben sowie der Kundenvorgaben und -wünsche

Im besten Fall stellen wir durch dieses Vorgehen sicher, dass, im Falle eines Audits beim jeweiligen Kunden, ein Auditor sagt „Bei euch ist es ja langweilig, hier ist ja alles in Ordnung!“.

Das heißt, da werden in vielen Unternehmen gerade zwei Fliegen mit einer Klappe geschlagen: Man sieht eine doppelte Notwendigkeit durch gesetzliche Vorgaben wie die DSGVO auf der einen und die Umstellung auf SAP S/4HANA auf der anderen Seite. Und das zusammen erhöht sowohl den Bedarf als auch die Bereitschaft der Kunden, sich intensiver mit SAP Security und dem Berechtigungswesen auseinanderzusetzten?

Genau. Diese beiden Faktoren sind aktuell die häufigsten Auslöser für Kunden, sich mit SAP Security Themen zu befassen. Durch die DSGVO oder andere gesetzliche Vorgaben werden bestimmte Tätigkeiten zwingend notwendig. Da können sich die Unternehmen dann auch nicht mehr auf das Vertrauen in ihre Mitarbeitenden alleine verlassen. Denn, wenn etwa Prüfungen stattfinden, in den festgestellt wird, dass gesetzlichen Vorgaben nicht entsprochen wird, werden ggfls. Strafzahlungen oder andere Sanktionen fällig. Das kann und will sich natürlich kein Unternehmen leisten. Sollten solche Vorfälle auch nach außen publik werden, könnte das einen enormen Imageschaden für das entsprechende Unternehmen bedeuten und bspw. das Vertrauen von wichtigen Geschäftspartnern mindern. Mit diesen Szenarien vor Augen sind viele Kunden in den letzten zwei, drei Jahren aktiv geworden.

Teilweise hast Du es schon angesprochen, aber beschreib doch gerne nochmal ausführlicher: Wie begegnet NTT DATA Business Solutions den Anforderungen unserer Kunden im Bereich SAP Security?

Zunächst analysieren wir das SAP System hinsichtlich der aktuellen Gegebenheiten, der aktuell vorliegenden Rollen. Ggfls. machen wir dann eine Performance-Analyse, d. h., wir schauen, welche Berechtigungen innerhalb der aktuell gegebenen Rollen, die den Usern zugeordnet sind, überhaupt genutzt wurden. Alleine dadurch lässt sich schon einiges bereinigen. Dann werden in Abstimmung mit den jeweiligen Fachbereichen neue Prozesse definiert. Diese Prozesse werden dann daraufhin geprüft, ob sie compliant sind, also ob die Berechtigungen, die für die neuen Prozesse benannt sind, ggfls. SOD Konflikt behaftet sind. Daraus resultierend ergeben sich dann die weiteren Tätigkeiten im Projekt. Im Projekt verfahren wir dann mit einer 5-Konzept-Leitlinie, die sich wie folgt unterteilen lässt:

• Konzept 1: Das Berechtigungskonzept.
• Konzept 2: Das Rollenkonzept.
• Konzept 3: IT-Support-Rollenkonzept.
• Konzept 4: Emergency-User-Konzept.
• Konzept 5: Monitoring-Konzept.

Wenn wir mit dem Kunden zusammen diese 5-Konzept-Leitlinie durchlaufen, ist am Schluss alles innerhalb des Projektes alles sauber deklariert, dokumentiert und revisionssicher nachvollziehbar. Die Güte dieser Vorgehensweise wurde uns bereits mehrfach von externen Wirtschaftsprüfungsunternehmen bestätigt.

Bzgl. aktueller Bedarfe auf Seiten unserer Kunden hattest Du zu Beginn schon den Wechsel zu SAP S/4HANA angesprochen. Zu diesem Thema hast Du bereits zwei Blogbeiträge mit dem Fokus auf die Anforderungen an Berechtigungskonzepte verfasst. Welche Security-spezifischen Herausforderungen bringt der Wechsel mit sich?

Durch den Wechsel von R3 bzw. ECC zu SAP S/4HANA ändern sich systemintern sehr viele Prozesse. Es fallen bspw. tausende von Transaktionen weg, ca. zwischen 1200 und 1500. Teilweise werden diese durch andere Transaktionen ersetzt. Hier ist es wichtig für uns, die Kunden frühzeitig darauf hinzuweisen, dass sie sich auch ihre Prozesse nochmal anschauen und überarbeiten müssen, da diese nach der alten Vorgehensweise in der neuen Oberfläche ggfls. gar nicht mehr funktionieren. Dabei ist natürlich auch ein gewisses Prozess-Know-How gefragt, über das wir verfügen müssen. Außerdem arbeiten wir hier eng mit unseren Anwendungsberatern zusammen, die über Expertenwissen zu den jeweiligen Modulen verfügen.

Hast Du zum Abschluss noch Anmerkungen oder Ergänzungen, die Dir bzgl. des Themas SAP Security, modernes SAP Portfolio wichtig sind?

Wie bereits gesagt, halte ich die Einarbeitung in neue Themen für sehr zentral. Also bspw. die Beschäftigung mit SAP S/4HANA, Fiori und die Cloud-Thematik. Ganz wichtig ist mir zudem der Ausbau der internen Kommunikation, sodass wir als Team weiter zusammenwachsen. Es ist mir sehr wichtig, dass wir keine Einzelkämpfer sind, sondern uns im Team abstimmen, uns gegenseitig aufbauen, Feedback geben und Rückfragen stellen. Denn nur als Team können wir weiter in der Zukunft wachsen.

So unterstützt NTT DATA Business Solutions Sie

NTT DATA Business Solutions vereint langjährige Erfahrung mit SAP-Systemen und fundierte Kenntnisse in der IT-Sicherheit. Durch unser eigenes Security Operations Center und unsere Security Management Services können Sie sich rund um die Uhr auf uns verlassen. Weltweit. Wir setzen Ihre individuelle Lösung handlungsorientiert und langfristig um – denn bei Datenschutz und IT-Sicherheit gehen wir keine Kompromisse ein.

Haben Sie Fragen zum Thema SAP Security? Dann nehmen Sie mit uns Konakt auf, wir beraten Sie gerne! Einfach eine kurze E-Mail an: [email protected].

¹ Unter SOD (Segregation of Duties, dt.: Funktionstrennung) versteht man in der funktionalen Organisation die organisatorische Trennung zwischen Organisationseinheiten oder Stellen im Geschäftsprozess zur Vermeidung von möglichen Interessenkollisionen (Wikipedia).
² SOX bezeichnet den Sarbanes-Oxley Act of 2002 (auch SarbOx oder SOA). Dabei handelt es sich um ein US-Bundesgesetz, das als Reaktion auf Bilanzskandale von Unternehmen wie Enron oder Worldcom die Verlässlichkeit der Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern soll (Wikipedia).
³ Die US-amerikanische FDA (Food and Drug Administration) ist die Lebensmittelüberwachungs- und Arzneimittelbehörde der USA.