SAP-Berechtigungen: Empfehlungen zur Einrichtung, Überwachung und Kontrolle

SAP-Berechtigungen sind nicht ausschließlich ein operatives Thema – sie sind auch wesentlich für Risk-Management und Compliance und stellen eines der maßgeblichen Prüfungsthemen für die interne Revision und die Wirtschaftsprüfer dar. Problematisch sind meistens die unterschiedlichen Regeln, nach denen die Risiken der SAP-Berechtigungen bewertet werden.

Thomas Tiede (Geschäftsführer | IBS Schreiber) fragten wir, wie das Three-Lines-of-Defense-Modells bei der Absicherung von SAP-Landschaften und SAP-Berechtigungen helfen kann. Beim SAP-Security-Tag (19. Mai 2022) der IT-Onlinekonferenz gibt Thomas Tiede einen Erfahrungsbericht zu typischen Problemfelder und stellt Lösungsmöglichkeiten vor: Jetzt zum Beitrag von Thomas Tiede anmelden …

 

Herr Tiede, welche größten Herausforderungen sehen Sie aktuell für CIO und CISO?

Thomas Tiede - IBS Schreiber GmbHThomas Tiede: Zum einen die zunehmenden Cyberangriffe auf SAP-Systeme. Hier hat sich die Anzahl in letzter Zeit erheblich erhöht. Schon vor Jahren hat die Szene erkannt, dass die wirklich „interessanten“ Daten zumeist in SAP-Systemen liegen. Es existieren unzählige Anleitungen im Internet zum Hacken von SAP-Systemen. Und im Darknet können für kleines Geld Angriffe auf SAP-Systeme geordert werden.

Außerdem die Umsetzung rechtlicher Vorschriften beim Betrieb von SAP-Systemen, sowohl technisch als auch organisatorisch. Die gesetzlichen und unternehmensinternen Vorgaben werden zunehmend schärfer und deren Abbildung in den SAP-Systemen immer komplexer.

Hier muss großes Know-how aufgebaut oder eingekauft werden. Die Überwachung der Vorgaben ist mit Bordmitteln kaum zu stemmen. Stattdessen sollten Tool-gestützte Prozesse implementiert werden.

 

Re-Zertifizierung von SAP-Berechtigungen

Welche Relevanz haben SAP-Berechtigungen bezüglich Risikomanagement und Compliance?

Berechtigungen sind das maßgeblich steuernde Instrument zur Abbildung eines Risikomanagements und zur Einhaltung der Compliance. Mit ihnen werden alle Vorgänge in den Systemen gesteuert. Eine Trennung von Funktionen wird zum größten Teil ausschließlich mit Berechtigungen umgesetzt.

Daher ist nicht nur die einmalige Einrichtung der Berechtigungen relevant, sondern die ständige Überwachung und Kontrolle der Berechtigungsvergabe. Hierfür sind verschiedene Tools am Markt verfügbar. Hilfreich ist dabei ein Re-Zertifizierungsprozess, der die Fachbereiche einbindet und die Revalidierung der Berechtigungen optimiert.

Wie bindet man SAP-Berechtigungen in eine ganzheitliche Security-Strategie ein?

Wie alle anderen Security-Themen auch müssen die SAP-Berechtigungen ins genutzte Framework integriert werden. Die Risiken durch falsch vergebene Berechtigungen sind als sehr hoch einzustufen.

Die Definition eines ganzheitlichen Governance-, Risk- und Compliance-Management Systems ist erforderlich. Dieses stellt sicher, dass Risiken frühzeitig erfasst, analysiert, bewertet, koordiniert und innerhalb des Unternehmens weitergeleitet werden. Dementsprechend fließen auch die Risiken, die durch falsch vergebene SAP-Berechtigungen oder durch einen fehlenden Prozess zur Überwachung der Berechtigungen entstehen, hier mit ein.

 

Three-Lines-of-Defense für SAP-Security

Wie können die Three-Lines-of-Defense dabei helfen?

Das Three-Lines-of-Defense-Modell dient zur systematischen Herangehensweise an Risiken, die in Unternehmen auftreten können. Es bindet sowohl die operativen Kontrollen und auch das Risikomanagement, die Informationssicherheit und die interne Revision ein.

Die durch die SAP-Berechtigungen entstehenden Risiken können hiermit bewertet und eingestuft werden. Die Überwachung der Risiken fließt in die Prozesse ein, so dass hier eine ständige Kontrolle durch verschiedene Instanzen erfolgt. Dies reduziert die Risiken erheblich und stellt eine saubere Berechtigungsvergabe sicher.

Was erfahren wir von Ihnen bei der ITOK22 im Mai?

Ich zeige auf, wie SAP-Berechtigungen durch den Einsatz des Three-Lines-of-Defense-Modells bewertet und überwacht werden können. Diese Methode kann angewandt werden, auch wenn das Modell nicht für alle Unternehmensrisiken genutzt wird. Sie erfahren, wie die verschiedenen Beteiligten in die Verteidigungslinien integriert und das Wissen für den Prozess harmonisiert werden.

Außerdem auch, welche Tools jeweils für Kontrollen und Bereinigungen eingesetzt werden können. Dies gewährleistet beispielsweise, dass Führungskräfte in der Lage sind, die Risiken zu bewerten und Maßnahmen ableiten zu können und dass Administratoren die Risiken technisch bereinigen können.

Jetzt zum Beitrag von Thomas Tiede anmelden …

 

Absicherung von SAP-Systemen wird relevanter

Rund vier von fünf SAP-Kunden wollen laut DSAG-Investitionsreport 2022 in die Verbesserung der Cybersecurity investieren. Worauf ist dabei zu achten?

Cybersecurity ist ein weites Feld. Angefangen mit der technischen Infrastruktur der Unternehmen bis hin zu den Geschäftsprozessen in den SAP-Systemen. Solche Projekte müssen gut geplant und vorbereitet sein. Wir haben schon einige Negativ-Beispiele von Unternehmen erlebt, die zu viel auf einmal wollten und sich dann „verrannt“ haben.

Insbesondere bei der Absicherung der Geschäftsprozesse ist zu beachten, dass die betroffenen Mitarbeitenden abgeholt und eingebunden werden müssen. Wählen Sie daher anhand einer Risikoanalyse die Themen und Prozesse aus, die an erster Stelle bei der Absicherung stehen sollen.

Was wird in den nächsten zwölf Monaten das dominierende Sicherheitsthema in der SAP-Community?

Die letzten Jahre habe ich auf diese Frage mit „Die Migration zu SAP S/4HANA“ geantwortet. Auch wenn das immer noch eines der Hauptthemen sein wird, so sehen wir doch den Trend eindeutig zur Absicherung der SAP-Systeme vor Cyberangriffen und Fraud-Delikten.

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

SAP-Sicherheit bei der IT-Onlinekonferenz 22

SAP-Security-Tag-22Sie können diesen und alle Beiträge der #ITOK22 live (16.– 19.05.22) oder als Aufzeichnung (sofern Sie sich für den jeweiligen Expert-Talk registriert haben) verfolgen und eigene Fragen an die Expertinnen und Experten stellen.

Beim achten Gipfeltreffen der SAP-Community geben SAP-Kunden vier Tage lang Erfahrungsberichte zu SAP S/4HANA- und Cloud-Transformationen, Business- und IT-Automatisierung und zu Veränderungen der IT-Organisation. Am 19. Mai dreht sich ein ganzer Tag um Cyber- und SAP-Sicherheit.

SAP-Kunden wie Atruvia, BayWa, DATEV, Deutsche Börse, Evonik, GTÜ Gesellschaft für technische Überwachung, Kaeser Kompressoren, Open Grid Europe, SPAR Österreich und andere berichten.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Das IT-Onlinemagazin ist Medienpartner für den DSAG-Jahreskongress 2022

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

nicolas-crisand

Wie die Neupositionierung der SAP-IT-Organisation gelingen kann

Damit die SAP-IT-Abteilung ihre Relevanz im Unternehmen auch in Zukunft sicherstellt, muss sie sich als …