Home » Fachbeiträge » Security Management » Mit der S/4HANA-Migration SoD-Probleme lösen

Case Study: Mit der S/4HANA-Migration SoD-Probleme lösen : SAP: Optimierung der Sicherheit und Compliance während des Umstiegs auf S/4HANA

Die S/4HANA-Transformation ist eine gute Gelegenheit, um sich einer Reihe von Altlasten zu entledigen und über viele Jahre gewachsene Funktionstrennungs-Problematiken anzugehen. U.S. Sugar, ein Agrarunternehmen aus Florida, produziert und verarbeitet Zuckermais, Zuckerrohr und Zitrusfrüchte für große US-Marken. Im Kontext der Migration suchte es für seine rund 2.500 Mitarbeiterinnen und Mitarbeiter eine Möglichkeit zur Prüfung, Klärung und Vermeidung von SoD-Konflikten. Eine Case Study.

5 Min. Lesezeit
Ein Landwirt steht in einem großen Maisfeld bei Sonnenuntergang und hält ein Tablet in der Hand.
Foto: ©AdobeStock/ANEK

von Ralf Kempf, CEO Pathlock Deutschland

Wie eine rasant wachsende Zahl von Unternehmen weltweit setzt auch der US-Agrarproduzent bei seinen Business-Applikationen vermehrt auf einen Mix aus On-premises und Cloud. Mit der einhergehenden Zunahme vernetzter Anwendungen, sei es in der Buchhaltung, im Beschaffungswesen oder CRM, steigen jedoch auch die Sicherheitsrisiken beträchtlich.

Dies betrifft in hohem Maße Konflikte der Funktionstrennung (Segregation-of-Duties, SoD). Den aktuellen und auch zukünftigen SoD-Risiken gewachsen zu sein, setzt eine anwendungsübergreifende Sicht auf das Zugriffsmanagement voraus, die sowohl die Absicherung und Überwachung von On-premises-Applikationen als auch von Cloud-Anwendungen beinhaltet.

Der Senior Director of IT Business Solutions & Benefits bei U.S. Sugar, Matthew Miller, sah die anstehende S/4HANA-Migration auch als Chance, proaktiv Maßnahmen einzuleiten, um historisch gewachsene und durch nun hybride Systemlandschaften abermals verstärkten SoD-Risiken nicht einfach mit zu migrieren. So suchten er und sein Team nach optimalen Möglichkeiten zur Compliance-Überwachung, Lösung von Funktionstrennungskonflikten und zur Dokumentation der Kontrollen.

Kritische Berechtigungen schon vor der Vergabe identifizieren

Ein maßgeblicher Entscheidungsfaktor für eine umfangreiche ganzheitlich operierende Software-Suite wie die von Pathlock waren deren vordefinierte, dynamische und anpassbare SoD-Regelwerke für die häufigsten Businessanwendungen. Diese Regelwerke dienten als Basis für die Anpassung an individuelle Unternehmensanforderungen sowie für die Implementierung eines wirksamen Warnsystems. Das Ziel: Das System sollte fähig sein, User-Rechte effektiv durchzusetzen und entweder erforderliche Korrekturen vorzunehmen oder Kontrollmechanismen zu nutzen, die eine rasche Reaktion auf Verstöße ermöglichen.

Das Agrarunternehmen glich zunächst die eigenen SoD-Konflikte der vergangenen Jahre mit den Risikoklassifizierungen der vordefinierten Regelwerke ab. Die Resultate wurden im nächsten Schritt hinsichtlich ihrer Relevanz für das Finanz- und Rechnungswesen des Unternehmens analysiert. Im Ergebnis fand dann eine Anpassung der unternehmensspezifischen Risikoklassifizierungen statt und kritische Berechtigungen wurden herabgesetzt oder entfernt, andere hinzugefügt oder erhöht.

Alle als hochkritisch bewertete Konflikte wurden einer Einzelprüfung unterzogen und in der Folge entweder ausgleichende Kontrollen in das System integriert oder die problematischen Benutzerrechte vollständig aus den Rollen entfernt. Ein entscheidender Vorteil war, dass mit Hilfe der angepassten Regelwerke und deren Prozessautomatisierung der neu erreichte Status quo nicht nur erhalten bleibt, sondern dass potenzielle SoD-Risiken künftig bereits vor der Vergabe neuer Berechtigungen identifiziert werden.

Hoher Automatisierungsgrad für reibungslose Audits

Von hoher Bedeutung für das amerikanische Unternehmen war zudem, dass das gewählte Tool nicht allein den betrieblichen und gesetzlichen Anforderungen entspricht, sondern auch möglichst benutzerfreundlich ist. Es erkennt schon bei der Beantragung eines neuen Zugangs, zum Zeitpunkt der Vergabe und auch während der Prüfzyklen mögliche SoD-Risiken. Auf diese Weise kann das Unternehmen nun SoD-Verstöße frühzeitig identifizieren und in Fällen, in denen eine unmittelbare Beseitigung nicht möglich ist, entsprechende Kontrollmaßnahmen veranlassen.

Ein absolutes Must-have waren anwendungsübergreifende Schnittstellen, über die auch CRM-Anwendungen wie PeopleSoft von Oracle in den neuen Compliance-Prozess integriert werden können. Um das Management von SoD-Konflikten erheblich zu vereinfachen, ist es nun möglich, Benutzerkonten, Berechtigungen und Daten über alle Business-Applikationen hinweg zu verknüpfen und zu analysieren.

Regelmäßige Audits werden durch automatisierte und detaillierte Berichte vereinfacht, die die Dokumentation einzelner Schritte sicherstellen. Für Matthew Miller ist unmittelbar erkennbar, dass sein Team jährlichen Audits jetzt wesentlich gelassener entgegenblickt. Prüfungen laufen aufgrund des hohen Automatisierungsgrades nun erheblich reibungsloser ab, da das Team den Prüfern auf Knopfdruck die vom System generierten Berichte sowie die Compliance-Konformität inklusive einer Aufstellung sämtlicher kompensierenden Kontrollen präsentieren kann.

Kritische Transaktionen auch während der Migration absichern

Der Einsatz ganzheitlicher Software war ein entscheidender Faktor für die erfolgreiche Migration, ist Matthew Miller heute überzeugt. So konnte die Transition auf SAP S/4HANA genutzt werden, um in ihrem Zuge Maßnahmen umzusetzen, die das Agrarunternehmen künftig besser vor Risiken durch kritische User-Berechtigungen schützen.

Zudem hat es nun ein Superuser-Management-Tool als Teil der Software im Einsatz. Dieses stellt sicher, dass alle von privilegierten Benutzern durchgeführten Aktivitäten überwacht sowie lückenlos dokumentiert und für Revisionszwecke zur Verfügung gestellt werden. Ein ganzheitlicher Ansatz ist schließlich auch dann sinnvoll, wenn es sich nicht um ein SoD-Problem handelt, da es grundsätzlich prioritär ist, zu kontrollieren, wer Zugang zu kritischen Transaktionen hat.

Applikationsübergreifende Sicherheitskontrollen

Während bislang traditionelle applikationsspezifische SoD-Lösungen genügten, verlangt die Verbreitung übergreifender Geschäftsprozesse jetzt eine Anpassung der Kontrollen. Da das Unternehmen während der Implementierung eine Raffinerie in Savannah erworben hatte, die PeopleSoft einsetzt, bewies sich unmittelbar, wie bedeutsam ein applikationsübergreifendes SoD-Konzept ist.

Dieses, so Matthew Miller, erlaube nun die Integration aller Sicherheitsregeln in ein zentrales Berichtswesen. So wird auch hier eine Analyse ermöglicht, um über verschiedene Applikationen hinweg SoD-Konflikte zu erkennen und dort, wo Risiken nicht ad hoc beseitigt werden können, praktikable Kontrollmechanismen zu finden.

Der signifikante Vorteil in der Unterstützung durch ganzheitliche Software ist, dass diese neben der Fähigkeit, übergreifende SoD-Risiken zu erkennen, oft weitere neue Funktionen bietet wie benutzerfreundliche und jederzeit transparent abrufbare Darstellungen des aktuellen Risikostatus. Der Echtzeit-Zustand wird dann in Form gleich mehrerer maßgeschneiderter Dashboards etwa für die Management-Ebene aufbereitet und visualisiert. So wird beispielsweise einem CISO in prägnantem und angemessenem Detaillierungsgrad visualisiert, welche Findings für einen Fachbereich aktuell vorliegen und welche Handlungsempfehlungen daraus resultieren.

Automatisierung reduziert Risiken und spart Ressourcen

Der Einsatz vorkonfigurierter und individuell anpassbarer Regelwerke erspart nicht nur den Einsatz von Tabellen, Testmustern und externen Beratern, sondern reduziert effektiv Risiken und zugleich die benötigten Ressourcen. Mit automatisierten SoD- und Risikoanalysen und Reportings für alle gängigen Business-Applikationen können die gesetzlichen Anforderungen unkompliziert und zeitsparend erfüllt werden, unabhängig davon, ob es sich um SAP ERP, S/4HANA, Cloud-Applikationen oder Non-SAP IT-Systeme handelt. Die Komplexität der Benutzerverwaltung innerhalb, aber auch zwischen den Applikationen wird dadurch signifikant reduziert.

U.S. Sugar kann so mit einer zentralen benutzerfreundlichen Plattform Funktionstrennungskonflikte in der gesamten Anwendungslandschaft identifizieren, diese schnell eliminieren und fortlaufend kontrollieren. Eine solche Strategie ist nicht bloß revisionssicher, sondern bildet eine umfassend solide GRC-Basis. Daher, konstatiert Matthew Miller, habe man die Entscheidung für einen ganzheitlichen Ansatz nicht einen Moment lang bereut.

Ralf Kempf, CEO Pathlock Deutschland
Ralf Kempf, CEO Pathlock Deutschland

Ralf Kempf, CEO Pathlock Deutschland

www.pathlock.de

Andere interessante Fachbeiträge

Regulation Symbol

Privileged Access Management als Grundstein der NIS-2-Compliance

Die NIS-2-Richtlinie sollte bis Oktober 2024 in nationales Recht überführt werden. Und auch wenn der Beschluss des Bundestags hierzu aktuell noch aussteht, lässt sich sagen: Bei We...

Risikomanagement - Abstrakt

DORA und NIS-2: Risikomanagement im Doppelpack

Mit DORA und NIS-2 hat die EU die Vorgaben an die Cybersicherheit verschärft. Beide Regelwerke stellen detaillierte Anforderungen an das Risikomanagement. Unsere Autorin zeigt, wel...

Mann vor menschlichen Silhouetten

IT-Sicherheit ist Teamplay

Die Herausforderungen für IT-Abteilungen im Kampf gegen Cyberkriminalität wachsen stetig: Neue Bedrohungen, raffinierte Angriffsstrategien und komplexe IT-Infrastrukturen erschwere...