Soccer team in a huddle

Bosch: Redesign aller SAP-Berechtigungen mit Sicherheitsgarantie

16. Januar 2017 von SAP News 8

Ohne den laufenden Betrieb zu beeinträchtigen, konnte die Bosch Sicherheitssysteme GmbH die Berechtigungen ihres SAP-Systems in nur sechs Monaten neu gestalten.

Mithilfe der Xiting Authorizations Management Suite (XAMS) konnte die Bosch Sicherheitssysteme GmbH die Rollen eines zentralen ERP-Systems in nur sechs Monaten neu gestalten und in der Anzahl drastisch reduzieren – ohne beim Berechtigungsprojekt den laufenden Betrieb zu beeinträchtigen.

Möglich wurde das durch den Einsatz eines neuen, automatisierten Werkzeugs für den Rollenbau, des Xiting Role Designer. „Nur das Beste vom Besten herstellen“: Der Wahlspruch des Unternehmensgründers Robert Bosch prägt die Handlungsweise der Bosch Sicherheitssysteme GmbH bis heute. Als 100-prozentige Tochter der Robert Bosch GmbH zählt das Unternehmen zu den fünf führenden Anbietern im Bereich elektronischer Sicherheitstechnik. Als Errichter, Dienstleister und Berater stattet die Bosch Sicherheitssysteme GmbH ihre Kunden mit innovativen Sicherheitslösungen aus – von der Videoüberwachung bis hin zu Zutrittskontrollen. Während die Bosch Sicherheitssysteme GmbH Kunden dabei hilft, ihre Gebäude nach außen optimal abzusichern, sorgt sie auch wirkungsvoll für Schutz im eigenen Haus und hat unlängst das Zugriffs- und Berechtigungskonzept ihrer SAP-Landschaft einer umfassenden Revision unterzogen.

Sicherheit bei Berechtigungen

Nicht selten sind die Nutzer von IT-Systemen mit zu weitreichenden Berechtigungen ausgestattet. Diesen Befund hatte auch die Analyse des Rollenkonzepts des zentralen SAP-ERP-Systems für rund 1.200 Anwender ergeben, die die Bosch Sicherheitssysteme GmbH Mitte 2015 zusammen mit Xiting durchführte. Zu weitreichende Berechtigungen können zu Verletzungen des Vier-Augen-Prinzips (Segregation of Duties, SoD) führen und bergen so hohe Sicherheitsrisiken, etwa Verstöße gegen geltendes Recht oder den Datenschutz.

Dem wollte die Bosch Sicherheitssysteme GmbH mit einem Redesign des Rollenkonzepts nachhaltig entgegenwirken. Viele Unternehmen meiden solche Berechtigungsprojekte aus Angst vor langen Projekt- und Ausfallzeiten, Belastungen der Mitarbeiter in den Geschäftsbereichen und hohen Kosten. Die Bosch Sicherheitssysteme GmbH setzt daher künftig voll auf die automatisierten Werkzeuge der Xiting Authorizations Management Suite (XAMS) – und konnte für deren Implementierung und das aktuelle Rollenprojekt mit der Xiting AG eine festen Zeitplan zum Fixpreis vereinbaren. Im September 2015 wurde das Redesign gestartet. Dabei sind die Arbeitsplatzanalysen, das Rollen-Design – bestehend aus der inhaltlichen Definition und der technischen Erstellung der Rollen – sowie das Testen die zeitaufwendigsten Teile eines Berechtigungfsprojektes. Xiting hat daher für diese Aufgaben ganz spezielle Werkzeuge entwickelt.

Die Werkzeuge der XAMS: automatisiert, zeitsparend, effektiv

So konnten bei der Bosch Sicherheitssysteme GmbH beispielsweise mit dem neu in die XAMS integrierten Xiting Role Designer die verwendeten Prozesse erfasst und hieraus Rollenvorschläge erstellt werden. Diese zunächst rein virtuellen Rollen wurden dann geprüft und unter Beachtung der späteren Benutzerzuordnung (Deckungsgrad) verändert. Dabei folgt der Xiting Role Designer allgemeinen Vorgaben für SoD und kritische Berechtigungen, aber auch internen SoD-Regeln des Bosch-Konzerns, erprobten SAP-Best-Practices sowie dem Prüfleitfaden der Deutschsprachigen SAP-Anwendergruppe (DSAG). Am Ende, so die Zielsetzung, wurden so wenig Rollen wie möglich behalten, um die Administration des künftigen Berechtigungssystems zu erleichtern.

Bei der Überprüfung der Vorschlagsrollen sind auch die Eigenentwicklungen im SAP-System mit eingeschlossen. Gemäß der realen Prozesse bei Bosch Sicherheitssysteme enthalten einige der neuen Rollen auch sogenannte Z-Transaktionen, mit denen der Anwender Eigenentwicklungen starten kann. Aber darf ein Anwender aus Deutschland auch Daten für die Landesgesellschaft Schweiz sehen? Um das zuzulassen oder zu verhindern, muss in dem eigenentwickelten Programm eine Prüfung hinterlegt sein. Der Xiting ABAP Alchimist überprüft auf Ebene des Source-Codes, ob in den Eigenentwicklungen Berechtigungsprüfungen fehlen, und benennt auch diejenigen, die integriert werden müssen. Die Eigenentwicklungen werden zudem einer SU24-Analyse und -Bereinigung unterzogen und die Rollen anschließend automatisch mit den richtigen Berechtigungsobjekten und -werten angereichert. Sind alle notwendigen Rollen virtuell erzeugt, erfolgt die Übergabe an das SAP-System und das Testen. Hierfür hat Xiting die „produktive Testsimulation“ entwickelt: Dabei wird die Benutzung der neuen Berechtigungsrollen unter Aufsicht der automatisierten Werkzeuge Xiting Role Builder und Xiting Times im Produktivsystem simuliert. So lassen sich Unschärfen im neuen Berechtigungsdesign unmittelbar erkennen und beheben. Der Go-Live erfolgt ohne jedes Risiko für den produktiven Betrieb, da in einer Übergangsphase (Protected Go-Live) die Anwender im Hintergrund ihre alte Rolle beibehalten und diese bei etwaigen Problemen temporär noch einmal nutzen können.

Nachhaltige Verwaltung der Berechtigungen

Mit einem manuellen Ansatz wäre das Redesign weniger nachhaltig. Im aktuellen Projekt wurde die Anzahl der vorhandenen Rollen von ca. 2.000 auf rund 120 reduziert, und künftig kann die Bosch Sicherheitssysteme GmbH ihre Berechtigungen mit der Xiting Authorizations Management Suite zuverlässig selbst verwalten. Dank der automatisierten Prozesse wurden zudem die Mitarbeiter im Business nur minimal beansprucht. Ohne Xiting Times hätte das Business bei der Bosch Sicherheitssysteme GmbH einem Go Live sehr kritisch gegenübergestanden. Doch so wurden die Fachbereiche durch das Redesign nur wenig belastet.

Darüber hinaus konnte Bosch Sicherheitssysteme eine Aufgabe lösen, die viele Unternehmen beschäftigt: Wie lässt sich das dynamische Kostenstellenwesen eines Unternehmens in den Rollen abbilden? Denn wird beispielsweise eine Kostenstelle gelöscht, muss sichergestellt sein, dass sie auch den Rollen entzogen wird. Xiting hat daher mit der XAMS auch einen Kostenstellenberechtigungsgenerator implementiert, der die betroffenen Rollen künftig automatisch anpasst, wenn sich an den Kostenstellen etwas ändert.

Die Funktionalitäten der XAMS im Zusammenspiel mit der professionellen Umsetzung durch den Implementierungspartner Xiting haben es der Bosch Sicherheitssysteme GmbH ermöglicht, einen sehr engen Projektzeitplan einzuhalten und nachweislich einen ROI innerhalb der Projektlaufzeit zu erzielen.

Foto: Shutterstock

Tags:

Leave a Reply