Soccer team in a huddle

Globales Berechtigungskonzept bei Syngenta senkt Sicherheitsrisiken und Verwaltungsaufwand

7. Oktober 2013 von Anja Paschke-Hess 0

Mit einem neuen Berechtigungskonzept und einem leistungsstarken Werkzeug für die Zugriffskontrolle schützt der Syngenta-Konzern heute seine Unternehmensdaten. Die Vereinheitlichung von Rollen in Asien und Europa sorgt für mehr Transparenz und verringert Verwaltungsaufwand und Sicherheitsrisiken. Mit an Bord beim internationalen Rollout: der SAP-Partner Ciber.

Für viele Eltern ist es selbstverständlich, dass sie ihre Kinder durch computerverwaltete Identitäten und Zugriffsberechtigungen vor den Gefahren des Internets schützen. Was im Kreis der Familie noch relativ einfach zu lösen ist, gerät für Unternehmen häufig zu einer komplexen Herausforderung. Mit einer Zugriffskontrolle soll dort die Datenintegrität, die Vertraulichkeit und die Verfügbarkeit von Informationen gesichert werden. Der Schlüssel dazu ist ein Berechtigungskonzept, das jeden Anwender passgenau mit den für seine Aufgabe notwendigen Rechten ausstattet, ihm also nicht pauschal Zugriff auf alle Daten gewährt.

Je größer ein Unternehmen, je mehr Standorte und Mitarbeiter und je größer die Fluktuation und die Anzahl der Ausnahmeregelungen, desto komplexer und fehleranfälliger wird das Berechtigungssystem – in global operierenden Konzernen eine Mammutaufgabe, so auch bei der Syngenta AG. Das Unternehmen mit Hauptsitz in Basel ist seit über zehn Jahren erfolgreich im Markt für Pflanzenschutz und Saatgut aktiv. Mit mehr als 27.000 Mitarbeitern in über 90 Ländern gehört Syngenta zu den weltweit führenden Unternehmen in dieser Sparte. 2011 entschied man sich, das Berechtigungskonzept in der zentralen Anwendung SAP ERP zu überarbeiten – und darüber hinaus künftig weltweit auf die Anwendung SAP Access Control aus dem SAP-Angebot für Governance, Risikomanagement und Compliance zu setzen.

Unternehmensdaten wirksam schützen
Um die Unternehmensdaten adäquat zu schützen, benötigt ein global operierendes Unternehmen wie Syngenta ein rollenbasiertes Berechtigungskonzept, das den unterschiedlichen lokalen Anforderungen gerecht wird. Aufgrund der hohen Mitarbeiterzahl muss es sich auch bei Fluktuation schnell und unkompliziert aktualisieren lassen und dennoch transparent bleiben, damit keine kritischen Berechtigungskombinationen entstehen. Nur wenn bei der Vergabe der Rollen eine klare Funktionstrennung (Segregation of Duties, SoD) gewährleistet ist, lassen sich Sicherheitslücken vermeiden.

Um das neue Sicherheitskonzept reibungslos in insgesamt 14 Ländern in Asien und 24 europäischen Ländern umzusetzen, entschied sich Syngenta für einen erfahrenen Partner. Die Ciber AG berät das Unternehmen bereits seit dem Jahr 2000 bei Autorisierungskonzepten und dem Management von Governance, Risiko und Compliance mit Lösungen von SAP. „Aufgrund der komplexen regulatorischen und technischen Anforderungen des Themas war es für uns wichtig, den richtigen Partner für die Implementierung zu finden. Aufgrund der bisherigen Erfahrung mit Ciber hatten wir großes Vertrauen, dass wir das Projekt gemeinsam zum Erfolg führen“, sagt Fabian Wilhelm, Global GRC Program Manager Syngenta.

Produktivstart auf leisen Sohlen
In einem ersten Schritt wurden Rollen-Templates erstellt, die auf einer Liste der ausgeführten Transaktionen pro User (RBE – Reverse Business Engineering) sowie bewährten Best-Practice-Rollen von Ciber basieren. Im Anschluss startete der Rollout in die Länder, mit Großbritannien als Pilotprojekt. Die Vorgehensweise: Gemeinsam mit den Geschäftsverantwortlichen vor Ort passte Ciber in sogenannten Fit-Gap-Workshops das Rollen-Template den landesspezifischen Anforderungen an – und setzte die Änderungen in der SAP-Software um. Im Mittelpunkt dieser Anpassungen stand die Vermeidung von Risiken bei der Funktionstrennung, die nur in enger Zusammenarbeit von Ciber mit den lokalen und globalen Compliance-Managern bei Syngenta möglich war. 38 Länder „später“ war es dann so weit: Seit dem 25. November 2012 steuert Syngenta die Rollen vieler Tausend Mitarbeiter weltweit mit dem neuen Berechtigungskonzept.

Geringere Komplexität, mehr Transparenz
Parallel zum Redesign des Berechtigungssystems unterstützte Ciber den Rollout von SAP Access Control. Syngenta verfügt nun über eine Reihe neuer Compliance-Prozesse, etwa über ein Risikoreporting in SAP-Berechtigungen, ein Verzeichnis für potenzielle SoD-Risiken sowie eine zentrale Rollen- und User-Administration, die einen SoD-Risikocheck beinhaltet.

Durch die Implementierung einheitlicher Template-Rollen hat Syngenta die Komplexität bei den SAP-Berechtigungen deutlich reduziert und gleichzeitig an Transparenz gewonnen. Die Anzahl der Rollen in den asiatischen und europäischen Ländern wurde erheblich gesenkt. Das schlägt sich unmittelbar in den SoD-Risiken nieder: Die Rate der „Level-Critical-Risiken“ sank um bis zu 50 Prozent, „Level-High-Risiken“ können sogar bis zu 75 Prozent vermieden werden. Nach dem erfolgreichen Projektverlauf in Asien und Europa ist geplant, das Konzept auch in Nordamerika auszurollen – aller Voraussicht nach wieder mit Ciber als starkem Einführungspartner.

Tags: , ,

Leave a Reply