Sicherheit richtig anpacken

Feature | 18. April 2006 von admin 0

Unternehmensdaten und -informationen lassen sich schützen, wenn nur Personen darauf zugreifen können, die sie tatsächlich brauchen. Daher ist es wichtig, den Zugriff auf Daten oder Anwendungen zu regeln, abhängig von der Funktion, die eine Person im Unternehmen ausübt. Das gilt auch dann, wenn Sicherheitsvorkehrungen in eine SAP-Lösung integriert werden. Unternehmen reduzieren auf diese Weise das Risiko unerlaubter Transaktionen oder des Betrugs. Darüber hinaus benötigen die Firmen geeignete Kontrollmechanismen, um den Risiken zu begegnen, die mit den alltäglichen Geschäftsprozessen verbunden sind. Das betrifft sowohl die notwendigen Sicherheitsmaßnahmen innerhalb des Unternehmens als auch die Anwendungen von Drittparteien, beispielsweise Partnern, die ebenso auf die SAP-Lösung zugreifen können. Die Organisation solcher Sicherheitsvorkehrungen erfordert ganz spezielle Ressourcen.

Nichts dem Zufall überlassen

Schon bei der Implementierung einer SAP-Software – beispielsweise von SAP R/3, SAP Business Information Warehouse (SAP BW), SAP Strategic Enterprise Management (SAP SEM), SAP NetWeaver Portal, mySAP Customer Relationship Management (mySAP CRM) oder mySAP Supplier Relationship Management (mySAP SRM) – sollte ein Sicherheitsrahmen geschaffen werden. Dazu gehört die Entwicklung und Einrichtung eines umfassenden Informationssicherheits- und Kontrollsystems. Sicherheit ist nichts, was sich im Verlauf des Projekts “von selbst ergeben” wird. Vielmehr wird ein Team von Spezialisten benötigt, um eine maßgeschneiderte Überwachungslösung zu entwickeln und zu integrieren. Diese muss den Anforderungen des Unternehmens hinsichtlich der Unversehrtheit seiner Daten entsprechen und gleichzeitig dem Sarbanes-Oxley Act, dem Health Insurance Portability and Accountability Act (HIPAA) sowie verschiedenen anderen Gesetzen Genüge tun.

Projektleitung – den Erwartungen gerecht werden

Wenn es um Sicherheit und Kontrolle geht, beginnt erfolgreiches Projektmanagement damit, dass sich die Verantwortlichen in die Lage der Betroffenen versetzen. Der Leiter des Sicherheitsteams muss genau wissen, was für die zukünftigen Anwender wichtig ist, da dies Auswirkungen auf die Sicherheit und Überwachung innerhalb des SAP-Systems hat. Das nötige Verständnis gewinnt er am besten, indem er sich mit den maßgeblich Beteiligten zusammensetzt. Gemeinsam mit seinem Team muss er dafür sorgen, dass das bestehende IT- und Geschäftsumfeld an die Sicherheitsstrategie des Unternehmens angepasst wird. Außerdem muss er eng mit demjenigen zusammenarbeiten, der die Geschäftsprozesse implementiert.
Das Sicherheits- und Kontrollteam sollte die Anforderungen und Erwartungen der Betroffenen kennen. Das hilft ihm, Umfang und Komplexität des Projektes zu bestimmen. Für die endgültige Entscheidung über das Sicherheitskonzept ist es außerdem unabdingbar, die Geschäftsprozesse zu verstehen, denn sie spiegeln den Grad der unternehmerischen Kontrolle wider. Zum Beispiel kann ein Unternehmen festlegen, dass kein Anwender die Möglichkeit haben darf, eine Bestellung aufzugeben, sie zu genehmigen, den Wareneingang zu bestätigen und die Rechnung zu bezahlen, wenn er gleichzeitig auch die Stammdatei der Lieferanten verwaltet. Um hier eine Schranke einzubauen und diese Aufgaben zu trennen, muss eine entsprechende Sicherheitskonfiguration erfolgen – bezüglich der Transaktionen und, falls nötig, auch auf Feldebene. Natürlich gibt es durchaus Situationen, in denen eine solche Trennung nicht möglich ist. Das System sollte jedoch so konzipiert sein, dass angemessene Kontrollen Aufgabenkonflikte vermeiden. Denn sowohl Geschäftsleitung als auch Revision achten sehr genau auf diese Aufgabentrennung, um gesetzliche Regelungen, insbesondere den Sarbanes-Oxley Act, einzuhalten. So gibt es zum Beispiel Mechanismen, die das Geschäftsrisiko minimieren: Ein Vorgang, der eine bestimmte Summe überschreitet, muss erst vom Management genehmigt werden, ehe er durchgeführt werden kann.
Wesentlich für das Management von Sicherheitsprojekten ist die Zustimmung und Unterstützung durch die einzelnen Geschäftsbereiche. Die Sicherheitsstrategie muss mit den Führungskräften diskutiert und von ihnen gebilligt werden – nur so hat sie eine Chance, von ihnen akzeptiert und mitgetragen zu werden. Denn nur die Kontrolle von Sicherheit und Geschäftsprozessen garantiert einen nachhaltigen Geschäftsbetrieb, der mit den Gesetzen in Einklang steht.

Technische Leitung – die Vorteile der Teamarbeit

Für eine erfolgreiche Sicherheitsstrategie ist es außerdem unerlässlich, erfahrene technische Spezialisten einzusetzen. Diese müssen das gesetzliche Umfeld überblicken und auch wissen, wie Kontrollen im Rahmen von und in Verbindung mit SAP die Einhaltung der Regeln fördern. Bedauerlicherweise leiden viele Sicherheitsabteilungen und insbesondere SAP-Sicherheitsteams an Personalmangel, da der Arbeitsaufwand meistens unterschätzt wird. Es empfiehlt sich, die internen Revisions- und Kontrollteams schon in die Anfangsdiskussionen über Sicherheitsstrategien mit einzubeziehen. Vielfach haben diese Teams bereits umfangreiche Testläufe von Überwachungsmaßnahmen innerhalb des Unternehmens durchgeführt und dokumentiert.
In den Gesprächen über die Funktionsweise der SAP-Zugriffsberechtigung und die verfügbaren Sicherheitsoptionen muss das Kontrollteam dafür sorgen, dass die Anwender die Folgen der vorgesehenen Einschränkungen verstehen. Doch sie müssen auch die Risiken kennen, die ohne eine derartige Zugriffsbeschränkung bestünden. Außerdem sollte für neu geschaffene Funktionen eine SAP-Aufgabentrennungsanalyse (Segregation of Duties – SoD) durchgeführt werden. Damit können die Tätigkeiten von Anwendern, die auf sensible Daten zugreifen, festgestellt, analysiert, aufgezeichnet und mögliche Interessenskonflikte ermittelt werden. Der Systemadministrator kann binnen Sekunden potenzielle Konflikte simulieren, ohne die bestehende Sicherheitskonfiguration zu ändern. Manche SoD-Werkzeuge verfügen über eigene Komponenten, die die Rollenbestimmung und die entsprechende Konfiguration automatisieren. Einige bieten auch die Möglichkeit, eine SoD-Analyse durchzuführen, die beispielsweise SAP- und Nicht-SAP-Anwendungen umfasst. Die meisten SoD-Instrumente auf SAP-Basis sind bei Drittanbietern erhältlich, es können aber auch andere systemgebundene Werkzeuge, wie beispielsweise eQSmart von Deloitte, zur SoD-Analyse eingesetzt werden.

Der Umgang mit den Anwendern – Kommunikation führt zum Erfolg

Allgemeine Sicherheitsüberlegungen

Allgemeine Sicherheitsüberlegungen

Der wichtigste und komplexeste Faktor für den erfolgreichen Einsatz eines SAP-Sicherheitssystems ist meistens der Umgang mit den Betroffenen, insbesondere den Anwendern. Das Sicherheits- und Kontrollteam muss gewinnbringend mit den Geschäftsbereichen, den Technikern und der Geschäftsführung kommunizieren. Nur dann erfasst es alle Bedürfnisse des Unternehmens und setzt die vorhandenen Informationen in ein angemessenes Sicherheitssystem um. Gelingt dies nicht, können ein Projekt verzögert und Erwartungen enttäuscht werden – und das führt letztendlich zu einer schlechten Sicherheitsstrategie.
Obwohl sich sicherheitstechnisch bedingte Einschränkungen für das Unternehmen insgesamt auszahlen, werden sie von den Anwendern häufig nur als Behinderung wahrgenommen. Dafür kann es zwei Gründe geben. Werden Geschäftsprozesse neugestaltet, schränken diese Änderungen unter Umständen den Zugriff der SAP-Anwender auf die Geschäftsfunktionen zunehmend ein. Zudem sind sich die Anwender am Anfang häufig nicht bewusst, in welchem Maße die integrierten SAP-Prozessabläufe erhöhte Sicherheitsmaßnahmen nach sich ziehen.

Die Zielgruppe kennen

Das Team beugt Missverständnissen erfolgreich vor, wenn es sich sofort mit den Betroffenen zusammensetzt. So lassen sich Bedenken gleich am Anfang aufdecken und ausräumen, sodass ein massiver Widerstand gegen das neue System gar nicht erst entsteht. Die Projektverantwortlichen sollten sich immer bewusst sein, wer die Zielgruppe ist und welche Erwartungen sie hat. Die meisten Leute wissen kaum, wie Sicherheitsvorkehrungen funktionieren und wie sie in SAP-Anwendungen konfiguriert sind. Anwender scheuen sich möglicherweise, Bedenken zu äußern und Probleme anzusprechen – entweder weil sie ihre Unsicherheit verbergen möchten oder die möglichen Risiken gar nicht verstehen. Eine allgemein verständliche Sprache und Beispiele helfen den Mitarbeitern dabei, die technischen Sicherheitskonzepte zu begreifen, Barrieren werden auf diese Weise leichter überwunden. Außerdem sollten die Experten hierbei in die Rolle des “Lehrers” schlüpfen und das “Unterrichten” in die tägliche Arbeit integrieren. Dadurch lassen sich Fehler und letztendlich Projektverzögerungen vermeiden.

Kush Sharma

Kush Sharma

Leave a Reply