SAP-Autorisierung: sind Sie sicher, welches Sicherheitsniveau Ihre Daten haben?

SAP-Autorisierung: sind Sie sicher, welches Sicherheitsniveau Ihre Daten haben?
veröffentlicht
12 Dezember 2017
Die Autorisierung in den SAP-Systemen ist nicht ein Begriff, der besonders ausgiebig diskutiert wird. Sie ist eine „graue Eminenz“, die – obwohl häufig vernachlässigt – einer der Schlüsselmaßstäbe für die Sicherheit der Geschäftsdaten ist. Wie geht man das Thema der Autorisierung, vor allem angesichts der mit der DSGVO verbundenen Änderungen, am besten professionell an?

Die Autorisierung ist ein Querschnittthema: Sie ist überall da angebracht, wo potenziell sensible Daten vorkommen, mit anderen Worten… in praktisch jedem Modul der SAP-Systeme. Unter dem Begriff der Autorisierung verbirgt sich die Erfüllung der Anforderungen für Einschränkungen des Zugriffs auf Geschäftsdaten oder -verfahren. Dank dessen können Berechtigungen so verwaltet werden, dass bestimmte Mitarbeitergruppen Zugang zu verschiedenen, für ihre Aufgaben und Bedürfnisse geeigneten Ressourcenlevels haben.

Beispiel: ein Mitarbeiter der Personalabteilung verfügt über personenbezogene Daten der Mitarbeiter sowie Informationen bezüglich ihrer Gehälter. Der Zugang zu solchen Informationen muss einzig und allein auf ihn beschränkt sein, unter Ausschluss der Mitarbeiter anderer Teams. Mit Hilfe der ihm erteilten Berechtigungen erhält der Mitarbeiter vollen Zugriff auf die Daten, die für Durchführung der Geschäftsprozesse, an denen er beteiligt ist, notwendig sind.

Technisch: wie funktioniert die Autorisierung?

Ein gut organisierter Autorisierungsprozess gewährleistet ein flexible Organisation: die Zugangsberechtigungen können beliebig gestaltet werden, sodass sie den Aufgaben und Kompetenzen der einzelnen Mitarbeitergruppen entsprechen und gemeinsam mit den sich ändernden Anforderungen der Firma verwaltet werden können.
Jedes SAP-Modul ist spezifisch, weil wir an verschiedenen Objekten arbeiten. Demzufolge sind auch der Umfang und die Elemente der Autorisierung unterschiedlich, wobei jedoch – das sollte hervorgehoben werden – das Verfahren zum Einrichten von Berechtigungen immer dasselbe ist.

Hinweis: Das CRM-Modul ist im Hinblick auf die Autorisation am weitesten ausgebaut.

Gute Autorisationsverfahren: wie wählt man den Anbieter?

Neben dem Standardverfahren für die Wahl eines Anbieters, der ein gutes Autorisierungsmanagement gewährleistet, sollte man darauf achten, was für ein Team sich mit dem Projekt beschäftigen wird. Die Erfahrung der Berater, die die Autorisationen durchführen, ist vor allem dann wichtig, wenn viele SAP-Module gleichzeitig betrieben werden.

Dank entsprechender Kompetenzen hat ein Berater die notwendigen Kenntnisse bezüglich der Arbeit mit den verschiedenen Objekten, aber auch Personengruppen und Bereichen, mit denen er in der Arbeit konfrontiert sein wird; er kennt auch die Autorisationsobjekte, die die betreffenden Daten und Prozesse kontrollieren.

Aus der Perspektive der Kundenerwartungen ist es ausschlaggebend, dass das Autorisierungsteam die Objekte und Geschäftsanforderungen des Kunden kennt, sowie dass es diese den Möglichkeiten (und Einschränkungen) des vorhandenen SAP-Systems effektiv gegenüberstellt und auch, dass der Kunde in der Lage sein wird, die Verfahren an den eigenen Geschäftsobjekten durchzuführen.

Vorteile eines guten Autorisierungsmanagements

Die Autorisation ist Teil eines größeren Ganzen, nämlich der security governance policy (Sicherheitsstrategie). Das ist ein System von Maßnahmen und Werkzeugen, das ein angemessenes Sicherheitsniveau für die Geschäftsdaten und das Know-how eines Unternehmens gewährleisten soll – sowohl intern als auch extern.
Ein gutes Management der Autorisierungsprozesse ist ein unentbehrliches Element der Sicherheitsstrategie und bringt einer Organisation reelle Vorteile:

  • Die Reduzierung der Fehler beim Datenmanagement.
  • Das Berechtigungsmanagement erzwingt das Prozessbewusstsein der Organisation durch die Notwendigkeit der präzisen Abbildung und Verbindung der Autorisierungsprozesse.
  • Die Gewissheit, dass die Geschäftsziele der Firma in den jeweiligen Einheiten durch geeignete Prozesse realisiert werden. Autorisationen sind wie ein Filter, der überprüft, ob nicht eine organisatorische Änderung erforderlich ist.
  • Die Möglichkeit, das Geschäftswissen zu kontrollieren und vernünftig zu verwalten.

Gefahren bzw. was passiert ohne Autorisierung?

Kehren wir die Situation um: was kann passieren, wenn eine Firma nicht für ein geeignetes Autorisierungsmanagement sorgt?

  • Ohne die volle Kenntnis über die Eigentümer der einzelnen Prozesse und deren Ablauf können Firmen ihre Organisation nicht optimieren.
  • Die Organisation kann nach und nach die Kontrolle über die einzelnen Prozesse in den verschiedenen Abteilungen verlieren.
  • Die Firma hat keine Kontrolle über die für die Firma wesentlichen Daten (Kundendaten, Finanzdaten, Personaldaten).
  • Die Firma setzt sich der Gefahr aus, dass Dutzende und sogar Hunderte unbefugter Personen Zugriff auf die Systemressourcen bekommen.
  • Das Unternehmen kann die gesetzlichen Anforderungen (z. B. in Bezug auf den Datenschutz) nicht erfüllen.

Was kann Hicron für Ihre Firma tun?

Mit einem Team von Fachleuten mit großer Erfahrung im Bereich der Autorisierung bieten wir nicht nur Implementierungs- und Konfigurationsdienste für Autorisierungen in der SAP-Umgebung.
Wir befassen uns auch mit der Optimierung bereits bestehender Autorisierungen durch die Gegenüberstellung der betreffenden Organisationseinheit, ihrer Entwicklung und Aufgaben mit einem Spiegelbild der aktuellen Lage im SAP-System.
Wenn Sie sich ein effektives Management der SAP- Autorisierung wünschen, dann nehmen Sie bitte mit uns Kontakt auf und verabreden Sie sich mit einem unserer Berater: [email protected]

 

Bei Hicron legen wir großen Wert darauf, uns so nah wie möglich am Geschäft des Kunden zu bewegen. Deshalb bieten wir nicht nur maßgeschneiderte Lösungen an, sondern denken auch langfristig und berücksichtigen dabei immer das Interesse an langfristigen Beziehungen. Dieser Ansatz steckt in unserer DNA und ist in unserem Leitprinzip sichtbar.
Wir sind Hicron. VisiON Architect. SolutiON Maker.

Diese Seite verwendet Cookies. Durch die weitere Nutzung dieser Website stimmen Sie unserer Datenschutzerklärung zu.

Ok, ich stimme zu