Information und Bildungsarbeit von und für die SAP-Community
IT-Security Kolumne, MAG 19-03

Self-Adjusting Authorizations

Unternehmen machen sich ihren SAP-Berechtigungsprozess zu leicht, was nach aktuellen Erkenntnissen dazu führt, dass Anwender 75 Prozent mehr Berechtigungen haben, als sie benötigen. Die Devise lautet: Aufräumen.
Patrick Boch, Sast Suite
4. April 2019
Inhalt:
It-Security
avatar

Mit Self-Adjusting Authorizations bekommen Unternehmen ein Werkzeug und die nötigen Nutzungsinformationen an die Hand und können die Probleme angehen: Ungenutzte Transaktionen werden automatisiert entfernt, was die Compliance sowie den Schutz vor Datenmissbrauch erhöht und gleichzeitig administrativen Aufwand spart.

Tagesgeschäft und Berechtigungswesen

Die Idee zur Entwicklung stammt von Frank Schröder, CIO des Getriebeherstellers Renk, eines Tochterunternehmens von MAN. Er suchte eine Möglichkeit, das Berechtigungsmanagement während des laufenden Tagesgeschäfts automatisch sauber zu halten. Und fand in Akquinet den Partner für diese Aufgabe.

Gemeinsam starteten wir in die Pilotphase. Nach fünfzehn Monaten steht das dynamische, sich selbst ausrichtende Werkzeug Self-Adjusting Authorizations kurz vor der Marktreife. Im Zusammenspiel mit der Sast Suite liefert die GRC-Software als Erste auf dem Markt verlässliche Kennzahlen über die tatsächliche Nutzung der Rollen in SAP.

Da das Tool auf Automatisierung setzt – Transaktionen bleiben nur aktiviert, wenn der Benutzer diese braucht –, nützt es besonders kleineren und mittleren Unternehmen, die in der Regel über wenig Fachpersonal im Security- und Compliance-Umfeld verfügen.

Aber auch größere Unternehmen können ihre vielen Berechtigungen so permanent aktuell halten. Dass der Bedarf für das Werkzeug am Markt vorhanden ist, zeigt die Pilotphase bei Renk: Rund 75 Prozent der vergebenen Berechtigungen werden von den Nutzern nicht gebraucht.

Sie existieren einerseits, weil SAP-Systeme in Unternehmen mit den Jahren wachsen, und andererseits, weil Administratoren tendenziell eher zu viele Transaktionen als zu wenige an die Benutzer verteilen.

Aber diese ungenutzten Berechtigungen verschlechtern nicht nur die Übersichtlichkeit und Wartbarkeit erheblich, sondern erhöhen auch das Potenzial für Funktionstrennungskonflikte sowie für höhere Kosten im Bereich der SAP-Lizenzen.

Obwohl diese Schwachstellen bekannt sind, gehen viele IT-Verantwortliche die Optimierung der User-Berechtigungen bisher noch nicht an. Denn diese ist händisch aufwändig und bindet daher Kosten und Ressourcen.

Die Self-Adjusting Authorizations schaffen hier Abhilfe und verringern den internen Aufwand, da sie nach einer Beobachtungsphase nur die Transaktionen in einer Rolle belassen, die für die Erledigung eines Geschäftsprozesses auch wirklich erforderlich sind – nicht genutzte Transaktionen werden sicher entfernt. So nutzt auch Renk das Werkzeug für die permanente User-Pflege.

Optimierung

Zusammengefasst bringt der Einsatz der Self-Adjusting Authorizations viele Vorteile mit sich: Unternehmen können sich dadurch einen klaren Überblick über den Nutzungsumfang der bisherigen Rollen ihrer Mitarbeiter verschaffen und anschließend den Zuschnitt optimieren.

Alle Iterationszyklen aus der Beobachtungsphase sind zudem jederzeit nachvollziehbar, da sie detailliert dokumentiert werden. So kann man sehen, was der Mitarbeiter zu jedem Zeitpunkt durfte und was nicht, was beispielsweise bei einem Audit wichtig ist.

Die aufgeräumten Berechtigungen bedeuten weniger Aufwand in der Administration und ein geringeres Sicherheitsrisiko durch die Reduzierung von Funktionstrennungskonflikten.

Wollte man das Vorgehen auf eine Formel verdichten, hieße diese: Automatisieren, statt alles selber zu machen. Zuletzt führt die Optimierung der User-Berechtigungen möglicherweise auch zu einem Einsparpotenzial bei den SAP-Lizenzen. So aufgestellt können IT-Entscheider der Überprüfung durch die interne Revision oder durch externe Audits in Zukunft gelassen entgegenblicken.

avatar
Patrick Boch, Sast Suite

Patrick Boch, Produktmanager Sast Suite.


Alle Artikel des Autors

Schreibe einen Kommentar

Herausforderungen der Transformation meistern

Die Leiden des jungen CIO

KI muss als Teaminitiative gesehen werden

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.