Case Study: Wie U.S. Sugar bei der S/4HANA-Migration SoD-Probleme löst

Das Agrarunternehmen U.S. Sugar mit Sitz in Clewiston, Florida, produziert und verarbeitet Zuckerrohr, Zitrusfrüchte und Zuckermais für bekannte US-Marken. Im Rahmen der SAP S/4HANA-Migration suchte es für seine rund 2.500 Mitarbeiterinnen und Mitarbeiter eine Lösung zur Prüfung von SoD-Konflikten. Wir berichteten vor einigen Monaten darüber und möchten Ihnen mit der folgenden Case Study einen umfassenden Einblick in das Kundenprojekt geben.

Optimierung der Sicherheit und Compliance während der S/4HANA-Migration

Wie viele andere Unternehmen setzt das Agrarunternehmen bei seinen Business-Applikationen zunehmend auf einen Mix aus On-Premise- und Cloud. Doch mit der wachsenden Verbreitung vernetzter Anwendungen, sei es im Beschaffungswesen, in der Buchhaltung oder im CRM, nehmen auch die Sicherheitsrisiken zu. Dies gilt insbesondere für Segregation-of-Duties-Konflikte (SoD). Um aktuellen und zukünftigen SoD-Risiken zu begegnen, ist eine anwendungsübergreifende Sicht auf das Zugriffsmanagement notwendig, die neben der Überwachung und Absicherung von On-Premise-Applikationen auch Cloud-Anwendungen umfasst.

Matthew Miller, Senior Director of IT Business Solutions & Benefits bei U.S. Sugar, nahm die anstehende S/4HANA-Migration zum Anlass, frühzeitig Maßnahmen zu ergreifen, um die historisch gewachsenen und durch hybride Systemlandschaften noch verstärkten SoD-Risiken nicht einfach mit zu übernehmen. Auf der Suche nach einer Lösung zur Überwachung der Compliance, zur Lösung von SoD-Konflikten und zur Dokumentation der Kontrollen hat das Unternehmen eine Vielzahl von Lösungen verglichen, bevor es eine Entscheidung traf.

Potenzielle SoD-Risiken bereits vor der Vergabe neuer Berechtigungen erkennen

Dass die Wahl von U.S. Sugar schließlich auf die Software-Suite von Pathlock fiel, lag nicht zuletzt an ihren bereits vordefinierten, anpassbaren und dynamischen SoD-Regelwerken für die wichtigsten Geschäftsanwendungen. Ziel von U.S. Sugar war die Anpassung dieser Regelwerke an die spezifischen Anforderungen des Unternehmens und die Implementierung eines effektiven Warnsystems. Das System sollte in der Lage sein, die User-Rechte wirksam durchzusetzen und entweder die erforderlichen Korrekturen vorzunehmen oder Kontrollmechanismen zu enthalten, die eine rasche Reaktion auf Verstöße ermöglichen.

Die IT-Verantwortlichen von U.S. Sugar verglichen zunächst die eigenen SoD-Konflikte der letzten Jahre mit den Risikoklassifizierungen der vordefinierten Pathlock-Regelwerke. Die Ergebnisse wurden anschließend hinsichtlich ihrer Relevanz für das Finanz- und Rechnungswesen des Unternehmens analysiert: Unternehmensspezifische Risikoklassifizierungen wurden angepasst, kritische Berechtigungen entfernt oder herabgesetzt, andere hinzugefügt oder erhöht.

Abschließend wurden alle identifizierten Konflikte mit einer hohen Kritikalität einer Einzelprüfung unterzogen und entweder ausgleichende Kontrollen in das System integriert oder die problematischen Benutzerrechte komplett aus den Rollen entfernt. Entscheidend war dabei, dass mit Hilfe der angepassten Pathlock-Regelwerke und deren Prozessautomatisierung nicht nur der neu erreichte Status quo erhalten bleibt, sondern zukünftig bereits vor der Vergabe neuer Berechtigungen potenzielle SoD-Risiken erkannt werden.

Benutzerfreundliche Lösung für applikationsübergreifende Sicherheitskontrollen

Wichtig für U.S. Sugar war, dass das gewählte Tool nicht nur den betrieblichen und gesetzlichen Anforderungen entspricht, sondern auch benutzerfreundlich ist. So zeigt die Software bereits bei der Beantragung eines neuen Zugangs, zum Zeitpunkt der Vergabe und auch während der Prüfzyklen mögliche SoD-Risiken auf. U.S. Sugar kann nun SoD-Verstöße frühzeitig erkennen und in Fällen, in denen eine unmittelbare Beseitigung nicht möglich ist, entsprechende Kontrollmaßnahmen veranlassen.

Eine weitere Anforderung waren anwendungsübergreifende Schnittstellen, über die auch CRM-Anwendungen wie PeopleSoft von Oracle in den neuen Compliance-Prozess eingebunden werden können. Mit der gewählten Lösung können nun Benutzerkonten, Berechtigungen und Daten über alle Business-Applikationen hinweg verknüpft und analysiert werden, was das Management von SoD-Konflikten deutlich vereinfacht.

Automatisierte und detaillierte Berichte stellen die Dokumentation einzelner Schritte sicher, wodurch sich die regelmäßigen Audits vereinfachen. Matthew Miller hebt hervor, dass sein Team jetzt den jährlichen Audits wesentlich gelassener entgegensieht. Durch den hohen Automatisierungsgrad läuft die Prüfung insgesamt viel reibungsloser ab, da das Team den Prüfern die vom System generierten Berichte sowie die Compliance-Konformität inklusive einer Liste aller kompensierenden Kontrollen auf Knopfdruck präsentieren kann.

Absicherung kritischer Transaktionen während der Migration auf SAP S/4HANA

Heute ist Matthew Miller der Ansicht, dass der Einsatz einer umfassenden Software-Suite ein entscheidender Faktor für die erfolgreiche Migration ist. Auf diese Weise konnte die Umstellung auf SAP S/4HANA effektiv genutzt werden, um gleichzeitig Maßnahmen zu ergreifen, die das Unternehmen in Zukunft noch besser vor Risiken schützen, die mit kritischen User-Berechtigungen einhergehen.

U.S. Sugar hat außerdem das Pathlock Superuser Management im Einsatz. Damit wird sichergestellt, dass alle Aktivitäten, die von privilegierten Benutzern durchgeführt werden, überwacht, lückenlos dokumentiert und für Revisionszwecke zur Verfügung stehen. Der ganzheitliche Ansatz ist auch dann sinnvoll, wenn es sich nicht um ein SoD-Problem handelt, da es für U.S. Sugar grundsätzlich wichtig ist, zu kontrollieren, wer Zugang zu kritischen Transaktionen hat.

SoD-Analysen über alle Business-Applikationen

Wie bedeutsam ein applikationsübergreifendes SoD-Konzept ist, zeigt sich bei U.S. Sugar gerade mit dem Erwerb einer Raffinerie in Savannah, die PeopleSoft einsetzt. Mit Hilfe der Software, so Matthew Miller, sei es nun möglich, deren Sicherheitsregeln in ein zentrales Berichtswesen zu integrieren. Dies erlaubt eine Analyse, um übergreifende SoD-Konflikte zu identifizieren und dort, wo Risiken nicht unmittelbar beseitigt werden können, geeignete Kontrollmechanismen zu finden.

Während also in der Vergangenheit traditionelle applikationsspezifische SoD-Lösungen ausreichend waren, erfordert die Verbreitung von applikationsübergreifenden Geschäftsprozessen nun eine Anpassung des Kontrollprozesses.

Neben der Fähigkeit, übergreifende SoD-Risiken zu erkennen, bieten die Pathlock-Lösungen auch wegweisende neue Funktionen, insbesondere in der Benutzerfreundlichkeit, z.B. Darstellungen des aktuellen Risikostatus, um diesen jederzeit transparent abrufen zu können. Visualisiert wird der Echtzeit-Zustand in Form von maßgeschneiderten Dashboards etwa für die Management-Ebene. So wird dem CISO oder CFO prägnant und in einem angemessenen Detailierungsgrad veranschaulicht, welche Findings aktuell für einen Fachbereich vorliegen und welche Handlungsmöglichkeiten es gibt, um dies anzugehen.

Die Anwendung von vorkonfigurierten und individuell anpassbaren Regelwerken erspart zudem den Einsatz von Tabellen, Testmustern und externen Beratern und reduziert damit nicht nur die Risiken, sondern auch die benötigten Ressourcen. Mit der automatisierten SoD- und Risikoanalyse sowie dem automatisierten Reporting für alle gängigen Business-Applikationen können die gesetzlichen Anforderungen einfach und zeitsparend erfüllt werden, egal ob SAP ERP, S/4HANA, Cloud-Applikationen oder Non-SAP IT-Systeme. Die Komplexität der Benutzerverwaltung innerhalb und zwischen den Apps wird dadurch erheblich reduziert.

Das Unternehmen kann nun mit einer zentralen, benutzerfreundlichen Plattform Funktionstrennungskonflikte in seiner gesamten Anwendungslandschaft identifizieren, schnell beheben und fortlaufend überwachen. Eine solche Strategie ist revisionssicher und bildet eine solide GRC-Basis. Daher, so konstatiert Matthew Miller, habe U.S. Sugar die Entscheidung für die ganzheitliche Pathlock-Software bis heute keinen Moment bereut.

Wenn Sie mehr über dieses Fallbeispiel erfahren möchten, kontaktieren Sie uns.

Weitere Kundencases: