Klug optimierte SAP Security und Compliance für ein KRITIS-Unternehmen

Wie sichert ein großes Unternehmen der Kritischen Infrastrukturen (KRITIS) mit hoher Relevanz für das staatliche Gemeinwesen seine SAP-Landschaften bestmöglich ab? Ein Fallbericht.

Status quo: Historisch gewachsene Berechtigungen und manuelle Prozesse

Die Berliner Wasserbetriebe (BWB) sichern als größtes deutsches Unternehmen der Branche mit mehr als 4.600 Mitarbeitenden die Versorgung für fast vier Millionen Einwohner. Dem entsprechen IT-Kennzahlen von 13 SAP-Systemen, rund 4.500 SAP-Usern und 10 Mandanten. Als KRITIS-Unternehmen haben sie nach dem IT-Sicherheitsgesetz 2.0 höchste Sicherheitsstandards zu erfüllen, hinsichtlich der Geschäftsprozesse und ebenso des IT-Betriebes. Und gerade bei der IT Security ergab sich Handlungsbedarf.

Das SAP-Berechtigungssystem war über die Jahre hinweg historisch gewachsen und es galt, die SAP Security & Compliance nachhaltig zu verbessern, denn laut Steffen Gebauer, SAP-Berechtigungsadministrator BWB, „liefen viele Prozesse manuell ab und führten zu Einschränkungen im Arbeitsalltag sowie zu einem Mehraufwand für die Administratoren. Und in puncto historisch gewachsene Berechtigungen hat deren Ausufern immer wieder für Ärger mit Wirtschaftsprüfern und Innenrevisoren gesorgt. Prüfungen einzelner Benutzer aus dem Fachbereich ergaben bis zu 40.000 Transaktionen, weil Rollen mitunter fünffach vergeben worden sind.“

Reorganisation der SAP-Berechtigungs- und Benutzeradministration

Als Konsequenz wurde beschlossen, im Rahmen einer Reorganisation der SAP-Berechtigungs- und Benutzeradministration eine unternehmensweite und transparente Vereinheitlichung des Berechtigungsmanagements zu erreichen. Im Vordergrund standen dabei die Erhöhung der SAP Security & Compliance sowie eine digitale und revisionssichere Dokumentation. Hier entschied sich die BWB für eine externe Unterstützung: „Um unsere IT-Sicherheit zu erhöhen, suchten wir ein Tool mit einem hohen Automatisierungsgrad, der Möglichkeit von Echtzeitanalysen und mit einer einfachen Bedienung“, subsumiert Martina Rosenfeld-Gauger, Teamleitung Betriebswirtschaftliche & Zentrale Anwendungen. Im Rahmen einer Ausschreibung entschieden sich die Berliner Wasserbetriebe für die Implementierung der Pathlock Suite, inklusive begleitendem Support und an die Anforderungen angepassten Handlungsempfehlungen.

Eine gute Basis: Know-how, Moderation und Vertrauen

Durch den Einsatz unserer Pathlock Suite sollte sowohl der Innenrevision als auch den Anforderungen durch Wirtschaftsprüfer Rechnung getragen werden. Darüber hinaus war es das Ziel, den SAP-Berechtigungsvergabeprozess so zu optimieren, dass er nicht nur bereits im Vorfeld SoD-Konflikte (Segregation of Duties) aufdeckt, sondern auch für jeden Mitarbeiter nachvollziehbar und intuitiv anzuwenden ist. Es war uns wichtig, das Projekt Berechtigungskonzept sehr bedacht und pragmatisch anzugehen. Dafür haben wir zunächst in die Funktionsweise unserer Software eingewiesen und zusammen mit der BWB erarbeitet, welche Berechtigungen zu viel sind, welche angepasst werden müssen, und sie dann fortlaufend für den fachlichen Austausch begleitet. Der regelmäßige Austausch war für alle Beteiligten von signifikanter Bedeutung. Sowohl hinsichtlich Erfahrungswerte und der Verfügbarkeit von Know-how als auch zur kundigen Moderation in innerbetrieblicher Diskussion. In diesem Projekt stand klar im Vordergrund, sich Zeit zu nehmen, Vertrauen aufzubauen und eine langfristige Zusammenarbeit anzuvisieren. Denn diese bedeutet in der Folge weniger Abstimmungsaufwand, Schonung der Ressourcen und die Nutzung bereits etablierter Strukturen und Workflows.

Zielkonflikte eines KRITIS-Unternehmens lösen

Eine besondere Herausforderung stellten die inhärenten Zielkonflikte eines KRITIS-Unternehmens dar. Aus Sicht des IT-Sicherheitsgesetzes 2.0 ist die Verfügbarkeit der Infrastruktur prioritär. Themen wie Datenschutz sind deswegen nicht obsolet, aber nachrangiger. Das heißt, eine Kontinuität der Versorgung muss gewährleistet sein und im Fall einer Krise ist es hinsichtlich der Berechtigungen besser, dass sozusagen alle alles können, anstatt auf nur ein Notfallteam zu setzen. Die Gratwanderung beginnt, wenn andere Richtlinien etwa zum Thema Datenschutz sehr granular abgestimmte Berechtigungen erfordern. Beim Wasserversorger beispielsweise personenbezogene Daten wie Kontodaten. Der Blick eines Außenstehenden und eine kritische Betrachtung ist an dieser Stelle unverzichtbar. Optimalerweise übernimmt das jemand aus dem oberen Management, der hinter einem steht, wenn es mitunter unliebsame Maßnahmen gibt. Der bei Zielkonflikten eine fundierte, aber pragmatische Entscheidung trifft, sodass weitergearbeitet werden kann.

Grundlegende Optimierung durch die Software Suite

Mithilfe der Pathlock Suite sind nun Berechtigungs- und Funktionstrennungsanalysen in Echtzeit möglich und sorgen für die Einhaltung der rechtlichen Richtlinien. Kritische SAP-Zugriffe werden so besser und mögliche funktionsbasierte Konflikte frühzeitig erkannt. Zudem werden Benutzeranträge und Rollenänderungen elektronisch und automatisch dokumentiert. Das ist für den internen Nachweis ebenso wichtig wie für die Rechtfertigung gegenüber dem Wirtschaftsprüfer. Kritische Berechtigungen und SoD-Konflikte werden angezeigt und die systemische Sicherheit wird überwacht. Die Identifizierung der Schwachstellen funktioniert automatisch und zu ihrer Beseitigung bietet die Pathlock Suite entsprechende Lösungshinweise. Durch das für die Berliner Wasserbetriebe eigens entwickelte Web-Formular ist es jetzt allen Fachbereichen möglich, Rollen spezifisch nach ihren Anforderungen zu vergeben. Jeder Benutzer sieht dabei nur die Auswahl der Rollen, für die er auch berechtigt sein darf.

Das Ergebnis: klug optimierte SAP Security und Compliance

Im Ergebnis zeigt sich, wie Unternehmen ihre SAP-Sicherheit und Compliance Schritt für Schritt verbessern und Anforderungen sinnvoll aufeinander aufbauend lösen können. Dank ihrer einfachen Bedienbarkeit, Echtzeit-Analysen und dem hohen Automatisierungsgrad konnte unsere Suite überzeugen. Durch ihr modulares Prinzip gelang es, die SAP-Systeme nach und nach zu optimieren. Die aktuellen Herausforderungen wurden angepasst und seitdem jeder Prüfung – intern wie extern – standgehalten.

Wir haben beim Thema Sicherheitsauswertung einen Quantensprung gemacht. Es ist immer noch Arbeit, das soll es auch sein, aber viel entspannter. Wir wissen, was wir auswerten, und können die Reports erklären – eine Erleichterung für alle, und die Zeitersparnis ist enorm. Hinzu kommt das gute Gefühl, dass man entspannt an solche Themen herangehen kann.

Martina Rosenfeld-Gauger von den Berliner Wasserbetrieben

Haben auch Sie Interesse zu erfahren, wie Sie Ihr Berechtigungssystem automatisieren und optimieren können? Schreiben Sie uns, wir informieren Sie gerne.

Dieser Fachbeitrag wurde zuvor im it-daily.net Leserservice, Ausgabe 11/23 veröffentlicht.

Schauen Sie sich zu diesem Thema unseren Expert Talk an: