Neue Lösungen für Access Control heterogener IT-Umgebungen

Beitrag aus der S@PPORT, Ausgabe 9/2023.

Der Markt im Wandel.

Für viele Unternehmen bleiben SAP-Systeme wesentlicher Bestandteil ihrer IT-Infrastruktur, aber die Lösungen anderer Anbieter gewinnen an Bedeutung. Viele verwalten neben großen SAP-Landschaften auch beispielsweise Oracle-ERP-Instanzen als Ergebnis von Fusionen und Übernahmen. Aufgrund der fortschreitenden Heterogenität des Marktes erfordert dies zunehmend Lösungen der Access Control, die nicht nur SAP ECC und S/4HANA in der Tiefe unterstützen, sondern auch andere Umgebungen.

Schutz aller geschäftskritischen Anwendungen unerlässlich

So steht im diesjährigen Leadership Compass der internationalen Analysten von KuppingerCole zur Access Control die gemeinsame Unterstützung für SAP und weitere Geschäftsanwendungen im Mittelpunkt. Die Analysten tragen dem auch in ihrer Priorisierung Rechnung, das Hauptaugenmerk liege auf der Tiefe der Implementierung von Management und Kontrollen in diesen Umgebungen. Mit der sich verändernden Landschaft der Geschäftsanwendungen sei eine breitere Unterstützung für die Implementierung von Kontrollen über alle kritischen Geschäftssysteme hinweg zu einem Schwerpunkt der Bewertung geworden. „Die Verwaltung von Zugriffsberechtigungen einschließlich Rollen, aber auch SoD-Regeln und andere Aspekte rund um Identität, Zugriff und Sicherheit sind für den Schutz dieser geschäftskritischen Anwendungen unerlässlich“, betont der Report.

Unterstützung für multiple Berechtigungsmodelle

Eine Herausforderung dabei sei, dass diese Anwendungen mit einer Vielzahl von Berechtigungsmodellen aufwarten, die teilweise sehr komplex sind und aus mehreren Ebenen bestehen wie bei SAP mit Konzepten wie Geschäftsrollen, Einzelrollen, Berechtigungsobjekten und Transaktionen. Diese Komplexität werde durch neuere Modelle wie Fiori-spezifische Berechtigungen noch erhöht. Solche spezifischen Modelle in SAP und anderen Anwendungen erforderten eine eingehende Unterstützung.

Trend in die Cloud und über SAP hinaus

Hinzu kommt, wie die Analysten hervorheben, dass geschäftskritische Systeme dem Trend in die Cloud mit Lösungen wie SuccessFactors oder Ariba folgen und sich damit der Anwendungsbereich für zentralisierte Zugriffskontrollen über die traditionellen ABAP-Systeme und SAP hinaus erweitert. Während die Anforderungen durch die Unterstützung weiterer Systeme und Bereitstellung geeigneter Integrationspunkte mit anderen Lösungen stiegen, sei entscheidend, „dass alle Systeme durch eine wirksame Lösung für das Risikomanagement abgedeckt sind, für die Verwaltung der Zugriffskontrolle und der SoD-Kontrollen sowie für eine angemessene Access Governance.“

Anwendungsübergreifende SoD-Regeln

Zudem, so KuppingerCole, gibt es viele Geschäftsprozesse, die mehrere Anwendungen und Dienste umfassen. SoD-Regeln müssten nicht nur in der Lage sein, SoD-Verletzungen innerhalb einer Anwendung zu identifizieren, sondern auch für anwendungsübergreifende Prozesse. Dies erfordere ein gewisses Maß an Vereinheitlichung über die Anwendungen hinweg, während gleichzeitig ihre Besonderheiten unterstützt und verstanden werden müssten. Außerdem müsse der SoD-Regelsatz leicht zu pflegen sein oder sich dynamisch an Änderungen der Geschäftsprozesse anpassen lassen. Er solle zudem in der Lage sein, Konfigurationsunterschiede zwischen Instanzen derselben Anwendung zu harmonisieren.

Identity Governance & Administration

Um diese Situation weiter zu verkomplizieren, könnten Zugangskontrolllösungen nicht mehr von IGA-Lösungen getrennt werden, die den Bedarf an Identity Lifecycle Management, Benutzerbereitstellung und Access Governance für andere Anwendungen decken. Es sei ein integrierter Ansatz erforderlich, der weit über SAP hinausgeht und eine breitere Perspektive einnimmt. Nur wenn sowohl die Tiefe der Anwendungskontrollen als auch die Breite der Anwendungsabdeckung adäquat verwaltet würden, könnten Schlüsselfunktionen wie Rollendesign, Zugriffsanalyse und -zertifizierung, Risikomanagement oder Benutzerbereitstellung in einem Unternehmen effizient umgesetzt werden.

Tiefgreifende Unterstützung gefordert

So steht im diesjährigen Leadership Compass zur Access Control die Unterstützung für SAP und weitere Geschäftsanwendungen im Mittelpunkt: „Die Breite der Unterstützung für Anwendungen, die über den traditionellen SAP-Umfang hinausgehen, hat einen hohen Einfluss auf unsere Bewertung, da wir steigende Anforderungen und strategische Veränderungen innerhalb von Geschäftssystem-Umgebungen sehen.“ Chefanalyst Martin Kuppinger konstatiert: „Bei Nicht-SAP-Lösungen fehlt den meisten Anbietern noch die langjährige Erfahrung mit Best-Practice-Rollenmodellen, kritischen Zugriffsregelsätzen und SoD-Rollensätzen; daher bieten außer Pathlocks tiefgreifender Unterstützung für Oracle-Systeme nur wenige bereits die Tiefe der Unterstützung wie für SAP ECC.“ Mit der neuen Pathlock-Gruppe sei hier „ein großer Konkurrent für SAP auf dem Markt“ entstanden.

Report: neuer Zusammenschluss führend

Pathlock besteht dabei in seiner heutigen Form erst seit etwas über einem Jahr, als Zusammenschluss sieben führender IT-Unternehmen mit dem Ziel, die Automatisierung von Access Orchestration und Cyber Security sämtlicher Business-Applikationen voranzubringen. Im KuppingerCole Leadership Compass 2023 übernimmt Pathlock nun eine Führungsrolle für Access Control in SAP– und insbesondere Multivendor-Umgebungen. Während es laut Report gelingt, für reine SAP-Landschaften mit SAP gleichzuziehen, setzt sich der Zusammenschluss im Multivendor-Bereich als „Overall Leadership“ bereits deutlich von der Konkurrenz ab – mit einem funktionsreichen „umfassenden Portfolio, das eine breite Palette von Anwendungen unterstützt“ und sei damit „maßgeblich innovativ“.

Starke Zugriffskontrollen sind nicht länger nur ein Nice-to-have

„Der Markt für Lösungen, Access Control und GRC für SAP und andere System-Anwendungen befindet sich im Wandel“, kommentiert Piyush Pandey, CEO von Pathlock, die neue Führungsrolle: „Lösungen, die Produkte verschiedener Anbieter abdecken, sind gefordert. Darüber hinaus gehen einige über die Zugriffskontrolle hinaus und umfassen ein gewisses Maß an Prozess- und Transaktionskontrollen.“ Die IT-Branche erlebe derzeit eine deutliche Verschiebung der Prioritäten und des Fokus auf Access-Tools: „Wir sehen, dass Unternehmen wichtige Funktionen in die Cloud verlagern, um Best-of-Breed-Lösungen, höhere Effizienz, Kosteneinsparungen und allgemeine Skalierbarkeit zu erreichen. Diese Umstellung von On-Premises- auf Cloud-Geschäftssysteme verändert die Rolle einer effektiven Access Control zusätzlich. Starke Zugriffskontrollen sind nicht länger ein Nice-to-have-Feature, sondern eine absolute Notwendigkeit.“

Multivendor-Kompetenz für heterogene Anwendungsumgebungen

Der leitende Analyst Martin Kuppinger hebt bei seinem Urteil besonders die Zukunftsfähigkeit einer Plattform für heterogene Anwendungsumgebungen hervor: Der neue Leader verfolge „eine gut durchdachte Roadmap und wird seine Plattform um eine Reihe weiterer Verbesserungen erweitern, darunter KI-gesteuerte Kontrollen und Funktionen für die Anwendungssicherheit.“ Er betont: „Neben der führenden Unterstützung für SAP-Umgebungen liegt ihre besondere Stärke in der exzellenten Unterstützung einer breiten Palette anderer ERPs, einschließlich des erweiterten Oracle-Portfolios (eBusiness Suite, PeopleSoft, JD Edwards), wodurch die Anforderungen von Kunden mit heterogenen Anwendungsumgebungen erfüllt werden.“

Automatisierung künftig entscheidend

Piyush Pandey kommentiert, angesichts der sich entwickelnden Cybersicherheitslandschaft werde das Management von Zugang und internen Kontrollen zu einem neuen geschäftskritischen Ziel. Unternehmen müssten einen risikomindernden Ansatz wählen. „Daher sind wir bestrebt, das Risiko in einer Vielzahl von Geschäftsanwendungen wie Finanzen, Personalwesen, Lieferkette, Vertrieb und Systemen zu reduzieren und gleichzeitig die Automatisierung zu fördern, die für die internen Kontrollprozesse in der Zukunft entscheidend sein wird.“

Hier können Sie den Bericht kostenlos downloaden: