SAP S/4HANA Transition der Österreichischen Sozialversicherungsträger

Security & Compliance als essenzieller Bestandteil.

Die Österreichischen Sozialversicherungsträger haben bei der Einführung von S/4HANA den Fokus auf die Vereinfachung durch Standardisierung und Harmonisierung gelegt, insbesondere bei neuen Rollenmodellen. Im Gegensatz zu vielen anderen war es ihnen besonders wichtig, die Themen Security Compliance von Anfang an einzubeziehen. Dabei soll das auf vier Jahre angelegte Umstellungsprojekt und die schrittweise Migration bis 2024 von den Erfahrungen vorausgegangener Einführungsprojekte profitieren.

Greenfield-Ansatz für die S/4HANA-Migration

Im Jahr 2019 erlebte die Sozialversicherungslandschaft Österreichs eine bedeutende Reform. Die im Vergleich zu Deutschland ohnehin geringe Anzahl von Sozialversicherungsträgern, die alle bereits SAP im Einsatz hatten, wurde von 21 auf fünf reduziert. Die gesetzliche Verpflichtung zur Zusammenführung und Konsolidierung der Sozialversicherungsträger war ausschlaggebend dafür, dass die zuständigen Gremien dem SAP Competence Center grünes Licht gaben, die bereits geplante Migration auf S/4HANA zu initiieren. Vor diesem Auftrag hatte Walter Schinnerer, Leiter des SAP Competence Centers, bereits festgelegt, dass die Migration auf S/4HANA nach dem Greenfield-Prinzip erfolgen sollte. Dabei ging es darum, nicht die bestehenden Systeme mit ihren jahrelangen Anpassungen und Problemen zu migrieren, sondern SAP von Grund auf neu aufzubauen.

Das Ziel bestand darin, die Prozesse und Technologien so einheitlich und standardisiert wie möglich umzusetzen. Im Frühjahr 2020 wurde damit begonnen, einen Baseline-Mandanten als Master-Mandanten zu erstellen. Anschließend wurde beim ersten Sozialversicherungsträger, der BVAEB, ein Template implementiert. Aufgrund des Greenfield-Ansatzes erstreckte sich dieser Prozess über 18 Monate, bis schließlich Anfang 2022 das Go-live erfolgreich durchgeführt werden konnte.

Externe Unterstützung für Implementierung, Security und Compliance

Die Sozialversicherungsträger-Community beauftragte ihr Competence Center damit, ein einheitliches, standardisiertes Security-Werkzeug auszuwählen. Nach Abschluss des Auswahlverfahrens im Jahr 2021 entschied man sich für die Pathlock Suite, implementiert von akquinet HKS Österreich. Die Pathlock-Komponenten legten im Rahmen des Einführungsprojekts mit dem Sozialversicherer BVAEB die Grundlage für weitere Migrationen. Es wurden Standards und Templates entwickelt, die bei allen anderen Rollouts verwendet wurden. Auch für die Österreichische Gesundheitskasse gab es zunächst ein sechsmonatiges Vorprojekt, gefolgt von der Implementierung der Pathlock Suite innerhalb von 18 Monaten.

„Ende 2024 werden alle Sozialversicherungsträger auf S/4HANA umgestellt sein“, kommentiert Walter Schinnerer. „Im Zuge der Migration werden auch neue Sicherheits- und Compliance-Standards eingeführt.“

Klare Dokumentation dank Template-Ansatz

akquinet Österreich agiert als Implementierungsberater für das IT-Projekt und leitet die technische Umsetzung mit einem Team von Sicherheits- und Berechtigungsexperten. Christopher Kobald, Teamleiter SAP Security bei akquinet Österreich, betont die intensive Nutzung der Pathlock Suite. Um Berechtigungsprüfungen schnell starten zu können, entschieden sie sich für einen Template-Ansatz im Rollenmodell, basierend auf einem umfangreichen Template-Katalog mit über 1000 Einzelrollen für SAP-Standardmodule. „Dieser Template-Katalog ermöglicht es, das endgültige Rollenmodell nach dem Baukastenprinzip zu erstellen“, erklärt Kobald. „Die Vorteile liegen auf der Hand: klare Dokumentation und in sich geschlossene Rollen ohne Konflikte bei Funktionstrennungen. Jede Rolle wurde bereits bewertet, was die Integration der Template-Rollen in die Sammelrollen erleichtert“. Das Sammelrollenmodell wurde gewählt, um den Fiori-First-Ansatz konsequent zu verfolgen und den Joiner-Mover-Leaver-Prozess zu vereinfachen.

Die GRC-Lösung

Das Template-Rollenmodell und Vorlagenrollen sind in die Pathlock Governance-, Risk- und Compliance-Lösung integriert. Das Automated Roll Design reduziert den Verwaltungsaufwand erheblich. Die Access Analysis bietet bereits bei der Rollenerstellung die Möglichkeit, auf kritische Berechtigungen und Funktionstrennungskonflikte hinzuweisen. Christopher Kobald betont: „Der am meisten geschätzte Faktor der Projektleiter war das Testen mit Sicherheitsnetz und das Safe Go-live Management.“ Fehlende Berechtigungen während des Tests können durch eine Fallback-Funktion sofort ausgeglichen werden, was die Testphase effizienter macht.

„Dieses Vorgehen ermöglicht uns, das Projekt effizient und kostengünstig abzuschließen, während die bereits live gegangenen Sozialversicherungsträger schon weitere Funktionen von Pathlock nutzen“, so Kobald. „Dazu gehören das Compliant Provisioning für den Joiner-Mover-Leaver-Prozess und das Vulnerability Management für die Systemsicherheit. Doch damit nicht genug: Wir diskutieren bereits über 2024 hinaus, wie mit Pathlock Threat Detection und Data Loss Prevention kritische Ereignisse in Echtzeit überwacht und protokolliert werden können. Und nicht zuletzt profitieren Führungskräfte von einem umfassenden Security Management Dashboard“.

Ganzheitlicher Ansatz spart Ressourcen

Auf die Frage nach den Erkenntnissen aus dem Projekt betont Walter Schinnerer: „Was ich Verantwortlichen auf jeden Fall mit auf den Weg geben kann: War es bisher schwierig, zusätzliche Budgets für Security einzuplanen, hat es uns geholfen, die gesamte Pathlock Suite direkt in das Budget für die S/4HANA Migration zu integrieren. So ist das Thema Security von Anfang an integraler Bestandteil der Gesamtstrategie.“ Die wesentliche Entscheidungsgrundlage für die Auswahl der Pathlock Suite seien aber die Templates gewesen. „Uns hat überzeugt, dass wir hier eine Komponente haben, die wir in unsere S/4HANA-Plattform integrieren können, ohne zusätzliche Services zu benötigen.“ Natürlich wurde auch darauf geachtet, die Ressourcen möglichst optimal zu nutzen. Alles so weit wie möglich zu automatisieren, Herausforderungen nur einmal anzugehen und daraus zu lernen. „Wir haben uns verschiedene Tools angeschaut, die Pathlock Suite war das vielversprechendste. Und jetzt, am Ende des Projekts, können wir sagen, dass es die richtige Entscheidung war“.

Unser CTO Ralf Kempf betont angesichts des erfolgreichen gemeinsamen Projekts, dass viele Unternehmen bei der Migration zu S/4HANA die Themen SAP-Sicherheit und Berechtigungswesen vernachlässigen. Dies stellt ein hohes Risiko für das gesamte Vorhaben dar. „Ganz wichtig ist daher ein ganzheitliches IT-Risikomanagement, da dies ein beträchtliches Potenzial für Wertschöpfung und Einsparungen birgt“, so Kempf. Er ergänzt: „Im Gegensatz dazu führen viele Unternehmen zahlreiche unkoordinierte Projekte durch. Es ist daher oft einfacher, wie im Fall der Österreichischen Versicherungsträger, den mutigen Schritt zu wagen und das Projekt integrativ anzugehen.“

Wenn Sie noch mehr über diese Fallstudie erfahren möchten, empfehlen wir Ihnen unseren Expert Talk im Rahmen der IT-Onlinekonferenz: