IBsolution Blog

Alles unter Kontrolle: Risikomanagement mit SAP Access Control

Geschrieben von Benjamin Stecher | 22. Mai 2019

Eine verantwortungsvolle Führung hat stets die Unternehmensziele im Blick und minimiert die Risiken, die dem Erreichen dieser Ziele im Weg stehen könnten. Bei identifizierten Gefahren ergreift sie die richtigen Maßnahmen, um die Risiken einzudämmen oder vollständig auszuschalten. Da immer mehr geschäftskritische Prozesse softwaregestützt ablaufen, sind Unternehmen auf leistungsfähige IT-Lösungen angewiesen, um die damit einhergehenden Herausforderungen zu bewältigen.

 

 

Schützen Sie den guten Ruf und die Liquidität Ihres Unternehmens

 

 

Wechselseitige Auswirkungen

Mit der GRC-Suite bietet SAP eine umfassende Softwarelösung für die Bereiche Governance, Risk und Compliance, die in enger Wechselwirkung zueinander stehen. Die Unternehmensführung (Governance) muss potenzielle Risiken erkennen und dafür Sorge tragen, dass die gesetzlichen Bestimmungen und die unternehmensinternen Richtlinien (Compliance) eingehalten werden. Das Identifizieren und Bekämpfen von Risiken stärkt wiederum das Bewusstsein für Compliance, während das Sicherstellen regelkonformen Verhaltens umgekehrt Risiken verringert und so einen wichtigen Beitrag leistet, um die Unternehmensziele zu erreichen.

 

Die GRC-Software von SAP setzt sich aus unterschiedlichen Komponenten zusammen. Der Baustein Risk Management identifiziert, analysiert und bewertet Gefahren, stellt ein dauerhaftes Monitoring sicher und stellt wichtige Informationen für die strategische Planung bereit. Das Tool Process Control dokumentiert die interne Kontrollen und zeigt deren Effektivität auf. Mit SAP Access Control lassen sich Zugriffsrisiken und Berechtigungsverletzungen aufdecken, Zugriffsanforderungen abbilden sowie Firefighter-Prozesse für den Notfall etablieren.

 

Anforderungen an das Berechtigungswesen

Weil die IT immer mehr Geschäftsprozesse durchdringt, spielt das Berechtigungswesen in Unternehmen eine zunehmend wichtige Rolle. Nicht erkannte und nicht eliminierte Risiken haben starke negative Auswirkungen auf den Geschäftserfolg. Zudem machen steigende interne und externe Anforderungen und Vorgaben das Berechtigungswesen komplexer.

 

Das Thema Compliance umfasst im Berechtigungswesen nicht nur die eigentlichen Prozesse, sondern auch die Verantwortlichkeiten für das Genehmigen von Anträgen und das Bewerten von Risiken. Die Kontrollfunktion ist ein weiterer wichtiger Aspekt. Hier lautet die entscheidende Frage, wie das Einhalten der Risikoprüfung sichergestellt werden kann. Darüber hinaus ist ein permanentes Reporting erforderlich, um nachvollziehen zu können, wer welche Berechtigungen besitzt und welche Zugriffsrisiken aktuell vorhanden sind.

 

Vier Komponenten

Für die Vergabe von Rollen und Berechtigungen kommt SAP Access Control zum Einsatz. Die Anwendung lässt sich auf unterschiedlichen Datenbanken betreiben; am größten ist ihre Performance in Kombination mit der HANA-Datenbank. SAP Access Control besteht aus den vier Komponenten Access Risk Analysis, Business Role Management, Access Request Management und Emergency Access Management.

 

Die Access Risk Analysis untersucht Zugriffsrisiken und deckt Funktionstrennungsrisiken auf. Das Business Role Management dient dazu, Business-Rollen zu verwalten, damit sie möglichst keine Risiken enthalten. Das Anfordern von Berechtigungen für bestimmte Systeme funktioniert über das Access Request Management. Da der Vergabeprozess die Risikoanalyse berücksichtigt, sind die erteilten Berechtigungen nahezu frei von Risiken. Das Emergency Access Management bildet den Firefighter-Prozess ab, um kurzfristig weitreichende Berechtigungen für ein System zu erhalten. Die Durchführung bestimmter Tätigkeiten wird dabei genau protokolliert und im Nachgang kontrolliert.

 

Neuerungen in der aktuellen Version

Das Release GRC 12.0 ist seit Ende 2018 verfügbar und wartet mit einigen Neuerungen auf. Der Firefighter-Prozess lässt sich jetzt auch für die HANA-Datenbank implementieren. Neue Regelwerke analysieren die Berechtigungen, die aufgrund der S/4HANA-Fiori-Apps hinzugekommen sind, und decken Risiken auf. SAP Cloud Identity Access Governance (IAG) fungiert als Brücke, um Cloud-Systeme wie Success Factors, SAP Ariba oder SAP Concur anzubinden. Die Integration von ERP-Systemen, Portalen und IdM-Systemen ist nach wie vor möglich.

 

Die intuitiven Fiori-Oberflächen vereinheitlichen die User Experience und stellen den zentralen Einstiegspunkt für Anwender dar. Das Anmelden auf verschiedenen Oberflächen gehört der Vergangenheit an. Allerdings ist es möglich, weiterhin mit dem NetWeaver Business Client zu arbeiten. In diesem Fall bleibt die Chance auf eine einheitliche User Experience jedoch ungenutzt.

 

Eine Reihe von neuen KPI-Cockpits visualisiert wichtige Kennzahlen mithilfe von Diagrammen. Im Sinne der Prozessoptimierung wurden im Backend die Abläufe zur Synchronisation und Massenverarbeitung mit Blick auf Parallelisierung und Parametrisierung verbessert. Dadurch lässt sich präziser ansteuern, welche Daten synchronisiert werden sollen.

 

Compliance sicherstellen

Der erste Schritt auf dem Weg zur Compliance im Berechtigungswesen ist das Aufdecken vorhandener Risiken mit der Access Risk Analysis. Das Erstellen eines Berechtigungskonzepts hat das Ziel, Rollenpakete zu schnüren, welche die benötigten Berechtigungen beinhalten und möglichst risikofrei sind. Denn absolute Risikofreiheit ist nicht immer realisierbar; manche Risiken sind nicht zu vermeiden und müssen eingegangen werden. Anschließend werden die Rollen den Benutzern zugewiesen.

 

Ist eine nahezu saubere Berechtigungslandschaft vorhanden, erkennt das Access Request Management Risiken künftig bereits bei der Vergabe. Dann können die Administratoren entscheiden, ob die Risiken tragbar sind oder nicht.

 

Indem die Risikoprüfung Teil des Berechtigungsvergabeprozesses wird, lässt sich Compliance realisieren. Die Risiken werden bereits vor ihrem Entstehen ausgeschaltet oder zumindest dokumentiert, wenn es unumgänglich ist, sie in Kauf zu nehmen. Regelmäßige Reviews halten die Administratoren hinsichtlich der Gefahren auf dem aktuellen Stand.

 

Fazit: Argumente für SAP Access Control 12.0

Zusammenfassend sprechen einige Gründe für den Wechsel auf das aktuelle Release SAP Access Control 12.0: Die Integration des Fiori Launchpad sorgt für eine verbesserte User Experience, erzeugt responsive Oberflächen und schafft einen zentralen Zugangspunkt. Alles in allem stellt das Launchpad eine deutliche Verbesserung gegenüber WebDynpro dar. Über IAG ist jetzt möglich, Cloud-Systeme an das GRC anzubinden.

 

Die erweiterten Regelwerke lassen die Analyse der neuen Berechtigungen zu, die sich aufgrund der Fiori-Apps in SAP S/4HANA ergeben. Dank der Erweiterung des Emergency Access Management lassen sich Firefighter-Prozesse auch auf der HANA-Datenbank implementieren. Allein schon aus Gründen der Zukunftssicherheit sollten sich Unternehmen mit dem Upgrade beschäftigen. Denn SAP Access Control 10.1 erreicht sein offizielles Wartungsende bereits am 31. Dezember 2020.