StartseiteKontaktImpressum
ISMS

 

Mitglied bei

BitKom

Sichere Geschäftsprozesse: Identity Management im SAP Umfeld

Prozessmodell sicheres Identity Management

Viren, Phishing oder Trojaner – die meisten Unternehmen verfügen heutzutage über einen Mindestschutz vor Gefahren aus dem Internet. Dennoch wird häufig das größte Risiko unterschätzt: der Mensch.

Wissen Sie, welche Mitarbeiter über Zugriff auf die Daten zur Jahres- oder Personalplanung verfügen? Verfolgt der ehemalige Kollege noch Geschäftsvorgänge im Intranet? Wer kann über Informationen zum Vertrieb die Auftragslage beurteilen und kommentieren? Vielleicht kennen Sie die Antworten auf diese Fragen – doch derart gibt es zahlreiche weitere.

Um die gezielte Steuerung der komplexen Informationsschnittstellen in der Organisation sicherzustellen und Schäden zu vermeiden, ist ein geregeltes Identity Management (IdM) unumgänglich. Dies gilt vor allem für Enterprise Resource Planning-(ERP-)Systeme.

Das Aufgabenfeld

ERP-Systeme sind in fast allen Unternehmen das Rückgrat der Geschäftsprozesse. Meist ist ihr primäres Ziel die optimale Unterstützung des Geschäfts mit vorhandenen Ressourcen – sei es in der Materialwirtschaft, in der Produktion, im Finanz- und Rechnungswesen, im Verkauf und Marketing oder in der Personalwirtschaft. Doch nur eine ordnungsgemäße Funktion der ERP-Systeme nutzt Chancen sinnvoll und minimiert Anwendungsrisiken.

Denn das individuelle Risiko jedes einzelnen Benutzers wird vielmals unterschätzt. Die zahlreichen und komplexen Schnittstellen zwischen den ERP-Modulen stellen Unsicherheiten dar ebenso wie die Schnittstellen zu Dritt-Systemen. Dennoch wird die Gefährdung der Daten und Prozesse durch vorsätzlichen oder fahrlässigen Missbrauch von Zugriffsmöglichkeiten häufig als nachrangiges Thema betrachtet. Hieraus resultierende Schäden können für das Unternehmen existenziell sein.

Chancen und Vorteile_von ERP-Systemen wie SAP
  • Integrierte Unterstützung der Wertschöpfungskette
  • Schneller Zugriff auf Unternehmensdaten
  • Ãœbergreifende Verfügbarkeit von geschäftsprozessrelevanten Informationen
  • Gezielte Steuerung an Informationsschnittstellen
  • Verbesserte Wettbewerbsfähigkeit durch aufgabengerechte IT-Unterstützung der Geschäftsprozesse
  • Inhärente Unterstützung von Governance, Risk & Compliance Anforderungen

Aber: Keine Chancen ohne Risiken!

Typische Risiken
  • Komplexität der Zugriffe auf Daten und IT-Funktionen.
    Es fehlt ein strukturierter Managementprozess mit der Folge der unkoordinierten Ad-hoc Administration von Berechtigungen (z. B. Vergabe von Berechtigungen auf Zuruf) oder immer neuer Rollen für bereits vorhandene Aufgaben.

    Risiko „Unangemessene und intransparente Berechtigungen“

  • Ineffizientes Benutzer- und Berechtigungsmanagement.
    Mitarbeiter verfügen über weniger Rechte, als sie für ihre Aufgabe benötigen oder nicht zeitnah über benötigte Rechte.

    Risiko „Ineffizienz oder Nicht-Arbeitsfähigkeit der Mitarbeiter“

  • Mangelnde Aufgabentrennung.
    Mitarbeiter verfügen über mehr Rechte, als sie für ihre Aufgabe benötigen oder Rechte, die sie nicht mehr benötigen.

    Risiko „Missbrauchsmöglichkeiten“

  • Verletzung regulatorischer Vorgaben.
    Insbesondere zu umfangreiche Berechtigungen führen zur Verletzung der Sicherheitsprinzipien „need-to-know / need-to-do“ mit entsprechenden Folgen für das Management.

    Risiko „Disziplinarische Maßnahmen, Haftung, Strafverfolgung“

ERP-Lösungen der SAP AG sind seit Jahren marktführend. Doch die Erweiterung der ERP-Systeme auf viele Branchen und unterschiedliche Unternehmensgrößen bedürfen eines hohen Spezialisierungsgrades der Fachbereiche und IT-Abteilung. Dies gilt gerade auch im sicherheitskritischen Bereich des Benutzer- und Rollenmanagements. So ergeben sich fortlaufend Herausforderungen bei der Einführung, dem Betrieb und der permanenten Anpassung an das sich stetig ändernde Geschäftsumfeld.

Strategisch effizientes Vorgehen: sicheres SAP Identity Management

ERP-Systeme – wie die SAP-Lösungen – werden vor allem zur stetigen Optimierung von Geschäftsprozessen eingesetzt. Innerhalb dieser Prozesse nehmen die Anwender von SAP-Systemen Aufgaben wahr, die auf der IT-Ebene in technische Rollen umgesetzt werden. Die Anwender selbst werden im SAP-System durch Benutzer, repräsentiert. Die Zuordnung der Rechte zu den Benutzern geschieht mittels des Benutzerstammsatzes.

Eine wesentliche Voraussetzung für einen aufgabengerechten, effizienten und sicheren Einsatz von SAP-Systemen ist daher das ordnungsgemäße Management von Rollen, Benutzern und Benutzerstammsätzen. In der Informationssicherheit wird dies unter dem Begriff „Identity Management" (IdM) zusammengefasst.

Zur Einführung, Umsetzung und Aufrechterhaltung des IdM hat ConSecur ein strategisches und kosteneffektives Modell entwickelt. Grafisch dargestellt, spiegelt dieses Modell in drei Quadranten die Bereiche Benutzer, SAP Rollen und Benutzerkonten wider. Der letzte Quadrant „Compliance Management“ steht für die Einhaltung und Überwachung von unternehmerischen, gesetzlichen oder auch branchenspezifischen Vorgaben. Dazu gehören insbesondere auch Vorgaben zur Informationssicherheit.

Die ConSecur IdM-Methode für SAP-Lösungen stellt sicher, dass alle eingangs genannten Risikofelder abgedeckt werden.

ConSecur Leistungen: sicheres SAP Identity Management

ConSecur bietet ein umfassendes Portfolio zur Konzeption, Realisierung und den Support eines sicheren SAP Identity Managements an. Die ersten und wichtigsten Fragen für Sie sind dabei:

„Gibt es in unserem System Defizite? Habe ich Handlungsbedarf?“

Zur schnellen und für Sie kostengünstigen Klärung dieser Fragestellung hat ConSecur ein besonderes Angebot, den Quick Check.

Quick Check

Mittels eines Fragenkataloges wird Ihr SAP-System grundlegend auf Risiken hin untersucht. Die Erarbeitung der Ergebnisse auf der Basis dieses Fragenkatalogs erfolgt im Rahmen eines Workshops. Als Ergebnis erhalten Sie eine Übersicht über Schwachstellen und Bereiche mit Handlungsbedarf.

Arbeitsschritte:
1
_Analyse des Benutzer- und Berechtigungs-Managements auf Schwachstellen
2
_Analyse des SAP-Berechtigungskonzepts auf kritische Objekte und Objektkombinationen
3
_Analyse kritischer SAP-Systemparameter
Ergebnis: Übersicht über Schwachstellen und Handlungsbedarfe

Für nähere Informationen zum Quick Check und weiteren Schritten steht Ihnen Herr Wübker gerne zur Verfügung.

Sie möchten mehr Details zu der ConSecur-Methode „Sicheres SAP Identity Management“ erfahren?

Lesen Sie unser Yellow Paper! >>
Norbert Bookvon
Dipl.-Ing. N. Book,
Sebastian Hendrichvon
Sebastian Hendrich
<< zurück zur Übersicht
ConSecur präsent
Die ConSecur GmbH präsentierte sich in der Vergangenheit auf folgenden Tagungen und Messen:
.
24.03.2011
ikn2020-Kooperationsforum Osnabrück, IT-Sicherheit und Datenschutz für Unternehmen, Vortrag: Norbert Book
.
28.10.2010
Firmenkontaktmesse Chance, FH Osnabrück, Aussteller
.
25.06.2009
Happy Birthday, ConSecur! 10jähriges Jubiläum
Bisher erschienen:
Lesen Sie zu folgenden Themen:
->
IT-Grundschutz Zertifizierung an internationalen Standard ausgerichtet.
->
Projektmanagement-Outsourcing - Kopf frei für Strategie!
->
Informationssicherheits-
Management in ITIL-Prozessen
->
Sicheres Identity Management, Schutz unternehmenskritischer Prozesse
->
Sicherheit für PDAs und Handhelds
->
Basel II und seine Auswirkungen auf das IT-Sicherheitsmanagement
->
Privatsphäre drahtlos
->
Emergency Response - Entscheidende IT-Prozesse aufrecht erhalten
->
Network Access Control - Neues Vertrauen ins eigene Netz

Bestellen Sie auch unsere Publikationen und White Papers!
ConSecur GmbH  •  Schulze-Delitzsch-Str. 2  •  49716 Meppen  •   Fon +49 5931 9224-0  •  Fax +49 5931 9224-44  •  info@consecur.de