Thought Leadership
Wie sichert ein großes Unternehmen der Kritischen Infrastrukturen (KRITIS) mit hoher Relevanz für das staatliche Gemeinwesen seine SAP-Landschaften bestmöglich ab? Die Berliner Wasserbetriebe entschieden sich für die Unterstützung durch den Spezialisten Pathlock, um Zugangsrisiken durch die Automatisierung ihrer SAP-Berechtigungsprozesse zu minimieren. Ein Fallbericht.
Die Berliner Wasserbetriebe (BWB) sichern als größtes deutsches Unternehmen der Branche mit mehr als 4.600 Mitarbeitenden die Versorgung für fast vier Millionen Einwohner. Dem entsprechen IT-Kennzahlen von 13 SAP-Systemen, rund 4.500 SAP-Usern und 10 Mandanten. Als KRITIS-Unternehmen haben sie nach dem IT-Sicherheitsgesetz 2.0 höchste Sicherheitsstandards zu erfüllen, hinsichtlich der Geschäftsprozesse und ebenso des IT-Betriebes. Und gerade bei der IT Security ergab sich Handlungsbedarf.
Das SAP-Berechtigungssystem war über die Jahre hinweg historisch gewachsen und es galt, die SAP Security & Compliance nachhaltig zu verbessern, denn laut Steffen Gebauer, SAP-Berechtigungsadministrator BWB, „liefen viele Prozesse bei uns manuell ab und führten zu Einschränkungen im Arbeitsalltag sowie zu einem Mehraufwand für die Administratoren. Und in puncto historisch gewachsene Berechtigungen hat deren Ausufern immer wieder für Ärger mit Wirtschaftsprüfern und Innenrevisoren gesorgt. Prüfungen einzelner Benutzer aus dem Fachbereich ergaben bis zu 40.000 Transaktionen, weil Rollen mitunter fünffach vergeben worden sind.“
Reorganisation der SAP-Berechtigungs- und Benutzeradministration
Als Konsequenz wurde beschlossen, im Rahmen einer Reorganisation der SAP-Berechtigungs- und Benutzeradministration eine unternehmensweite und transparente Vereinheitlichung des Berechtigungsmanagements zu erreichen. Im Vordergrund standen dabei die Erhöhung der SAP Security & Compliance sowie eine digitale und revisionssichere Dokumentation. Hier entschied man sich für eine externe Unterstützung: „Um unsere IT-Sicherheit zu erhöhen, suchten wir ein Tool mit einem hohen Automatisierungsgrad, der Möglichkeit von Echtzeitanalysen und mit einer einfachen Bedienung“, subsumiert Martina Rosenfeld-Gauger, Teamleitung Betriebswirtschaftliche & Zentrale Anwendungen. Im Rahmen einer Ausschreibung entschieden sich die Berliner Wasserbetriebe für die Implementierung der Pathlock Suite, inklusive begleitendem Support und an die Anforderungen angepassten Handlungsempfehlungen der Hamburger Experten.
Know-how, Moderation und Vertrauen
Durch den Einsatz der Pathlock Suite sollte sowohl der Innenrevision als auch den Anforderungen durch Wirtschaftsprüfer Rechnung getragen werden. Darüber hinaus war es das Ziel, den SAP-Berechtigungsvergabeprozess so zu optimieren, dass er nicht nur bereits im Vorfeld SoD-Konflikte (Segregation of Duties) aufdeckt, sondern auch für jeden Mitarbeiter nachvollziehbar und intuitiv anzuwenden ist.
Dazu Ralf Kempf, Geschäftsführer von Pathlock Deutschland: „Wir sind das Projekt Berechtigungskonzept sehr bedacht und pragmatisch angegangen, haben den Kunden zunächst in die Funktionsweise unserer Software eingewiesen, mit ihm zusammen erarbeitet, welche Berechtigungen zu viel sind, welche angepasst werden müssen, und ihn dann fortlaufend für den fachlichen Austausch begleitet.“ Der regelmäßige Austausch war für beide Seiten von signifikanter Bedeutung, sowohl hinsichtlich Erfahrungswerte und der Verfügbarkeit von Know-how, als auch zur kundigen Moderation in innerbetrieblicher Diskussion. Dies erklärt auch die beiderseitige Priorität, sich Zeit zu nehmen, Vertrauen aufzubauen und eine langfristige Zusammenarbeit anzuvisieren. Denn diese bedeutet in der Folge weniger Abstimmungsaufwand, Schonung der Ressourcen und die Nutzung bereits etablierter Strukturen und Workflows.
Zielkonflikte lösen
Eine besondere Herausforderung stellten die inhärenten Zielkonflikte eines KRITIS-Unternehmens dar. Aus Sicht des IT-Sicherheitsgesetzes 2.0 ist die Verfügbarkeit der Infrastruktur prioritär. Themen wie Datenschutz sind deswegen nicht obsolet, aber nachrangiger. Das heißt, eine Kontinuität der Versorgung muss gewährleistet sein und im Fall einer Krise ist es hinsichtlich der Berechtigungen besser, so Ralf Kempf, „dass sozusagen alle alles können, anstatt auf nur ein Notfallteam zu setzen.“
Die Gratwanderung beginnt, wenn andere Richtlinien etwa zum Thema Datenschutz sehr granular abgestimmte Berechtigungen erfordern, beim Wasserversorger beispielsweise personenbezogene Daten wie Kontodaten. Ralf Kempf betont, dass hier dann der Blick eines Außenstehenden unverzichtbar ist: „Eine kritische Betrachtung optimalerweise von jemandem aus dem oberen Management, der hinter einem steht, wenn es mitunter unliebsame Maßnahmen gibt, und der bei Zielkonflikten eine fundierte, aber pragmatische Entscheidung trifft, sodass weitergearbeitet werden kann.“
Grundlegende Optimierung durch die Software Suite
Mithilfe der Pathlock Suite sind Berechtigungs- und Funktionstrennungsanalysen nun in Echtzeit möglich und sorgen für die Einhaltung der rechtlichen Richtlinien. Kritische SAP-Zugriffe werden so besser und mögliche funktionsbasierte Konflikte frühzeitig erkannt. Zudem werden Benutzeranträge und Rollenänderungen elektronisch und automatisch dokumentiert – für den internen Nachweis ebenso wichtig wie für die Rechtfertigung gegenüber dem Wirtschaftsprüfer.
Kritische Berechtigungen und SoD-Konflikte werden nun angezeigt und die systemische Sicherheit wird überwacht. Die Identifizierung der Schwachstellen funktioniert automatisch und zu ihrer Beseitigung bietet die Pathlock Suite entsprechende Lösungshinweise. Durch das für die Berliner Wasserbetriebe eigens entwickelte Web-Formular ist es zudem jetzt allen Fachbereichen möglich, Rollen spezifisch nach ihren Anforderungen zu vergeben. Jeder Benutzer sieht dabei nur die Auswahl der Rollen, für die er auch berechtigt sein darf.
Das Ergebnis „ein Quantensprung“
Im Ergebnis zeigen sich sowohl Ralf Kempf als auch sein Kunde hoch zufrieden: „Die Berliner Wasserbetriebe sind ein Paradebeispiel dafür, wie Unternehmen ihre SAP-Sicherheit und Compliance Schritt für Schritt verbessern und Anforderungen sinnvoll aufeinander aufbauend lösen können“, resümiert Kempf. Und Martina Rosenfeld-Gauger konstatiert, die Pathlock Suite überzeuge durch einfache Bedienung, Echtzeit-Analysen und den hohen Automatisierungsgrad. Durch ihr modulares Prinzip gelang es, die SAP-Systeme nach und nach zu optimieren, den aktuellen Herausforderungen anzupassen und seitdem jeder Prüfung – intern wie extern – standzuhalten:
„Wir haben beim Thema Sicherheitsauswertung einen Quantensprung gemacht. Es ist immer noch Arbeit, das soll es auch sein, aber viel entspannter. Wir wissen, was wir auswerten, und können die Reports erklären – eine Erleichterung für alle, und die Zeitersparnis ist enorm. Hinzu kommt das gute Gefühl, dass man entspannt an solche Themen herangehen kann.“
