In den nächsten Jahren werden immer mehr Unternehmen von SAP ECC auf SAP S/4HANA umsteigen und auch die SAP Business Technology Platform (BTP) nutzen. Bei dieser Transformation vernachlässigen viele Unternehmen jedoch häufig wichtige Sicherheits- und Kontrollaspekte. Systemintegratoren konzentrieren sich oft zu sehr auf rein technische Aspekte einer SAP S/4HANA- Implementierung und übersehen dabei die Auswirkungen auf Sicherheit und Kontrollen, ohne die Automatisierungspotenziale moderner GRC-Lösungen und IAM-Tooling-Unterstützung zu nutzen.
Die fehlende Berücksichtigung dieser Sicherheitsaspekte kann besonders problematisch sein, da ein Mangel an Kontrollen zu Daten- und Sicherheitsverletzungen, betrügerischen Transaktionen und Problemen der Datenintegrität führen können, die wiederum Reputationsschäden und finanzielle Verluste nach sich ziehen.
Ganzheitliche SAP Security mit KPMG und dem Trusted SAP Framework
Der „Trusted SAP“-Ansatz von KPMG geht auf diese kritischen Sicherheits- und Kontrollanforderungen ein, indem relevante Komponenten gemäß Standards wie der SAP Secure Operations Map kombiniert mit KPMG Better Practices von Anfang an in das Projekt integriert werden (Control by Design).
SAP-Authentifizierung
Die SAP-Authentifizierung ist eine kritische Komponente zur Sicherung des Zugriffs auf SAP-Anwendungen und -Daten. Sie umfasst eine Reihe von Methoden, darunter die passwortbasierte Authentifizierung, die Multi-Faktor-Authentifizierung (MFA) und die Verwendung von starken Authentifizierungsprotokollen. Eine gut implementierte SAP-Authentifizierung trägt dazu bei, sensible Informationen zu schützen und gleichzeitig autorisierten Benutzer:innen einen effizienten und sicheren Zugriff auf Unternehmensdaten zu ermöglichen.
SAP-Berechtigungen
SAP-Berechtigungen legen fest, welche Autorisierung Benutzer:innen innerhalb der SAP-Umgebung haben, um Daten zu schützen und Transaktionssicherheit zu gewährleisten. Berechtigungen sind auch entscheidend für die Umsetzung der erforderlichen Funktionstrennung innerhalb des SAP S/4HANA-Systems. Ein wichtiger Ausgangspunkt ist die Definition einer (systemübergreifenden) Funktionstrennungsmatrix kritischer Berechtigungen, die im System eingerichtet werden sollte. Oftmals wird dieser Ausgangspunkt nicht beachtet, sodass viele Rollen und Benutzer:innenzuordnungen nach dem Go-live kritische Audit Findings zur Folge haben können. Das SAP-Berechtigungskonzept muss als integrierter Bestandteil des Einführungsprojekts konzipiert und entwickelt werden. KPMG Powered-Enterprise-Vorlagerollen und Better Practices wie Konzepttemplates kombiniert mit datengetriebener Toolunterstützung zur (Teil-)Automatisierung unterstützen beim Aufbau eines revisionssicheren Rollenmodells und reduzieren maßgeblich die Aufwände des Fachbereichs bei erhöhter Go-live-Qualität.
GRC-Workstream
Der GRC-Workstream konzentriert sich auf die Identifizierung besonders kritischer Risiken innerhalb der SAP-Geschäftsprozesse. Um diese Risiken zu kompensieren, müssen interne Kontrollen entworfen, implementiert und getestet werden, dazu zählen etwa: IT General Controls (ITGCs), Business Process Controls und Data Integrity Controls. Bei der Entwicklung eines Regelwerks für Geschäftsrisiken und Kontrollen sollte immer versucht werden, das Potenzial für die Automatisierung der Kontrollen zu ermitteln, um den manuellen Aufwand für die Sicherstellung der operativen Wirksamkeit langfristig zu verringern. Die Einbeziehung eines Rahmenwerks für Geschäftsrisiken und Kontrollen zu Beginn des SAP S/4HANA-Projekts stellt sicher, dass die Kontrollen innerhalb des SAP S/4HANA-Systems entworfen und implementiert werden, wodurch mögliche Nacharbeiten oder Probleme nach der Inbetriebnahme vermieden werden. Darüber hinaus wird sichergestellt, dass individuell entwickelte BTP-Anwendungen auch die erwarteten Sicherheits- und Kontrollmechanismen enthalten.
In einer zunehmend integrierten IT-Landschaft ist die Notwendigkeit einer robusten, systemischen Plattformsicherheit noch nie so bedeutend wie heute. Der Prozess einer nachhaltigen Systemhärtung nach konkretem Maßnahmenplan ist entscheidend für die kontinuierliche Steigerung des Sicherheitsniveaus von SAP-Systemen. Um dieser Herausforderung umfassend zu begegnen, wird ein strategischer Ansatz auf mehreren Ebenen verfolgt, der sich auf den Schutz von SAP-Anwendungen vor unbefugtem Zugriff und potenziellen Daten- und Datenschutzverletzungen konzentriert. Diese "Defense in Depth"-Strategie zielt darauf ab, SAP-Produkte und -Plattformen nahtlos mit Lösungen für Cybersicherheit, Datenschutz und Sicherheitsüberwachung auf Business-Ebene zu integrieren.
Wir helfen bei der Auswahl und Implementierung von GRC-Tools
Durch die Unterstützung von modernen GRC-Tools für das Access und Identity Management ist es möglich, automatisiert Transparenz über die verschiedenen Arten von internen und externen Risiken zu gewinnen, die Kontrollen zu verwalten und Compliance-Anforderungen effizient, bei gleichzeitiger Entlastung interner Ressourcen, gerecht zu werden. Die verschiedenen Lösungen können in SAP-Funktionen und -Prozesse als ABAP-Tool direkt integriert oder als Cloud-Lösung angebunden werden. Häufig sind diese Produkte (wie SAP GRC, IAG und ETD) für Unternehmen relevant, werden aber nicht automatisch in ein SAP S/4HANA-Implementierungs- oder Migrationsprojekt miteinbezogen. Wenn diese Lösungen bereits im Einsatz sind, ist es wichtig zu ermitteln, wie sich die SAP S/4HANA-Migration auf sie auswirkt, um sicherzustellen, dass sie parallel zum SAP S/4HANA-Projekt entsprechend konfiguriert werden. Ein Beispiel hierfür ist die SAP IAG-Lösung zur Verwaltung von Benutzer:innen und Rollenzuweisungen, die eingerichtet werden kann, damit die neuen Benutzer:innen und Rollen in SAP S/4HANA nach dem Go-live workflow-basiert und revisionssicher dokumentiert bereitgestellt werden können. Weitere Beispiele sind SAP Process Control, das zur Unterstützung des Testens interner Kontrollen verwendet werden kann, und SAP Access Control, das zur Überwachung möglicher Konflikte bei der Funktionstrennung während der Rollenerstellung und auch direkt nach dem Go-live eingesetzt wird. Mit unserem breiten GRC-Lösungsportfolio haben wir für jede Herausforderung die passende Lösung.
Durch die Nutzung unseres Trusted SAP Framework können Unternehmen die notwendigen Sicherheits- und Kontrollmaßnahmen von Beginn an berücksichtigen, weiter verbessern und ihre SAP S/4HANA- und BTP-Landschaft absichern. Denn alle Unternehmen möchten, dass ihre SAP-Anwendung eine Trusted-Anwendung ist.
