Ziel des Projekts war es, eine pflegbare und dokumentierbare Berechtigungs-und Benutzerverwaltung aufzubauen sowie Sicherheit im Bereich Compliance zu verwirklichen.
Ziele
Das SAP Berechtigungskonzept sollte anhand der funktionalen Vorgaben des Role Reference Managers unter Einhaltung der gesetzlichen Compliance-Richtlinien neu aufgebaut werden. Dabei sollten Einzelrollen (auf Funktionaler-/ Prozessebene) und Sammelrollen (auf Arbeitsplatzebene) erstellt werden.
Im SAP-Standard ist es nicht umsetzbar SoD-Verstöße automatisiert zu prüfen. Manuell ist es ein kaum bewältigbarer Aufwand und zudem nicht zuverlässig prüfbar. Deshalb hat hanseWasser einen verlässlichen Partner gesucht, welcher diese Aufgaben als Automatisierung aufbauen kann und Compliance Verstöße sogar schon im Antragsprozess, bevor eine Berechtigung zugewiesen wird, erkennt.
Weiter sollten alle Änderungen und Anpassungen von Beginn an und auch in der Zukunft revisionssicher dokumentiert werden.
Herausforderungen
Die Bearbeitung der Berechtigungen erfolgte weitestgehend auf „Zuruf“ (bitte User X wie User Y einrichten). Die Anforderungen wurden zwar über die Anwendungsbetreuer der einzelnen Module gesteuert, ein Abgleich der bisher vorhandenen Berechtigungen erfolgte allerdings nicht. Somit stellten die eingestellten Berechtigungen ein hohes Missbrauchsrisiko dar und mussten mühselig
per Hand, zur Prüfung durch die Führungskräfte, aus Excellisten herangezogen werden. Die Daten waren ebenfalls nicht aussagekräftig genug, um Berechtigungen revisionssicher zu prüfen.
Die Zusammenfassung der Einzelrollen zu Sammelrollen im SAP Standard wurde zwar erarbeitet allerdings anschließend nicht gelebt, weil sich hierbei zeigte, dass im Benutzerstammsatz nicht die zugeordneten Sammelrollen aufgelistet werden, sondern von SAP die Sammelrollen wieder in Einzelrollen zerlegt, welche dann angezeigt werden. Somit konnte durch die Einführung von Sammelrollen im SAP Standard keine verbesserte Übersicht erreicht werden.
Die Auswahl fiel daher schnell auf SIVIS. Die Funktionalität sowie das durchdachte Design der Software waren für hanseWasser Bremen ausschlaggebend bei der Wahl des Tools.
Projektinhalte
Wichtige Kriterien bei der Auswahl lagen vor allem beim Thema Compliance (Auditierung von SAP Berechtigungen auf Rollen- und Benutzerebene) und Dokumentationsmöglichkeiten.
Bei der Software-Einführung der SIVIS Enterprise Security war die Einbindung der Fachbereiche nicht notwendig. Hierfür waren für den Rollenbau die vorgefertigten Rollen- und Arbeitsplatzvorlagen mit einem Abgleich der Tracedaten aus dem System vollkommen ausreichend. Eingebunden wurden die Fachbereiche erst, als es darum ging vorhandene Schwachstellen auszuschalten.
Es wurden Einzelrollen und Sammelrollen erstellt. Jedem Benutzer wurde anschließend eine Sammelrolle seines Arbeitsplatzes zugewiesen. Bei bereichsübergreifenden Tätigkeiten erfolgte die Zuweisung aller benötigten Sammelrollen. Zudem war es wichtig einen sanften Go-Live zu garantieren, sodass die User bei Live-Setzung der neuen Rollen ungestört weiterarbeiten konnten und im Nachgang das Berechtigungskonzept bequem, um fehlende Berechtigungen erweitert werden konnte.
Erfolge
Direkt nach der Implementierung des neuen Berechtigungskonzeptes erwies sich die weitere Pflege der Berechtigungen als wesentlich verein- facht und transparenter. Mit dem Support des SIVIS Projektteams, bestehend aus Consulting und Entwicklung, konnten alle Anforderungen zeitnah abgearbeitet und umgesetzt werden. Die Zusammenarbeit funktionierte sehr gut und es konnten alle notwendigen Anforderungen, die im Projektverlauf aufkamen, mit einem guten Lösungsweg umgesetzt werden.
Trotz der erschwerten Pandemiebedingungen gelang durch eine Kombination von Remote- Sessions und Vor-Ort-Besuchen die Einführung und Einarbeitung in die SIVIS Software.
Nach Umsetzung
Ohne Einsatz eines automatisierten Tools sind sichere SAP-Berechtigungen nicht prüfbar.
Die Umstellung von historisch gewachsenen SAP-Rollen mit Sicherheitslücken auf ein sauberes Berechtigungskonzept, bedeutet durchaus einen hohen Aufwand für die Berechtigungsadministration. Auch die Abarbeitung der Auditergebnisse ist nicht zu unterschätzen.
Durch die Verwendung der SIVIS Lösung konnte dies ohne Probleme und größeren Aufwand durchgeführt werden. Außerdem konnte dadurch die jährliche durchzuführende Auditierung in ihrer Komplexität verringert werden. Somit wurde eine große Sicherheit, dass SoD-Verstöße entweder ausgeschaltet sind oder bekannt, mitigiert und dokumentiert sind, erreicht werden.
Branche
- Abwasserentsorgung/Services
Mitarbeiteranzahl
Gründungsjahr
User Info
- Anzahl der mit SIVIS verwalteten Benutzer: 180
- Anzahl der mit SIVIS verwalteten Zielsysteme: 3
Kunde
- Sammlung von Abwasser im Bereich Bremen
- Klärung der Abwässer in den zwei betriebenen Kläranlagen
Projektdaten
- Anzahl Beratertage bis Go-Live: 34
- Anzahl Tage Projektmanager bis Go-Live: 4
- Eingesetzte SIVIS Module: Compliance Manager, Compliance Reference Manager, Role Manager, Role Reference Manager, Identity Manager, Extension Manager
SIVIS Group
