:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SAP-Lizenzen nutzungsbasiert zuordnen und aktuell halten Identity Management gewährt Durchblick im Lizenzdschungel
Die Anforderungen an Sicherheit und Compliance in den Unternehmen steigen immer weiter. Trotzdem gibt es bei der Handhabung von Zugangs- und Zugriffsrechten (Identity Management) auf Unternehmensdaten in SAP-Systemen erheblichen Nachholbedarf.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Berechtigungs- und Lizenzkonzepte für SAP-Systeme werden nach der Implementierung oft nicht mehr angepasst und sind nicht mehr kompatibel mit der tatsächlichen Systemnutzung. Um den internen und externen Anforderungen gerecht zu werden, müssen diese zeitnah und regelmäßig angeglichen werden.
Unabhängig von der zugrundeliegenden Architektur, Konzepten und Programmiersprachen steuert das SAP-Rollenkonzept den Zugriff auf Funktionen der SAP-Software. Die zugeordneten Berechtigungen sollten die Mitarbeiter in die Lage versetzen, am SAP-System auch nur das zu tun, was ihr Aufgabenprofil vorsieht.
Berechtigungskonzepte verändern sich dabei genauso schnell, wie das Unternehmen und die Informationstechnologie im Allgemeinen. Wird dies nicht berücksichtigt, driften die realen Anforderungen und konfigurierten Berechtigungen im Laufe der Zeit unweigerlich auseinander.
Angemessenes Berechtigungskonzept oft Fehlanzeige
Zu welchen Missständen das führen kann, zeigt eine empirische und branchenunabhängige Untersuchung produktiver SAP-Systeme. Die IBIS Prof. Thome AG hat dazu über mehrere Jahre hinweg zahlreiche Unternehmen analysiert. Im Durchschnitt haben sich demnach acht Prozent der Mitarbeiter mit Zugangsberechtigung noch nie am IT-System angemeldet.
Mehr noch: Durchschnittlich 22 Prozent der anmeldeberechtigten Mitarbeiter zeigten über einen mehrmonatigen Zeitraum betrachtet keinerlei Aktivitäten am System. Zudem hatten Mitarbeiter weit mehr Berechtigungen, als sie benötigten. Rund 23 Prozent der Berechtigungsrollen, sowohl Einzel- als auch Sammelrollen erwiesen sich als überflüssig.
Diese Diskrepanz wirkt sich nicht nur negativ auf die Qualität der Geschäftsprozesse aus, sondern beeinträchtigt auch die Sicherheit und erhöht Kosten innerhalb eines Unternehmens beträchtlich. Insbesondere für den Fall, dass auch kritische Funktionen oder Funktionskombinationen zugeordnet sind.
Das erschwert zusätzlich die Einhaltung von Compliance-Vorgaben und eine professionelle Administration. Eine Zahl verdeutlicht die Tragweite dieses Phänomens: In den untersuchten Unternehmen sind im Durchschnitt über 5.000 nicht benötigte Funktionen an die einzelnen Mitarbeiter verteilt.
Ungleichgewichte ausbalancieren
Es herrscht eine geradezu paradoxe Situation. Die empirische Betrachtung zeigt, dass die realitätsorientierte Gestaltung und Pflege der Berechtigungen in vielen Fällen inkonsequent ausgeführt wird.
Und das, obwohl der Einfluss einer adäquaten Zugriffssteuerung im komplexen Umfeld einer betriebswirtschaftlichen Standardanwendungssoftware wie SAP ERP als sicherheits- und erfolgskritisch zu beurteilen ist. Nicht zuletzt aufgrund der hinterlegten Unternehmensdaten, beispielsweise vertrauliche Daten im internen und externen Rechnungswesen, sowie des hohen Einflusses der ERP-Lösung auf die Geschäftsprozesse.
Die Sicherheit und Compliance genießt in Unternehmen zwar einen immer höheren Stellenwert, die Zugangs- und Zugriffsberechtigungen auf die betriebswirtschaftliche Software hingegen – mit all ihren unternehmenskritischen Daten – werden durchweg vernachlässigt. Um dieses Ungleichgewicht zu beheben, bedarf es eines zeitnahen Einblickes in die tatsächliche Nutzung des Systems und der erforderlichen Berechtigungen.
Hierzu ist eine Synchronisation von Systemkonfiguration und realer Systemnutzung notwendig, was drei Schritte erfordert:
- Die Identifizierung der Mitarbeiter, die SAP verwenden und als Anwender Zugangsberechtigung haben.
- Der Anwender-Aktionsradius im System, der über die (Rollen-) Berechtigungen (Zugriffsberechtigungen) reglementiert wird, sollte genau definiert werden.
- Aufgrund des Least-Privilege-Prinzips im Berechtigungsumfeld – nach dem ein Anwender nicht mit mehr Berechtigungen als nötig ausgestattet werden darf – muss sich die Vergabe an den wahren Erfordernissen ausrichten.
Zur Nachvollziehbarkeit der tatsächlichen Aktivitäten im SAP-System müssen folglich jene Funktionen analysiert werden, die nachweislich auch verwendet werden. Nur so ist einem Realitätsverlust im Identity Management gezielt entgegenzuwirken (vgl. Abbildung 1).
SAP-Lizenzen mit tatsächlicher Nutzung abgleichen
Die Parameter Anwender, Aktivität und Berechtigung haben zudem maßgebliche Auswirkungen auf das Lizenzmanagement. Da das SAP-Lizenzmodell nutzungsbasiert aufgebaut ist, sollten die Lizenzen mit den realen Aktivitäten der Anwender im Einklang stehen.
Gemäß dem Least-Privilege-Prinzip der rollenbasierten Berechtigungsvergabe sind die Unternehmen beim Lizenzmanagement gut beraten, sich an einem Least-License-Prinzip zu orientieren. Das bedeutet, dass die Anwender maximal mit der Lizenz auszustatten sind, die sie auch benötigen.
Aufgrund der Komplexität des SAP-Lizenzmodells erfolgt in den Unternehmen das Lizenzmanagement über vereinfachte Zuordnungsmethoden, beispielsweise anhand vergebener Berechtigungen, der Anzahl genutzter Transaktionen, Häufigkeit der Transaktionsausführung oder Art der Transaktionsnutzung (Anzeige, Änderung, etc.).
Jedoch wird ebenso wie die Berechtigungsvergabe, die Lizenzzuordnung ad absurdum geführt, wenn die Konfiguration des Systems nicht der Realität entspricht. Das Lizenzmanagement ist aufgrund zugeordneter Berechtigungen oder Schlüsselrollen schon dann fragwürdig, wenn die Verwendung der entsprechenden Rollen nicht analysiert wird.
Berechtigungen unterliegen stetigem Wandel
Eine Zuordnung aufgrund der Systemnutzung erfordert ebenso eine periodische Kontrolle und Neubewertung. Daraus ergibt sich folgende Schlussfolgerung: Ein SAP-System bildet nur dann die gegenwärtige Situation in einem Unternehmen ab, wenn Konfiguration und reale Systemnutzung regelmäßig gegenübergestellt werden.
Dies erfordert einen internen Prozess, der für ein dynamisches Identity- und Lizenzmanagement periodisch durchlaufen werden muss (vgl. Abbildung 2). Dieser Prozess beginnt mit einer Analyse, die zum einen Missstände und Defizite in der Benutzer-, Berechtigungs- und Lizenzverwaltung aufdeckt und zum anderen Abweichungen von der realen Systemnutzung zeigt.
Diese ganzheitliche Analyse, wie sie beispielsweise über die RBE Plus Benutzer- und Rollenanalyse, einem Supplementary des SAP Solution Managers, erfolgen kann, erzeugt brauchbare Nebeneffekte: Sie trägt zur Gewährleistung von Compliance-Anforderungen bei, steigert durch die Identifizierung von kritischen Berechtigungen die Sicherheit und deckt „Segregation of Duty“-Verletzungen auf.
Durch die Bewertung der Ergebnisse lässt sich das SAP-System bereinigen. Anschließend kann die Konfiguration an die reale Nutzung des Systems angeglichen werden.
Softwarebasierte Analytik auf mehreren Ebenen
Aufgrund der Dynamik unternehmerischer Aktivitäten und dem damit verbundenen Zeitdruck bei der Systemanpassung ist von manuellen Überprüfungen abzusehen. Empfehlenswert ist eine softwarebasierte Analytik.
Sie ermöglicht eine zeitnahe und periodische Kontrolle auf Basis fundierter sowie objektiver Daten. Wobei dieser Prozess nicht einmalig durchlaufen wird, sondern abhängig von den Gegebenheiten des Unternehmens periodisch nicht nur wiederholt werden, sondern auch systematisch auf drei Ebenen erfolgen muss:
Auf der ersten Ebene wir die Zugangssteuerung mittels Anwenderanalyse bewertet. Die Anmeldeberechtigungen müssen im Hinblick auf die tatsächlichen Aktivitäten der Anwender untersucht werden. Dies betrifft beispielsweise Systemanmeldungen, Sperrungen und die Transaktionsnutzung. Dadurch wird eine Zugangskontrolle und -reglementierung möglich, die den realen Erfordernissen entspricht.
Eine Berechtigungsanalyse auf der zweiten Ebene regelt die Zugriffsteuerung. Die Analyse des Berechtigungskonzepts muss einen umfassenden Einblick in das tatsächliche Zugriffsverhalten eröffnen. Dies ermöglicht eine Anpassung der Berechtigungen an die operativen Anforderungen der Anwender und schafft damit die Voraussetzung für eine effiziente Nutzung des SAP-Systems.
Schließlich wird auf der dritten Ebene durch eine Lizenzanalyse das Lizenzmanagement untersucht. Hier erfolgt der Abgleich der lizenzspezifischen Anwenderdaten mit den tatsächlichen Aktivitäten und Anforderungen der Nutzer.
Ergebnis: Aktuelle, nutzungsbasierte Lizenzzuordnung
Über die erste Analyse-Ebene lässt sich auf relevante Mitarbeiter mit Anmeldeberechtigung fokussieren, deren Aktionsraum im zweiten Schritt auf das Nötigste reglementiert wird (Least-Privilege-Prinzip). Darauf aufbauend kann eine Lizenzzuordnung erfolgen, die den aktuellen Anforderungen entspricht (Least-License-Prinzip).
Mit der Analyse der ersten beiden Ebenen erzielen die Unternehmen schnell ein realitätsbasiertes Identity Management. Es lassen sich die tatsächlich erforderlichen Zugangs- und Zugriffsberechtigungen exakt bestimmen. Dies ist unverzichtbare Grundlage für eine aktuelle, nutzungsbasierte Lizenzzuordnung.
Über den Autor
Marlon Füller ist Senior Consultant und als Projekt- und Produktmanager Identity and License Management bei der IBIS Prof. Thome AG tätig.
(ID:35186740)
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/b0/0ab0966d6ddd6967a12ad4e873668fc4/0110808011.jpeg "Gegen Phishing ist die Mitarbeiter-Awareness eine elementare Maßnahme zur Gefahrenabwehr, ebenso wichtig sind aber technische und prozessuale Unterstützung. (Bild: tippapatt - stock.adobe.com)")