Warenkorb

Es befinden sich keine Positionen in Ihrem Warenkorb

Projektbericht

Governance, Risk, Compliance

Security Kontrollen für technische Benutzer in SAP- und Non-SAP-Systemen

Ausgangssituation

Bei einem großen deutschen Finanzdienstleister wurde nach einer Auditfeststellung durch dessen interne Revision bekannt, dass die technischen Benutzer der einzelnen Systeme (SAP- und Non-SAP-Systeme), der Oracle Datenbanken und der Jobsteuerungs-Tools ohne definierte Benutzerverwaltungsprozesse, wie zum Beispiel Prozesse der Rechtevergabe und Re-Zertifizierungen durch eine übergeordnete Instanz historisch unkontrolliert gewachsen sind und sich somit diverse Risiken und Probleme auf Seiten des Kunden einstellen konnten.

Zielsetzung

Zur Behebung dieser Risiken setzte man sich zum Ziel, zunächst eine Erfassung, Bewertung und Rezertifizierung aller bestehenden technischen Benutzer durch deren Owner durchzuführen. Anschließend sollten die bestehenden Prozesse, Rollen und Tools des Berechtigungsmanagements auch auf technische Benutzer angewendet werden, um die vorhandene Risiken nachhaltig zu minimieren und späteren Auditfeststellungen vorzubeugen.

Lösungsansatz

Aufgrund der in der Vergangenheit je nach Bedarf unkontrolliert angelegten technischen Benutzer durch die einzelnen Software-Entwickler und Administratoren, bestand zunächst die erste Phase des Lösungsansatzes aus der Aufnahme aller technischen Benutzer und deren Owner innerhalb der produktiven SAP-, Non-SAP-Systeme, Oracle Datenbanken und Jobsteuerungs-Tools in Zusammenarbeit mit der best-practice innovations GmbH. Speziell im Bereich der Non-SAP-Systeme wurde mittels eines Fragebogens zunächst ermittelt, welche Anwendungen überhaupt mit technischen Benutzern arbeiten bzw. interagieren und wer die Owner dieser technischen Benutzer sind. Anschließend wurden diese von den identifizierten Owner auf ihre Kritikalität hin bewertet und rezertifiziert.

Darauffolgend erweiterte und dokumentierte die best-practice innovations GmbH, in Zusammenarbeit mit dem Kunden, die relevanten Prozesse und Rollen für das zukünftige Management von technischen Benutzern. Dabei wurde zum Beispiel festgelegt, wie ein neuer technischer Benutzer angelegt werden soll, wer diesen freizugeben hat, die Vorgehensweise bei Änderungen der Berechtigungen einzelner technischer Benutzer, den Vorgang bei Löschung eines technischen Benutzers oder deren regelmäßige Rezertifizierung. Des Weiteren wurde zur Unterstützung der neuen Prozesse das zentrale Benutzerverwaltungssystem um das Management der technischen Benutzer erweitert. Dabei wird jeder technische Benutzer mit seinen Berechtigungen im zentralen Benutzerverwaltungssystem dokumentiert, welches wiederum mit den einzelnen SAP- oder Non-SAP-Systemen kommuniziert.

Durch das zentrale Benutzerverwaltungssystem und dessen Anbindung an die einzelnen Anwendungssysteme lassen sich in Zukunft technische Benutzer umfangreich tracken, Risiken und Probleme schneller identifizieren und sowohl Access Requests als auch regelmäßige Rezertifizierungen effektiv durchführen. Auch Nachweise zum Berechtigungsmanagement für technische Benutzer können nun im Rahmen interner und externer Audits effizient bereitgestellt werden.

Dr. Stefan Zickenheiner

Dr. Stefan Zickenheiner
Managing Director b-pi
stefan.zickenheiner@b-pi.com
+49 221 964 34 63-2