SAP S/4HANA-Transition: Security & Compliance

Quelle: AdobeStock

Für die Österreichischen Sozialversicherungsträger lag der Fokus bei der SAP S/4HANA- Einführung auf der Vereinfachung durch Standardisierung und Harmonisierung, insbesondere hinsichtlich neuer Rollenmodelle.

Im Unterschied zu vielen anderen haben sie dabei jedoch weder das Thema Security auf die lange Bank geschoben noch die Compliance vernachlässigt. Bei dem auf vier Jahre angelegten Umstellungsprojekt und der schrittweisen Migration bis 2024 ist der Anspruch der Projektleitung, von den Erfahrungen vorausgegangener Einführungsprojekte zu profitieren. Eine Erfolgsstory.

Anzeige

Die Ausgangssituation

Im Rahmen einer Sozialversicherungsreform im Jahr 2019 wurde die im Vergleich zu Deutschland ohnehin schon geringe Anzahl der Sozialversicherungsträger von 21 auf fünf reduziert. Dieser gesetzliche Auftrag des Zusammenführens und Konsolidierens war auch der Auslöser, dass die beschlussführenden Gremien dem SAP Competence Center der Sozialversicherungsträger grünes Licht gaben, die bereits geplante Migration auf S/4HANA zu starten. „Schon zuvor“, berichtet Walter Schinnerer, Leiter des SAP Competence Centers, „hatten wir entschieden, die S/4HANA-Migration nach dem Greenfield-Prinzip anzugehen, also nicht 20 Jahre lang gewachsene Systeme mit all ihren Problemen zu migrieren, sondern SAP neu aufzusetzen.“

Maßgabe dabei war, die Prozesse und Technologien so einheitlich und standardisiert wie möglich umzusetzen. Begonnen wurde im Frühjahr 2020 damit, einen Baseline-Mandanten als Master-Mandanten zu erzeugen. Dann wurde ein Template beim ersten Sozialversicherungsträger, der BVAEB eingesetzt – aufgrund des Greenfield-Ansatzes mit einer langen Laufzeit von 18 Monaten, sodass Anfang 2022 das Go-live stattfand.

Externe Unterstützung

Die Sozialversicherungsträger-Community beauftragte ihr Competence Center zudem, ein einheitliches, standardisiertes Security-Werkzeug auszuwählen. Im Laufe des Jahres 2021 entschied man sich für den Einsatz der Pathlock Suite und deren technische Umsetzung durch akquinet, den in Österreich ansässigen Partner von Pathlock. Mit den Pathlock-Komponenten wurde im Rahmen des Einführungsprojektes mit dem Sozialversicherer BVAEB die Grundlage für die weiteren Migrationen gelegt.

Anzeige

Es gelang, Standards zu setzen sowie Templates zu entwickeln, die flächendeckend bei allen anderen Rollouts eingesetzt wurden. Das heißt, auch für den zweiten Sozialversicherungsträger, die Österreichische Gesundheitskasse, gab es ein Vorprojekt über sechs Monate, um anschließend innerhalb von 18 Monaten die Pathlock Suite zu implementieren. Dazu Walter Schinnerer: „Ende 2024 sind dann alle Sozialversicherungsträger auf S/4HANA umgestellt und im Rahmen der Migration auch im Security- und Compliance-Umfeld mit neuen Standards unterwegs.“

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Template-Ansatz des Rollenmodells

akquinet Österreich fungiert als Implementierungsberater für die IT des Projektes und steuert die technische Umsetzung. Christopher Kobald, Teamleiter SAP Security bei akquinet Österreich, betont, dabei werde sich der Pathlock Suite in hohem Maße bedient. Um einen schnellen Start von Berechtigungstests zu ermöglichen, wählte man beim Rollenmodell einen Template-Ansatz, basierend auf einem Vorlagenkatalog aus insgesamt mehr als 1000 Einzelrollen für alle gängigen SAP-Standardmodule.

„Dieser Template-Katalog bildet das Grundgerüst, aus dem man gemäß Baukastenprinzip das finale Rollenmodell erstellen kann“, erklärt Christopher Kobald. „Die Vorteile sind klar: inhaltlich genau dokumentierte und in sich geschlossene Rollen, die frei von Funktionstrennungskonflikten sind. Bedeutet, die Kritikalität jeder Rolle ist vorbewertet. Und dies erleichtert, die Template-Rollen schlussendlich in Sammelrollen zu überführen und einzusetzen.“ Das Sammelrollen-Modell bildet die unterschiedlichen Arbeitsplätze ab und wurde gewählt, um den Fiori-First-Ansatz stringenter verfolgen sowie den Joiner-Mover-Leaver-Prozess vereinfachen zu können.

Die GRC-Lösung

Das Template-Rollenmodell ist in der Governance-Risk-and-Compliance-Lösung von Pathlock nahtlos integriert. Die Funktionen des Automated Roll Designs reduzieren den Arbeitsaufwand bei der Verwaltung des Rollenmodells deutlich. Um die Transparenz im Berechtigungswesen zu straffen und bei der Berücksichtigung von Kundenanforderungen über das Template-Modell hinaus auf der sicheren Seite zu sein, bietet Pathlock mit Access Analysis schon bei der Rollenerstellung Verweise auf einzelne kritische Berechtigungen und Funktionstrennungskonflikte.

Christopher Kobald betont: „Der von den Projektleitern am meisten geschätzte Faktor war das Testen mit Sicherheitsnetz, das Safe Go-live Management.“ Fehlen einem Benutzer während des Testens benötigte Berechtigungen, kann er eine Fallback-Funktion aktivieren und ihm werden unverzüglich weitläufigere Berechtigungen zur Verfügung gestellt. Der Vorteil: Die Testphase läuft ungestörter, effizienter und schneller.

„Dieses Vorgehen ermöglicht uns, das Projekt ressourcenschonend und kostengünstig abzuschließen, während die schon live gegangenen Sozialversicherungsträger bereits weitere Pathlock-Funktionen verwenden“, so Kobald. „Dazu zählen das Compliant Provisioning für den Joiner-Mover-Leaver-Prozess und das Vulnerability Management für die systemische Sicherheit. Damit aber nicht genug: Wir führen über 2024 hinaus bereits Gespräche, wie mittels Pathlock Threat Detection und Data Loss Prevention kritische Events in Echtzeit überwacht und geloggt werden können. Und nicht zuletzt profitieren Führungskräfte von einem passgenauen Security Management Dashboard.“

Lessons Learned

Gefragt nach den im Rahmen des Projekts gewonnenen Erkenntnissen hebt Walter Schinnerer hervor: „Was ich Verantwortlichen mit auf den Weg geben kann: Wenn es bis dato schwierig war, Security-Budget intern zu beantragen, hat es uns geholfen, die gesamte Pathlock Suite direkt in das Budget zur S/4HANA-Migration zu integrieren. So ist das Thema Security von Beginn an ein integrativer Bestandteil der Gesamtstrategie.“ Die wesentliche Entscheidungsgrundlage für die Auswahl der Pathlock Suite seien aber die Template-Rollen gewesen.

„Uns überzeugte, dass wir hier eine Komponente haben, die wir auf unsere S/4HANA-Plattform mit integrieren konnten und keine zusätzlichen Services brauchten.“ Natürlich habe man auch darauf geachtet, Ressourcen so optimal wie möglich einzusetzen und alles so weit wie möglich zu automatisieren, Herausforderungen nur einmal anzugehen und aus ihnen zu lernen. „Wir haben uns unterschiedliche Tools angeschaut, die Pathlock Suite war am erfolgversprechendsten. Und jetzt, am Ende des Projektes können wir sagen, es war die richtige Entscheidung.“

Ralf Kempf, CTO von Pathlock Deutschland, hebt angesichts des erfolgreichen gemeinsamen Projektes hervor, er beobachte viele Unternehmen, die bei der S/4HANA-Migration die Themen SAP-Sicherheit und Berechtigungswesen auf die lange Bank schieben – ein hohes Risiko für das gesamte Vorhaben. „Ganz wichtig ist deshalb ein ganzheitliches IT-Risikomanagement, da es ein großes Wertschöpfungs- und Einsparungspotenzial birgt. Was andere Unternehmen häufig machen, sind viele kleinteilige, nicht abgestimmte Projekte. Letztlich ist es sogar einfacher, wie das Beispiel der Österreichischen Versicherungsträger zeigt, den großen Schritt zu wagen und das ganze Projekt wirklich integrativ anzugehen.“

NEUES BILD

Ralf

Kempf

CTO Pathlock Deutschland

Pathlock Deutschland

Pathlock Deutschland ist führender Security und GRC-Spezialist für SAP und hybride IT-Systeme und berät mit rund 500 Mitarbeitenden an 15 Standorten weltweit mehr als 1.200 Kunden.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.