21.09.2022
Anton Grening
Autor: Anton Grening

SAP-Berechtigungen smarter monitoren mit dab:AuthorizationAssurance

Mit einem adaptiven Algorithmus erweitert dab:AuthorizationAssurance die SAP-Berechtigungsprüfung um eine wichtige Dimension.

Ein regelkonformes SAP-Berechtigungsmanagement mit einem Schwerpunkt auf wirksamer Funktionstrennung ist seit jeher der Schlüssel für Firmen, um Schäden durch Missbrauch, Anwenderfehler und Rechtsverstöße zu vermeiden. Aktuell nehmen viele Unternehmen den Wechsel zu SAP S/4HANA zum Anlass, die Effektivität ihres SAP-Berechtigungskonzepts im Rahmen der anstehenden Migration kritisch zu überprüfen. Doch was zeichnet eine zeitgemäße Lösung für die Analyse der Regelkonformität des SAP-Berechtigungsmanagements aus? Neben Automatisierungen und einer intuitiven Nutzerführung sind die drei Prüfstrategien detective, preventive und adaptive von essentieller Bedeutung.
 

Preventive & Detective – Potentielle Risiken vs. Tatsächliche Regelverstöße

Viele Lösungen für SAP-Berechtigungsprüfung am Markt decken bisher nur den vorbeugenden Aspekt der Überwachung ab (preventive). Sie nutzen eine Konfliktmatrix mit Can-Do-Abfragen, um potentiell kritische Berechtigungskombinationen zu identifizieren. In der Praxis greift dieser Ansatz zu kurz, um Risiken konkret einzuschätzen: Denn wie können bereits eingetretene SoD-Verstöße (Segregation of Duties/Funktionstrennung) identifiziert werden?

Um dies zu beantworten, braucht es rückblickende Analysen (detective). Diese untersuchen nicht nur auf Ebene von Berechtigungsobjekten, Profile und Rollen der Benutzer, sondern prüfen auch die jeweiligen Transaktionen auf konkrete Verstöße hin. Auffälligkeiten können so gemeldet und der Nachverfolgung (Follow-Up) durch Prüfer oder die zuständige Fachabteilung zugeordnet werden.
 

Präventive Prüfungen mit Schwachstellen 

Die Kombination aus vorbeugenden und rückblickenden Analysen scheint auf den ersten Blick einen umfassenden Schutz zu bieten. Allerdings müssen Unternehmen im Rahmen der Parametrisierung klar definieren, aus welchen Berechtigungskombinationen sich Risiken ergeben. Ein Problem – denn nicht alle Risikofaktoren sind offensichtlich.

Oftmals wird der Prüfalgorithmus erst nach Eintritt eines Schadenfalles entsprechend optimiert. Die hohe Dynamik der Unternehmenswirklichkeit, Personalwechsel, Systemveränderungen und Datenmigrationen sorgen dafür, dass die Regelwerke, nach denen geprüft wird, schnell veralten.
 

Zukunft gehört der KI-gestützen Prüfung

Mit dab:AuthorizationAssurance bieten wir daher eine Lösung an, die neben den präventiven und detektivischen Prüfungen zusätzlich eine adaptive Prüfung beinhaltet. Neueste Machine-Learning-Algorithmen monitoren Benutzern zugeordnete Berechtigungsobjekte, Rollen und Profile und ermitteln ungewöhnliche Berechtigungskombinationen. Erreicht wird dies über eine KI-basierte Mustererkennung, welche die Identifikation von Ausreißern ermöglicht.

 

SAP-Berechtigungsprüfung mit Machine Learning

Dieser anpassungsfähige Ansatz ersetzt die präventive Methodik nicht. Er beseitigt vielmehr seine Schwachstelle, da Benutzer auf mögliche Risikofaktoren aufmerksam werden, bevor ein Schaden eintritt – ohne dass vorab eine entsprechende Regel hätte definiert werden müssen. Unternehmen gewinnen mit der Triangulation der Methoden nicht nur an Sicherheit, sondern auch messbar an Effizienz. Anwender können mit dieser Lösung den gesamten Analysekreislauf aus einer einzigen Plattform heraus verwalten: Von der Datenextraktion über die Analyse bis zur Visualisierung sind alle Prozesse automatisiert ausführbar. Bei Ermittlung unüblicher Berechtigungen oder Transaktionen können Benutzer den Vorgang in SAP direkt mit einem Klick aufrufen. Da durch dab:AuthorizationAssurance kontinuierliche Analysen problemlos möglich sind, können sich Unternehmen sicher sein, dass ihre SAP-Berechtigungen jederzeit nach den aktuellen Regeln geprüft werden, vor oder nach einer Migration zu SAP S/4HANA.

Möchten Sie mehr über diese drei verschiedenen Lösungsansätze erfahren, um Berechtigungen im SAP-System vollumfänglich zu prüfen? Dann setzen Sie sich gerne mit uns in Verbindung. Wir freuen uns darauf, Ihre Fragen zu beantworten und die Lösung im Detail vorzustellen. 


Kommentare (0)
Sei der erste, der diesen Blog-Beitrag kommentiert.
Blog Anmeldung

Sie sind nicht angemeldet. Bitte melden Sie sich an um diesen Blogbeitrag zu kommentieren.

anmelden