Die Abwicklung der Geschäftsprozesse läuft bei Takeda, Japans größtem Pharmaunternehmen, in einer weltweiten heterogenen IT-Landschaft. Von SAP ERP bis hin zu SAP Cloud Anwendungen sind die Mitarbeiter, je nach Prozessbeteiligung, auf verschiedenen Ebenen tätig und benötigen somit auch unterschiedliche Systemzugänge. Für die Einhaltung der strengen Compliance Anforderungen, wie Segregation of Duties (SoD), bedarf es daher einer stetigen Überprüfung konfliktärer Berechtigungen. Marktübliche Standard-Softwarelösungen decken die Überwachung von SoD-Konflikten und -Risiken häufig jedoch nur auf einem System ab, sodass es galt eine ganzheitliche Lösung zu finden.
Takeda verwendet für die Optimierung des Beschaffungsprozesses die SAP Cloud-Anwendung „Ariba“, die aber nicht alle Schritte des Prozesses abdeckt. Die Stammdatenpflege, wie beispielsweise das Anlegen neuer Lieferanten, erfolgt durch den Zentraleinkauf nach wie vor im SAP ERP-System. Eine stetige und vor allem systemübergreifende Überprüfung der Berechtigungen, inklusive SoD-Analysen, ist daher zwingend erforderlich.
Die Herausforderung: Überprüfung kritischer Berechtigungen, Überwachung und Reduzierung von SoD-Konflikten
Da sich der Bestellprozess im SAP Ariba auf verschiedene Systeme verteilt, auf denen die User auch mit unterschiedlichen Accounts arbeiten, stellte sich für Takeda die Überwachung von Funktionstrennungsrisiken als eine besondere Herausforderung dar.
Denn es entsteht ein klassisches SoD-Risiko, wenn ein Mitarbeiter des Einkaufs Bestellungen in der SAP Cloud-Anwendung Ariba freigeben und parallel Lieferantenstammdaten im selbst verwalteten SAP-System pflegen kann – egal, ob SAP ERP oder S/4HANA.
Der Fachbegriff für ein SoD-Risiko, das sich auf verschiedene Systeme verteilt, lautet: Cross SoD. Marktübliche Standard Softwarelösungen decken hier häufig nur die Überwachung von SoD-Risiken auf einem einzigen System ab. Im Falle der Überwachung von Cross SoD-Risiken in verschiedenen Systemen mussten diese in der Regel der gleichen Technologie entsprechen, ansonsten war eine Analyse technisch nicht möglich. Zudem musste die Benutzerkennungen von Personen in den verschiedenen Systemen identisch sein, da die differierten Prozesse für ein Funktionstrennungsrisiko nur dann zu einem „Match“ führen. Somit konnten unterschiedliche Accounts ein und derselben natürlichen Person auf verschiedenen Systemen nicht synchronisiert werden, um ein Cross SoD-Risiko aufzuzeigen.
Die nachfolgende Grafik zeigt, welche unterschiedlichen Benutzerkennungen eine Person in einem Unternehmen mit verschiedenen Systemen haben kann:
Auswertung der SoD-Risiken in heterogener Systemlandschaft mit einer Cross-SoD-Matrix.
Gemeinsam mit Takeda haben wir eine Cross-SoD-Matrix mit Prüf-Content für SAP ERP und S/4HANA-Systeme in Verbindung mit Ariba entwickelt. Diese ermöglicht es, Cross-SoD-Risiken in einer heterogenen Systemlandschaft zu erkennen. Die Lösung haben wir anschließend in unsere SAST SUITE integriert.
Zunächst werden alle heterogenen Systeme technisch an die Zentralinstanz angebunden. Im darauffolgenden Schritt werden die vorliegenden Identitäten ausgewertet, gelesen, in einen zentralen Identitätsspeicher hochgeladen und mit einem intelligenten Prüfalgorithmus ausgewertet. Dieser erkennt die unterschiedlichen Benutzerkennungen einer Person und ordnet sie einer zentralen Identität zu. Im Falle von SAP-Cloud Anwendungen, wie Ariba, erfolgt die Synchronisation nach Bedarf oder einmal täglich im Hintergrund über den SAP-Cloud Connector.
Die SAST SUITE hilft Risiken zu erkennen, deutlich zu reduzieren und gleichzeitig auch allen rechtlichen Anforderungen zu entsprechen.
Unsere SAST SUITE ist über Schnittstellen in der Lage, jegliche Anwendung in einer IT-Systemlandschaft zu integrieren und hinsichtlich Segregation of Duties, aber auch kritischen Berechtigungen, auszuwerten. Die Identifizierung der Schwachstellen funktioniert automatisch und zur Bereinigung bietet die SAST SUITE darüber hinaus Handlungsempfehlungen und Lösungshinweise.
Takeda konnte sein Security-Reporting auf diese Weise ausweiten, Risiken sowie Rollen- und SoD-Konflikte erkennen und im Anschluss erheblich reduzieren. Sämtliche Systeme werden permanent auf Schwachstellen geprüft und überwacht und einem eventuellen Manipulationsversuch von vorn herein Einhalt geboten.
Stehen auch Sie vor einer ähnlichen Herausforderung, dann informieren Sie sich auf unserer SAST SOLUTIONS Website oder kontaktieren Sie uns gerne.
Steffen Maltig (Head of SAP Consulting, SAST SOLUTIONS)
Über Takeda
Takeda Pharmaceutical Company Ltd. ist ein global tätiges Pharmaunternehmen mit Hauptsitz in Tokio/Japan und blickt zurück auf eine über 200-jährige Erfolgsgeschichte. Als größtes Pharmaunternehmen Japans beschäftigt die Takeda-Gruppe weltweit rund 30.000 Mitarbeiter in mehr als 300 Tochter- und Beteiligungsgesellschaften. Takeda hat im Jahr 2019 ca. 30 Milliarden US-Dollar Umsatz erwirtschaftet.
Website: www.takeda.com
Dies könnte Sie ebenfalls interessieren:
Auf dem Prüfstand: SAP-Berechtigungsmanagement bei den Berliner Wasserbetrieben