Beratung und Entwicklung in SAP

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die IT-Systeme und -Prozesse des Kunden umfassend zu prüfen, um sicherzustellen, dass diese ordnungsgemäß funktionieren und den gesetzlichen Anforderungen entsprechen. Der Kunde benötigte eine detaillierte Bewertung der IT General Controls (ITGCs), um Risiken in den Bereichen Zugriffsrechte, Datensicherheit sowie Systemänderungen zu minimieren und die Integrität der Finanzdaten zu gewährleisten. Meine Aufgaben umfassten die Prüfung der Zugriffsrechte, bei der ich die Zuweisung und Verwaltung von Benutzerrechten überprüfte und sicherstellte, dass nur berechtigte Benutzer Zugang zu kritischen Systemen und Berechtigungen hatten. Zudem habe ich Systemparameter ausgewertet, die sowohl das Access Management als auch das Change Management betreffen. Dabei habe ich die Parameter aus relevanten Dateien zur Verwaltung der Zugriffsrechte und die relevanten Dateien zur Überwachung und Dokumentation von Systemänderungen analysiert. Beim Systemänderungsmanagement kontrollierte ich die Prozesse für Änderungen am System, überwachte die Autorisierung, Testung und Freigabe von Änderungen und stellte die Dokumentation und Nachvollziehbarkeit sicher. Ich führte eine Funktionstrennung durch, um sicherzustellen, dass kritische Aufgaben im Rahmen des Access- und Manage Change Prozesses von verschiedenen Personen ausgeführt wurden, und überprüfte die Datensicherungs- und Wiederherstellungsverfahren. Dabei stellte ich sicher, dass regelmäßige Backups durchgeführt und getestet wurden. Zusätzlich bewertete ich die Prozesse zur Überwachung von IT-Systemen und -Prozessen sowie die Handhabung von IT-Vorfällen und -Problemen. Durch Walkthrough-Tests verifizierte ich die Existenz und Funktionalität der Kontrollen und führte abschließend Berichterstattungen über die Ergebnisse der IT-Audit-Prüfungen durch.

Der Kunde hat die Herausforderung eines schnell gewachsenen SAP ERP-Systems, welches über die letzten Jahre mit immer mehr hinzugekommen Gesellschaften angereichert wurde. Das System wurde hauptsächlich für die HR-Prozesse mehrerer Gesellschaften genutzt. Die Nutzung ist ebenso auf mehrere Mandanten aufgeteilt. Ziel dieses Projektes ist es ein neues Berechtigungskonzept zu erarbeiten und dieses zu implementieren. Um maßgeschneiderte Rollen für die Angestellten des Kunden zu entwerfen werden verschiedene Fachbereichworkshops durchgeführt, um so die Organisation und die Anforderungen an die Mitarbeiter*innen zu verstehen und anschließend auf die Rollen anwenden zu können. Unterstützend dazu und für spätere Auditierung wird das Tool XAMS eingeführt. Das Tool hat bei der Rollenkonzeption, dem Ausprägen des Rolleninhalts und bei der Hypercarephase unterstützt. Besondere Herausforderungen im Rahmen dieses Projektes waren HR-spezifische P_Objekte, die besonders auf kundeneigene Organisationsstrukturen angepasst werden mussten.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die IT-Systeme und -Prozesse des Kunden umfassend zu prüfen, um sicherzustellen, dass diese ordnungsgemäß funktionieren und den gesetzlichen Anforderungen entsprechen. Der Kunde benötigte eine detaillierte Bewertung der IT General Controls (ITGCs), um Risiken in den Bereichen Zugriffsrechte, Datensicherheit sowie Systemänderungen zu minimieren und die Integrität der Finanzdaten zu gewährleisten. Meine Aufgaben umfassten die Prüfung der Zugriffsrechte, bei der ich die Zuweisung und Verwaltung von Benutzerrechten überprüfte und sicherstellte, dass nur berechtigte Benutzer Zugang zu kritischen Systemen und Berechtigungen hatten. Zudem habe ich Systemparameter ausgewertet, die sowohl das Access Management als auch das Change Management betreffen. Dabei habe ich die Parameter aus der RSPARAM zur Verwaltung der Zugriffsrechte und die relevanten Tabellen wie T001 und DD010INC zur Überwachung und Dokumentation von Systemänderungen analysiert. Beim Systemänderungsmanagement kontrollierte ich die Prozesse für Änderungen am System, überwachte die Autorisierung, Testung und Freigabe von Änderungen und stellte die Dokumentation und Nachvollziehbarkeit sicher. Ich führte eine Funktionstrennung durch, um sicherzustellen, dass kritische Aufgaben im Rahmen des Access- und Manage Change Prozesses von verschiedenen Personen ausgeführt wurden, und überprüfte die Datensicherungs- und Wiederherstellungsverfahren. Dabei stellte ich sicher, dass regelmäßige Backups durchgeführt und getestet wurden. Zusätzlich bewertete ich die Prozesse zur Überwachung von IT-Systemen und -Prozessen sowie die Handhabung von IT-Vorfällen und -Problemen. Durch Walkthrough-Tests verifizierte ich die Existenz und Funktionalität der Kontrollen und führte abschließend Berichterstattungen über die Ergebnisse der IT-Audit-Prüfungen durch. Ein wichtiger Bestandteil des Projekts war die Prüfung von Applikationskontrollen innerhalb des SAP-Systems, wie dem Three Way Match, Schnittstellen und der technischen Umsetzung von Schwellwerten. Diese Kontrollen sind entscheidend für die Sicherstellung der Datenintegrität und -verarbeitung innerhalb des Systems. Darüber hinaus evaluierte ich den SOC 2 Type 2 Bericht, um die Einhaltung der relevanten Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts-, Vertraulichkeits- und Datenschutzstandards zu bestätigen.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die ordnungsgemäße Funktionalität der Applikationskontrollen innerhalb des Systems sicherzustellen. Dies umfasste die Überprüfung der Schnittstellen und die Validierung der Prozesse, um sicherzustellen, dass alle Transaktionen korrekt abgewickelt und in Rechnung gestellt werden. Meine Aufgaben umfassten die Überprüfung mehrerer Schnittstellen innerhalb des Systems. Dabei habe ich die Integration und Kommunikation zwischen den verschiedenen Systemkomponenten analysiert, um sicherzustellen, dass Daten konsistent und fehlerfrei übertragen werden. Ein besonderer Fokus lag auf der Überprüfung der Schnittstellen, um potenzielle Schwachstellen und Fehlerquellen zu identifizieren. Ein wesentlicher Bestandteil meiner Arbeit war die Durchführung von Stichprobenprüfungen, um zu verifizieren, dass ein Telefonanruf über mehrere Systeme korrekt abgewickelt und in Rechnung gestellt wird. Hierbei habe ich den gesamten Prozess von der Anrufinitiierung bis zur Rechnungsstellung nachvollzogen. Dies beinhaltete die Prüfung der Datenflüsse und -verarbeitungen in den beteiligten Systemen, um sicherzustellen, dass die Daten korrekt erfasst, verarbeitet und weitergeleitet werden. Die Ergebnisse meiner Prüfungen wurden in detaillierten Berichten dokumentiert.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die IT-Systeme und -Prozesse des Kunden umfassend zu prüfen, um sicherzustellen, dass diese ordnungsgemäß funktionieren und den gesetzlichen Anforderungen entsprechen. Der Kunde benötigte eine detaillierte Bewertung der IT General Controls (ITGCs), um Risiken in den Bereichen Zugriffsrechte, Datensicherheit sowie Systemänderungen zu minimieren und die Integrität der Finanzdaten zu gewährleisten. Meine Aufgaben umfassten die Prüfung der Zugriffsrechte, bei der ich die Zuweisung und Verwaltung von Benutzerrechten überprüfte und sicherstellte, dass nur berechtigte Benutzer Zugang zu kritischen Systemen und Berechtigungen hatten. Zudem habe ich Systemparameter ausgewertet, die sowohl das Access Management als auch das Change Management betreffen. Dabei habe ich die Parameter aus der RSPARAM zur Verwaltung der Zugriffsrechte und die relevanten Tabellen wie T001 und DD010INC zur Überwachung und Dokumentation von Systemänderungen analysiert. Beim Systemänderungsmanagement kontrollierte ich die Prozesse für Änderungen am System, überwachte die Autorisierung, Testung und Freigabe von Änderungen und stellte die Dokumentation und Nachvollziehbarkeit sicher. Ich führte eine Funktionstrennung durch, um sicherzustellen, dass kritische Aufgaben im Rahmen des Access- und Manage Change Prozesses von verschiedenen Personen ausgeführt wurden, und überprüfte die Datensicherungs- und Wiederherstellungsverfahren. Dabei stellte ich sicher, dass regelmäßige Backups durchgeführt und getestet wurden. Zusätzlich bewertete ich die Prozesse zur Überwachung von IT-Systemen und -Prozessen sowie die Handhabung von IT-Vorfällen und -Problemen. Durch Walkthrough-Tests verifizierte ich die Existenz und Funktionalität der Kontrollen und führte abschließend Berichterstattungen über die Ergebnisse der IT-Audit-Prüfungen durch. Ein wichtiger Bestandteil des Projekts war die Prüfung von Applikationskontrollen innerhalb des SAP-Systems, wie dem Three Way Match, Schnittstellen und der technischen Umsetzung von Schwellwerten. Diese Kontrollen sind entscheidend für die Sicherstellung der Datenintegrität und -verarbeitung innerhalb des Systems. Darüber hinaus evaluierte ich den SOC 2 Type 2 Bericht, um die Einhaltung der relevanten Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts-, Vertraulichkeits- und Datenschutzstandards zu bestätigen. Eine besondere Herausforderung stellte die Prüfung der neuen serviceorientierten Architekturen dar, die auf Kubernetes mit über 2000 Mikroapplikationen basierten. Hierbei konzentrierte ich mich auf die Sicherstellung der Konsistenz und Sicherheit der einzelnen Services sowie die Überwachung und Kontrolle der gesamten Microservices-Architektur auf Stichprobenbasis.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die Migration von mehreren Systemen in ein zentrales System für eine bundesweite Gesellschaft durchzuführen. Dies umfasste sowohl die technische Integration als auch die Schulung der Mitarbeiter, um die reibungslose Nutzung des neuen Systems sicherzustellen. Meine Aufgaben umfassten die Durchführung von Workshops zur Schulung in der Rechnungsbuchung. Diese Workshops waren darauf ausgelegt, die Bau-Ingenieure und andere relevante Mitarbeiter in die Nutzung der neuen Systemlandschaft einzuweisen, insbesondere in die Buchungsprozesse und die Handhabung von Rechnungen. Dabei legte ich besonderen Wert darauf, den Teilnehmern praxisnahe und verständliche Anleitungen zu geben, um die Umstellung so einfach wie möglich zu gestalten. Ein wesentlicher Bestandteil des Projekts war die Migration und Integration diverser Systeme in ein zentrales System. Dies beinhaltete die Analyse der bestehenden Systeme, die Planung und Durchführung der Datenmigration sowie die Sicherstellung der nahtlosen Integration in das neue zentrale System. Ziel war es, die Effizienz und Transparenz der Rechnungsbearbeitung zu erhöhen. Zur Verwaltung und Zahlung von Rechnungen nutzte ich SAP MM (Material Management). Hierbei implementierte ich die entsprechenden Module und Prozesse, um eine effektive Verwaltung und Abwicklung der Rechnungen zu gewährleisten. Dies umfasste auch die Anpassung der Systemeinstellungen, um den spezifischen Anforderungen der bundesweiten Gesellschaft gerecht zu werden. Während des Projekts war ich für die Buchung und Korrektur von Rechnungen zuständig, insbesondere für die Behandlung fehlerhafter Rechnungen. Dies erforderte eine detaillierte Analyse der Fehlerursachen und die Implementierung geeigneter Korrekturmaßnahmen, um sicherzustellen, dass alle Rechnungen korrekt verbucht und verarbeitet wurden. Darüber hinaus löste ich technische Herausforderungen bei der Umbuchung von Rechnungen. Dies umfasste die Identifizierung und Behebung von Systemfehlern sowie die Optimierung der Buchungsprozesse, um die Effizienz und Genauigkeit der Rechnungsbearbeitung zu erhöhen.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die internen Kontrollsysteme (IKS) und Managementkontrollen des Kunden zu prüfen und zu bewerten, um die Compliance mit den Anforderungen des US Sarbanes-Oxley Act (SOX) sicherzustellen. Dies umfasste eine umfassende Analyse der bestehenden Kontrollmechanismen sowie eine Bewertung der Effektivität der Geschäftsprozesse, um Risiken zu minimieren und die Integrität der Finanzberichterstattung zu gewährleisten. Meine Aufgaben umfassten die gründliche Prüfung und Bewertung der internen Kontrollsysteme (IKS). Hierbei analysierte ich die bestehenden Kontrollen und Prozesse, um Schwachstellen zu identifizieren und sicherzustellen, dass alle relevanten Vorschriften und Best Practices eingehalten werden. Dies beinhaltete auch die Überprüfung der Implementierung und Ausführung der Kontrollen, um deren Wirksamkeit zu gewährleisten. Ein weiterer wesentlicher Bestandteil des Projekts war das Managementaudit, bei dem die Effektivität und Effizienz der Managementkontrollen geprüft wurden. Im Rahmen dieses Audits überprüfte ich, ob das Management die Kontrollen ordnungsgemäß und effektiv überwacht und bewertet. Dies beinhaltete folgende Aufgaben: Prüfung der Kontrollüberwachungsprozesse: Bewertung, ob das Management regelmäßige Überwachungsaktivitäten durchführt, um die Funktionsfähigkeit der Kontrollen sicherzustellen. Bewertung der Dokumentation: Überprüfung, ob das Management die Ergebnisse der Kontrollprüfungen angemessen dokumentiert und berichtet. Analyse der Eskalationsprozesse: Sicherstellung, dass identifizierte Schwachstellen und Abweichungen ordnungsgemäß eskaliert und zeitnah behoben werden. Überprüfung der Korrekturmaßnahmen: Bewertung der vom Management implementierten Maßnahmen zur Behebung festgestellter Schwachstellen und deren Effektivität. Interviews mit Schlüsselpersonen: Durchführung von Interviews mit Führungskräften und verantwortlichen Personen, um die Bewusstseins- und Verantwortungsstruktur in Bezug auf die internen Kontrollen zu verstehen. Testen der Managementbewertungen: Durchführung von Stichprobenprüfungen, um zu verifizieren, dass das Management die Kontrollen regelmäßig bewertet und angepasst hat. Die Dokumentation der Ergebnisse war ein zentraler Bestandteil meiner Arbeit. Ich erstellte ausführliche Berichte, die die Ergebnisse meiner Prüfungen zusammenfassten und klare, umsetzbare Empfehlungen zur weiteren Verbesserung der Kontrollen enthielten. Zudem stellte ich dem Management regelmäßig Feedback zur Verfügung, um kontinuierliche Verbesserungen der Kontrollumgebung zu fördern.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die Informationssicherheitsumgebung des Kunden zu bewerten, um Cybersecurity-Risiken zu identifizieren, die finanzrelevante Reportings betreffen könnten. Dies beinhaltete eine umfassende Analyse der bestehenden Sicherheitsmaßnahmen und -protokolle sowie die Identifizierung potenzieller Schwachstellen und Bedrohungen. Meine Aufgaben umfassten zunächst die Besprechung der Ist-Situation der Informationssicherheitsumgebung des Kunden. Dies beinhaltete eine detaillierte Überprüfung der aktuellen Sicherheitsarchitektur, der implementierten Schutzmaßnahmen und der allgemeinen Sicherheitskultur innerhalb des Unternehmens. Ein wesentlicher Bestandteil meiner Arbeit war die Analyse verschiedener Domänen der Cybersecurity, darunter: Asset Management: Überprüfung der Inventarisierung und Verwaltung aller IT-Assets, um sicherzustellen, dass alle kritischen Systeme und Daten angemessen geschützt sind. Risikoumgebung und Risk Management: Bewertung der bestehenden Risikomanagementprozesse und -verfahren, um potenzielle Cybersecurity-Risiken zu identifizieren und zu bewerten. Business Continuity Pläne: Analyse der Kontinuitätspläne, um sicherzustellen, dass das Unternehmen auf Cybersecurity-Vorfälle und -Störungen vorbereitet ist und schnell reagieren kann. Priorisierung und Monitoring: Untersuchung der Prozesse zur Priorisierung von Sicherheitsmaßnahmen und zur kontinuierlichen Überwachung der IT-Umgebung. Risk Handling und SIEM: Bewertung der Maßnahmen zur Risikominderung und der Nutzung von Security Information and Event Management (SIEM)-Systemen zur Erkennung und Reaktion auf Sicherheitsvorfälle. Wesentliche Breaches: Analyse vergangener Sicherheitsvorfälle und deren Auswirkungen, um Lehren für die Verbesserung der Sicherheitsmaßnahmen zu ziehen. Zur Erhebung, Dokumentation und Bewertung der relevanten Informationen führte ich umfassende Gespräche mit dem Chief Information Security Officer (CISO). Diese Gespräche halfen, ein tiefgehendes Verständnis der bestehenden Sicherheitsprozesse und -strategien zu gewinnen und mögliche Schwachstellen oder Verbesserungspotenziale zu identifizieren. Die Ergebnisse meiner Analyse wurden in detaillierten Berichten dokumentiert.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die IT-Systeme und -Prozesse des Kunden umfassend zu prüfen, um sicherzustellen, dass diese ordnungsgemäß funktionieren und den gesetzlichen Anforderungen entsprechen. Der Kunde benötigte eine detaillierte Bewertung der IT General Controls (ITGCs), um Risiken in den Bereichen Zugriffsrechte, Datensicherheit sowie Systemänderungen zu minimieren und die Integrität der Finanzdaten zu gewährleisten. Meine Aufgaben umfassten die Prüfung der Zugriffsrechte, bei der ich die Zuweisung und Verwaltung von Benutzerrechten überprüfte und sicherstellte, dass nur berechtigte Benutzer Zugang zu kritischen Systemen und Berechtigungen hatten. Zudem habe ich Systemparameter ausgewertet, die sowohl das Access Management als auch das Change Management betreffen. Dabei habe ich die Parameter aus der RSPARAM zur Verwaltung der Zugriffsrechte und die relevanten Tabellen wie T001 und DD010INC zur Überwachung und Dokumentation von Systemänderungen analysiert. Beim Systemänderungsmanagement kontrollierte ich die Prozesse für Änderungen am System, überwachte die Autorisierung, Testung und Freigabe von Änderungen und stellte die Dokumentation und Nachvollziehbarkeit sicher. Ich führte eine Funktionstrennung durch, um sicherzustellen, dass kritische Aufgaben im Rahmen des Access- und Manage Change Prozesses von verschiedenen Personen ausgeführt wurden, und überprüfte die Datensicherungs- und Wiederherstellungsverfahren. Dabei stellte ich sicher, dass regelmäßige Backups durchgeführt und getestet wurden. Zusätzlich bewertete ich die Prozesse zur Überwachung von IT-Systemen und -Prozessen sowie die Handhabung von IT-Vorfällen und -Problemen. Durch Walkthrough-Tests verifizierte ich die Existenz und Funktionalität der Kontrollen und führte abschließend Berichterstattungen über die Ergebnisse der IT-Audit-Prüfungen durch. Ein wichtiger Bestandteil des Projekts war die Prüfung von Applikationskontrollen innerhalb des SAP-Systems, wie dem Three Way Match, Schnittstellen und der technischen Umsetzung von Schwellwerten. Diese Kontrollen sind entscheidend für die Sicherstellung der Datenintegrität und -verarbeitung innerhalb des Systems. Darüber hinaus evaluierte ich den SOC 2 Type 2 Bericht, um die Einhaltung der relevanten Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts-, Vertraulichkeits- und Datenschutzstandards zu bestätigen.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die Informationssicherheitsumgebung des Kunden zu bewerten, um Cybersecurity-Risiken zu identifizieren, die finanzrelevante Reportings betreffen könnten. Dies beinhaltete eine umfassende Analyse der bestehenden Sicherheitsmaßnahmen und -protokolle sowie die Identifizierung potenzieller Schwachstellen und Bedrohungen. Meine Aufgaben umfassten zunächst die Besprechung der Ist-Situation der Informationssicherheitsumgebung des Kunden. Dies beinhaltete eine detaillierte Überprüfung der aktuellen Sicherheitsarchitektur, der implementierten Schutzmaßnahmen und der allgemeinen Sicherheitskultur innerhalb des Unternehmens. Ein wesentlicher Bestandteil meiner Arbeit war die Analyse verschiedener Domänen der Cybersecurity, darunter: Asset Management: Überprüfung der Inventarisierung und Verwaltung aller IT-Assets, um sicherzustellen, dass alle kritischen Systeme und Daten angemessen geschützt sind. Risikoumgebung und Risk Management: Bewertung der bestehenden Risikomanagementprozesse und -verfahren, um potenzielle Cybersecurity-Risiken zu identifizieren und zu bewerten. Business Continuity Pläne: Analyse der Kontinuitätspläne, um sicherzustellen, dass das Unternehmen auf Cybersecurity-Vorfälle und -Störungen vorbereitet ist und schnell reagieren kann. Priorisierung und Monitoring: Untersuchung der Prozesse zur Priorisierung von Sicherheitsmaßnahmen und zur kontinuierlichen Überwachung der IT-Umgebung. Risk Handling und SIEM: Bewertung der Maßnahmen zur Risikominderung und der Nutzung von Security Information and Event Management (SIEM)-Systemen zur Erkennung und Reaktion auf Sicherheitsvorfälle. Wesentliche Breaches: Analyse vergangener Sicherheitsvorfälle und deren Auswirkungen, um Lehren für die Verbesserung der Sicherheitsmaßnahmen zu ziehen. Zur Erhebung, Dokumentation und Bewertung der relevanten Informationen führte ich umfassende Gespräche mit dem Chief Information Security Officer (CISO). Diese Gespräche halfen, ein tiefgehendes Verständnis der bestehenden Sicherheitsprozesse und -strategien zu gewinnen und mögliche Schwachstellen oder Verbesserungspotenziale zu identifizieren. Die Ergebnisse meiner Analyse wurden in detaillierten Berichten dokumentiert.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die IT-Systeme und -Prozesse des Kunden umfassend zu prüfen, um sicherzustellen, dass diese ordnungsgemäß funktionieren und den gesetzlichen Anforderungen entsprechen. Der Kunde benötigte eine detaillierte Bewertung der IT General Controls (ITGCs), um Risiken in den Bereichen Zugriffsrechte, Datensicherheit sowie Systemänderungen zu minimieren und die Integrität der Finanzdaten zu gewährleisten. Meine Aufgaben umfassten die Prüfung der Zugriffsrechte, bei der ich die Zuweisung und Verwaltung von Benutzerrechten überprüfte und sicherstellte, dass nur berechtigte Benutzer Zugang zu kritischen Systemen und Berechtigungen hatten. Zudem habe ich Systemparameter ausgewertet, die sowohl das Access Management als auch das Change Management betreffen. Dabei habe ich die Parameter aus der RSPARAM zur Verwaltung der Zugriffsrechte und die relevanten Tabellen wie T001 und DD010INC zur Überwachung und Dokumentation von Systemänderungen analysiert. Beim Systemänderungsmanagement kontrollierte ich die Prozesse für Änderungen am System, überwachte die Autorisierung, Testung und Freigabe von Änderungen und stellte die Dokumentation und Nachvollziehbarkeit sicher. Ich führte eine Funktionstrennung durch, um sicherzustellen, dass kritische Aufgaben im Rahmen des Access- und Manage Change Prozesses von verschiedenen Personen ausgeführt wurden, und überprüfte die Datensicherungs- und Wiederherstellungsverfahren. Dabei stellte ich sicher, dass regelmäßige Backups durchgeführt und getestet wurden. Zusätzlich bewertete ich die Prozesse zur Überwachung von IT-Systemen und -Prozessen sowie die Handhabung von IT-Vorfällen und -Problemen. Durch Walkthrough-Tests verifizierte ich die Existenz und Funktionalität der Kontrollen und führte abschließend Berichterstattungen über die Ergebnisse der IT-Audit-Prüfungen durch. Ein wichtiger Bestandteil des Projekts war die Prüfung von Applikationskontrollen innerhalb des SAP-Systems, wie dem Three Way Match, Schnittstellen und der technischen Umsetzung von Schwellwerten. Diese Kontrollen sind entscheidend für die Sicherstellung der Datenintegrität und -verarbeitung innerhalb des Systems. Darüber hinaus evaluierte ich den SOC 2 Type 2 Bericht, um die Einhaltung der relevanten Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts-, Vertraulichkeits- und Datenschutzstandards zu bestätigen.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die Informationssicherheitsumgebung des Kunden zu bewerten, um Cybersecurity-Risiken zu identifizieren, die finanzrelevante Reportings betreffen könnten. Dies beinhaltete eine umfassende Analyse der bestehenden Sicherheitsmaßnahmen und -protokolle sowie die Identifizierung potenzieller Schwachstellen und Bedrohungen. Meine Aufgaben umfassten zunächst die Besprechung der Ist-Situation der Informationssicherheitsumgebung des Kunden. Dies beinhaltete eine detaillierte Überprüfung der aktuellen Sicherheitsarchitektur, der implementierten Schutzmaßnahmen und der allgemeinen Sicherheitskultur innerhalb des Unternehmens. Ein wesentlicher Bestandteil meiner Arbeit war die Analyse verschiedener Domänen der Cybersecurity, darunter: Asset Management: Überprüfung der Inventarisierung und Verwaltung aller IT-Assets, um sicherzustellen, dass alle kritischen Systeme und Daten angemessen geschützt sind. Risikoumgebung und Risk Management: Bewertung der bestehenden Risikomanagementprozesse und -verfahren, um potenzielle Cybersecurity-Risiken zu identifizieren und zu bewerten. Business Continuity Pläne: Analyse der Kontinuitätspläne, um sicherzustellen, dass das Unternehmen auf Cybersecurity-Vorfälle und -Störungen vorbereitet ist und schnell reagieren kann. Priorisierung und Monitoring: Untersuchung der Prozesse zur Priorisierung von Sicherheitsmaßnahmen und zur kontinuierlichen Überwachung der IT-Umgebung. Risk Handling und SIEM: Bewertung der Maßnahmen zur Risikominderung und der Nutzung von Security Information and Event Management (SIEM)-Systemen zur Erkennung und Reaktion auf Sicherheitsvorfälle. Wesentliche Breaches: Analyse vergangener Sicherheitsvorfälle und deren Auswirkungen, um Lehren für die Verbesserung der Sicherheitsmaßnahmen zu ziehen. Zur Erhebung, Dokumentation und Bewertung der relevanten Informationen führte ich umfassende Gespräche mit dem Chief Information Security Officer (CISO). Diese Gespräche halfen, ein tiefgehendes Verständnis der bestehenden Sicherheitsprozesse und -strategien zu gewinnen und mögliche Schwachstellen oder Verbesserungspotenziale zu identifizieren. Die Ergebnisse meiner Analyse wurden in detaillierten Berichten dokumentiert.

Zielsetzung: Die Zielsetzung dieses Projekts bestand darin, die Migration des bestehenden Systems des Kunden in die Cloud mittels SAP Rise zu unterstützen. Betreuung der verschiedenen Fachbereiche und der darunterliegenden Epics, um sicherzustellen, dass deren spezifische Fragestellen beantwortet werden und Epics weiterbearbeitet werden können. Durchführung von Gesprächen mit den Fachbereichen, um deren Painpoints aufzunehmen. Identifikation und Dokumentation der Gründe für mögliche Wartezeiten, um diese effizient zu adressieren. Bearbeitung und Lösung technischer Fragen, die während des Migrationsprozesses auftraten. Sicherstellung, dass alle technischen Herausforderungen zeitnah und effektiv gelöst werden.

Zielsetzung: Um Risiken bei der Einführung neuer IT-Systeme zu minimieren, wurde eine projektbegleitende Prüfung nach dem IDW Prüfungsstandard 850 (PS 850) durchgeführt. Diese Prüfung zielte darauf ab, die Integrität der Jahresabschlüsse sicherzustellen und die Einhaltung der regulatorischen Anforderungen zu gewährleisten. Aufgaben: Prüfung der Projektorganisation: Bewertung der Projektstruktur, Rollenverteilung und Verantwortlichkeiten. Sicherstellung einer klaren und effizienten Projektkommunikation. Prüfung der Projektphasen: Planung: Überprüfung der Projektpläne und Pflichtenhefte, um sicherzustellen, dass alle Anforderungen berücksichtigt werden. Entwicklung: Prüfung der Entwicklungskonzepte und -dokumentationen, um frühzeitig Fehlentwicklungen zu identifizieren. Einrichtung: Bewertung der Implementierungsprozesse und der Systemkonfigurationen. Test: Prüfung der Teststrategien und -durchführungen, um die Funktionalität und Leistungsfähigkeit der Systeme sicherzustellen. Produktivsetzung: Überwachung der Inbetriebnahmeprozesse, um einen reibungslosen Übergang in den Produktivbetrieb zu gewährleisten, sodass die Aussagefähigkeit des Finanzreportings nicht gemindert wird.

Zielsetzung: Die Zielsetzung dieses Projekts bestand darin, eine SOC 2 Typ 2 Prüfung durchzuführen, um die Einhaltung der Sicherheits-, Verfügbarkeits-, Integritäts-, Vertraulichkeits- und Datenschutzanforderungen des lokalen IT-Dienstleisters und Hosters sicherzustellen. Dies gewährleistet die sichere und vertrauenswürdige Verwaltung von Daten durch den Dienstleister. Aufgaben: Sicherheit: Überprüfung der Schutzmaßnahmen gegen unbefugten Zugriff auf Systeme. Bewertung der physikalischen und logischen Zugangskontrollen. Verfügbarkeit: Sicherstellung der Betriebszeit und Verfügbarkeit des Systems. Analyse der Redundanz- und Notfallwiederherstellungsprozesse. Vertraulichkeit: Schutz der vertraulichen Informationen vor unbefugtem Zugriff. Bewertung der Verschlüsselungs- und Zugriffskontrollmechanismen. Datenschutz: Schutz der persönlichen Daten gemäß den geltenden Datenschutzrichtlinien. Überprüfung der Datenverarbeitungsrichtlinien und -praktiken zur Einhaltung der gesetzlichen Anforderungen. Während des SOC 2 Typ 2 Audits wurden die bestehenden Kontrollen und Prozesse des IT-Dienstleisters gründlich überprüft und bewertet. Dies umfasste die Dokumentation und Validierung der Implementierung und Wirksamkeit der Kontrollen, um sicherzustellen, dass alle Anforderungen des SOC 2 Prüfungsstandards erfüllt wurden.

Zielsetzung: Die Zielsetzung dieses Projekts bestand darin, die bestehenden Non-SAP-Systeme auf SAP zu migrieren, um eine einheitliche und effizientere IT-Landschaft zu schaffen. Dies sollte die Geschäftsprozesse des Kunden optimieren und die Datenintegrität sowie die Systemeffizienz erhöhen. Tätigkeiten: Testmanagement-Unterstützung: Planung und Durchführung von Testläufen, um sicherzustellen, dass die neuen SAP-Systeme korrekt implementiert und funktionsfähig sind. Erstellung und Verwaltung von Testplänen und -szenarien für die verschiedenen Fachbereiche. Überwachung der Testdurchläufe und Sicherstellung, dass alle Tests gemäß den definierten Anforderungen durchgeführt werden. Projektleitung und Kommunikation: Identifikation von Faktoren, die möglicherweise zu Wartezeiten führen könnten, in Gesprächen mit dem Fachbereich. Bereitstellung von Lösungen und Strategien zur Minimierung von Wartezeiten und Optimierung der Prozessabläufe. Ansprechpartner für Fachbereiche: Aufnahme, Beantwortung und Weiterleitung von Fragen aus den Fachbereichen. Unterstützung der Fachbereiche bei der Lösung technischer und prozessualer Herausforderungen während der Migration. Wöchentliches Reporting: Erstellung von Berichten für die Projektleitung sowohl von Mindsquare als auch beim Kunden. Präsentation von Kennzahlen wie der Anzahl der durchgeführten Testhandlungen pro Fachbereich und pro Tag. Dokumentation von Fortschritten, identifizierten Problemen und deren Lösungen sowie allgemeinen Statusupdates des Migrationsprojekts.

Die Zielsetzung dieses Projekts bestand darin, das bestehende Berechtigungskonzept zu überarbeiten, um die Sicherheitsanforderungen und Audit-Sicherheit zu verbessern. Dies umfasste die Sicherstellung der internen und externen Datensicherheit sowie die Einhaltung von Compliance-Anforderungen. Unterstützung bei der Planung und Organisation des Workshops mit dem Fachbereich. Erstellung von Workshop-Materialien und Definition der Ziele des Berechtigungskonzept-Redesigns.

Ein IT-Audit, im Rahmen eines ISO27001 Audits und im TISAX-Kontext durchgeführt, offenbarte zahlreiche Schwachstellen bezüglich SAP-Berechtigungen. Die Zielsetzung dieses Projekts bestand darin, in den Bereichen Berechtigungskonzept, Firefighting und Rezertifizierung unterstützend tätig zu sein. Beginnend mit einer Planungs- und Grobkonzeptionsphase folgte die Erstellung einer Roadmap zur systematischen Behebung der identifizierten Schwachstellen. Nachdem der Kunde in die operative Projektphase übergegangen ist, habe ich an folgenden Teilprojekten mitgewirkt: Formalisierung des Changeprozesses von Rollen, die klassisch in der PFCG angepasst werden und Rollen, die im Zusammenhang mit SIVIS Identity Manager administriert werden. Überführung des Benutzergruppenkonzepts: Im Rahmen dieses Arbeitspakets sollen die Benutzergruppen nach dem Best-Practice umgestellt werden. Der Systemkontext ist, dass das System im Zusammenhang mit einer Migration auf S4 von regionalen Mandanten auf ein zentrales System umgestellt wurde. Jedes dieser ursprünglichen Mandanten hatte vorher mehrere Benutzergruppen, die teilweise auf Buchungskreisebene gestaltet wurden. Ziel ist hier, die etwa 200 Benutzergruppen auf etwa 7 Benutzergruppen zu reduzieren. POC Rezertifizierungsprozesses mit SIVIS Recertification Manager: - Erstellung eines Konzeptes zu einem Rezertifizierungsprozess mit SIVIS Recertification Manager. - PoC des SIVIS Recertification Managers zur Aufnahme der Funktionalitäten und zukünftigen Anforderungen an das Tool. - Formalisierung von Anforderungen und Kommunikation mit dem Softwarehersteller SIVIS (Pointsharp) - Priorisierung und Roadmap zur Umsetzung von funktionalen Änderungen. - Planung der ersten Rezertifizierung. Analyse externer Benutzer auf Produktivsystem: - Identifizieren verschiedener Workflows, wie externe Mitarbeiter SAP-Produktivzugang erhalten - Gemeinsame Prüfung auf Angemessenheit und Aktualität der Zugänge mit dem Kunden und Unterstützung des Kunden bei der Auflösung. Formularanpassung bei Formularen mit unzureichender Genehmigerkontrolle: - Analyse der Berechtigungsformulare und Prüfung, inwieweit Worklflows eine effektive Genehmigungskontrolle darstellen.

Im Rahmen dieses Projektes stand die Neugestaltung der Berechtigungsstruktur im Fokus. Der Kunde hatte das Ziel, eine effizientere und sicherere Vergabe von Berechtigungen zu etablieren, insbesondere durch die Reduzierung von weitreichenden Rechten in modulspezifischen Rollen. Meine Hauptaufgabe bestand darin, die Ansprechpartner des Kunden durch Coaching zu unterstützen. Dies beinhaltete die Anleitung der Beteiligten und die Vermittlung von Best Practices. Gleichzeitig war ich auch in der operativen Umsetzung involviert. Hier habe ich modulspezifische Objekte in den Rollen identifiziert und klare Regelungen für den zukünftigen Umgang mit diesen Objekten entwickelt. So wurde sichergestellt, dass Rechte nur noch gezielt und bedarfsgerecht vergeben werden. Ein weiterer Schwerpunkt meiner Tätigkeit lag in der Ausprägung des Trace-Verfahrens, welches durch das XITING-Tool XAMS unterstützt wird. Mit diesem Tool wurde das Nutzungsverhalten der User analysiert und mit neu erstellten Rollen abgeglichen, um so eventuelle Unstimmigkeiten in den Berechtigungsprüfungen aufzudecken und zu korrigieren. Während der Hypercare-Phase war ich die zentrale Ansprechperson für Herausforderungen und sichergestellt, dass Probleme zeitnah adressiert wurden. Darüber hinaus war ich hauptverantwortlich für die Identifizierung von Projektrisiken und diente als erste Ansprechperson des Kunden in diesem Kontext. Dies ermöglichte eine proaktive Steuerung potenzieller Hindernisse und trug wesentlich zur Stabilität des Projektes bei.

Der Kunde suchte ein neues Identity-Management (IDM) Tool, da SAP IDM zukünftig eingestellt wird. Im Rahmen des Projekts wurde zunächst der Ist-Zustand des bestehenden SAP IDM Systems analysiert, um bestehende Kompromisse und Einschränkungen zu erfassen. Darauf basierend wurden die Anforderungen des Kunden herausgearbeitet, priorisiert und um moderne Funktionalitäten ergänzt, die am Markt der Softwarehersteller mittlerweile verfügbar sind. Ein zentrales Element des Projekts war die Erstellung einer Scorecard, welche die verschiedenen IDM-Lösungen anhand der definierten Anforderungen bewertete. Diese Methode ermöglichte es, die Tools objektiv zu vergleichen und das am besten geeignete Tool für den Kunden zu identifizieren. Durch diesen strukturierten Auswahlprozess konnte dem Kunden eine fundierte Empfehlung gegeben werden, die sowohl aktuelle als auch zukünftige Anforderungen berücksichtigt.

Im Rahmen dieses Projekts wurde ein umfassender SAP Whitebox Penetration Test durchgeführt, um die Sicherheit der SAP-Systeme bei Swiss Krono zu bewerten. Der Fokus lag auf der Analyse von sicherheitsrelevanten Prozessen und Konfigurationen des SAP-Systems, einschließlich des S/4HANA Systems und des Solution Managers. Untersucht wurden dabei: IKS-Prozesse (Internes Kontrollsystem), Standard-User-Konfiguration, die Konfiguration und der Status des Security Audit Logs, Virenscanning, Passwortsicherheit und Authentifizierungsmechanismen, der Status von Security Patches sowie die Update-Prozesse. Besondere Aufmerksamkeit wurde auf kritische Berechtigungen und Segregation of Duties (SoD) gelegt, die mithilfe des Tools CheckAud analysiert wurden. Zudem wurden die Systemparameterkonfiguration und die RFC-Schnittstellen überprüft. Darüber hinaus wurde ein Source Code Scan mithilfe des Tools SecurityBridge durchgeführt, um Schwachstellen im ABAP-Code zu identifizieren. Diese Analyse umfasste auch die Auswertung der Einhaltung der Code-Guidelines.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die IT-Systeme und -Prozesse des Kunden umfassend zu prüfen, um sicherzustellen, dass diese ordnungsgemäß funktionieren und den gesetzlichen Anforderungen entsprechen. Der Kunde benötigte eine detaillierte Bewertung der IT General Controls (ITGCs), um Risiken in den Bereichen Zugriffsrechte, Datensicherheit sowie Systemänderungen zu minimieren und die Integrität der Finanzdaten zu gewährleisten. Meine Aufgaben umfassten die Prüfung der Zugriffsrechte, bei der ich die Zuweisung und Verwaltung von Benutzerrechten überprüfte und sicherstellte, dass nur berechtigte Benutzer Zugang zu kritischen Systemen und Berechtigungen hatten. Zudem habe ich Systemparameter ausgewertet, die sowohl das Access Management als auch das Change Management betreffen. Dabei habe ich die Parameter aus der RSPARAM zur Verwaltung der Zugriffsrechte und die relevanten Tabellen wie T001 und DD010INC zur Überwachung und Dokumentation von Systemänderungen analysiert. Beim Systemänderungsmanagement kontrollierte ich die Prozesse für Änderungen am System, überwachte die Autorisierung, Testung und Freigabe von Änderungen und stellte die Dokumentation und Nachvollziehbarkeit sicher. Ich führte eine Funktionstrennung durch, um sicherzustellen, dass kritische Aufgaben im Rahmen des Access- und Manage Change Prozesses von verschiedenen Personen ausgeführt wurden, und überprüfte die Datensicherungs- und Wiederherstellungsverfahren. Dabei stellte ich sicher, dass regelmäßige Backups durchgeführt und getestet wurden. Zusätzlich bewertete ich die Prozesse zur Überwachung von IT-Systemen und -Prozessen sowie die Handhabung von IT-Vorfällen und -Problemen. Durch Walkthrough-Tests verifizierte ich die Existenz und Funktionalität der Kontrollen und führte abschließend Berichterstattungen über die Ergebnisse der IT-Audit-Prüfungen durch.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die IT-Systeme und -Prozesse des Kunden umfassend zu prüfen, um sicherzustellen, dass diese ordnungsgemäß funktionieren und den gesetzlichen Anforderungen entsprechen. Der Kunde benötigte eine detaillierte Bewertung der IT General Controls (ITGCs), um Risiken in den Bereichen Zugriffsrechte, Datensicherheit sowie Systemänderungen zu minimieren und die Integrität der Finanzdaten zu gewährleisten. Meine Aufgaben umfassten die Prüfung der Zugriffsrechte, bei der ich die Zuweisung und Verwaltung von Benutzerrechten überprüfte und sicherstellte, dass nur berechtigte Benutzer Zugang zu kritischen Systemen und Berechtigungen hatten. Zudem habe ich Systemparameter ausgewertet, die sowohl das Access Management als auch das Change Management betreffen. Dabei habe ich die Parameter aus der RSPARAM zur Verwaltung der Zugriffsrechte und die relevanten Tabellen wie T001 und DD010INC zur Überwachung und Dokumentation von Systemänderungen analysiert. Beim Systemänderungsmanagement kontrollierte ich die Prozesse für Änderungen am System, überwachte die Autorisierung, Testung und Freigabe von Änderungen und stellte die Dokumentation und Nachvollziehbarkeit sicher. Ich führte eine Funktionstrennung durch, um sicherzustellen, dass kritische Aufgaben im Rahmen des Access- und Manage Change Prozesses von verschiedenen Personen ausgeführt wurden, und überprüfte die Datensicherungs- und Wiederherstellungsverfahren. Dabei stellte ich sicher, dass regelmäßige Backups durchgeführt und getestet wurden. Zusätzlich bewertete ich die Prozesse zur Überwachung von IT-Systemen und -Prozessen sowie die Handhabung von IT-Vorfällen und -Problemen. Durch Walkthrough-Tests verifizierte ich die Existenz und Funktionalität der Kontrollen und führte abschließend Berichterstattungen über die Ergebnisse der IT-Audit-Prüfungen durch.

Im Rahmen dieses Projekts bestand die Zielsetzung darin, die internen Kontrollsysteme (IKS) und Managementkontrollen des Kunden zu prüfen und zu bewerten, um die Compliance mit den Anforderungen des US Sarbanes-Oxley Act (SOX) sicherzustellen. Dies umfasste eine umfassende Analyse der bestehenden Kontrollmechanismen sowie eine Bewertung der Effektivität der Geschäftsprozesse, um Risiken zu minimieren und die Integrität der Finanzberichterstattung zu gewährleisten. Meine Aufgaben umfassten die gründliche Prüfung und Bewertung der internen Kontrollsysteme (IKS). Hierbei analysierte ich die bestehenden Kontrollen und Prozesse, um Schwachstellen zu identifizieren und sicherzustellen, dass alle relevanten Vorschriften und Best Practices eingehalten werden. Dies beinhaltete auch die Überprüfung der Implementierung und Ausführung der Kontrollen, um deren Wirksamkeit zu gewährleisten. Ein weiterer wesentlicher Bestandteil des Projekts war das Managementaudit, bei dem die Effektivität und Effizienz der Managementkontrollen geprüft wurden. Im Rahmen dieses Audits überprüfte ich, ob das Management die Kontrollen ordnungsgemäß und effektiv überwacht und bewertet. Dies beinhaltete folgende Aufgaben: Prüfung der Kontrollüberwachungsprozesse: Bewertung, ob das Management regelmäßige Überwachungsaktivitäten durchführt, um die Funktionsfähigkeit der Kontrollen sicherzustellen. Bewertung der Dokumentation: Überprüfung, ob das Management die Ergebnisse der Kontrollprüfungen angemessen dokumentiert und berichtet. Analyse der Eskalationsprozesse: Sicherstellung, dass identifizierte Schwachstellen und Abweichungen ordnungsgemäß eskaliert und zeitnah behoben werden. Überprüfung der Korrekturmaßnahmen: Bewertung der vom Management implementierten Maßnahmen zur Behebung festgestellter Schwachstellen und deren Effektivität. Interviews mit Schlüsselpersonen: Durchführung von Interviews mit Führungskräften und verantwortlichen Personen, um die Bewusstseins- und Verantwortungsstruktur in Bezug auf die internen Kontrollen zu verstehen. Testen der Managementbewertungen: Durchführung von Stichprobenprüfungen, um zu verifizieren, dass das Management die Kontrollen regelmäßig bewertet und angepasst hat. Die Dokumentation der Ergebnisse war ein zentraler Bestandteil meiner Arbeit. Ich erstellte ausführliche Berichte, die die Ergebnisse meiner Prüfungen zusammenfassten und klare, umsetzbare Empfehlungen zur weiteren Verbesserung der Kontrollen enthielten. Zudem stellte ich dem Management regelmäßig Feedback zur Verfügung, um kontinuierliche Verbesserungen der Kontrollumgebung zu fördern.

Ziel des Projekts war es, dem Kunden einen umfassenden Überblick über den aktuellen Sicherheitsstand seines SAP-Produktivsystems zu geben und auf Basis der identifizierten Schwachstellen konkrete Folgemaßnahmen zur Verbesserung der Systemlandschaft abzuleiten. Zu Beginn wurden zentrale Prozesse im Zusammenhang mit dem sicheren und ordnungsgemäßen Betrieb des SAP-Systems aufgenommen, darunter Zugriffskontrollen, das Änderungsmanagement sowie Maßnahmen zur Überwachung (Monitoring). Anschließend erfolgte eine toolgestützte Analyse der SAP-Berechtigungsstruktur mithilfe von CheckAUD. Dabei wurden insbesondere Benutzerrechte, Rollen und die zugrunde liegenden Berechtigungsstrukturen eingehend geprüft. Ein weiterer Schwerpunkt lag auf der Bewertung des Security Audit Logs. Neben der Prüfung der Log-Konfiguration wurde eine zielgerichtete Filterung eingerichtet und eine Analyse sicherheitsrelevanter Ereignisse über einen Zeitraum von vier Wochen durchgeführt. Ergänzend wurde die RFC-Kommunikation untersucht – mit besonderem Fokus auf die Verschlüsselung angebundener Systeme sowie die Berechtigungsobjekte S_RFC und S_RFCACL. Die Gatewaykonfiguration wurde auf potenzielle Schwachstellen überprüft. Darüber hinaus erfolgte eine detaillierte Analyse der Systemparameter im Hinblick auf Passwortsicherheit und eingesetzte Hash-Algorithmen. Auch die Absicherung von SAP-Standardbenutzern wurde geprüft. Zusätzlich wurde der Softwarestand bewertet, einschließlich der Aktualität eingespielter SAP-Security Notes. Abschließend wurde mithilfe des SAP ATC (ABAP Test Cockpit) das kundeneigene Coding auf potenzielle Sicherheitsrisiken und bekannte Bad Practices analysiert. Alle identifizierten Verbesserungspotenziale wurden strukturiert dokumentiert, priorisiert und in Form von Empfehlungen sowie potenziellen Folgeprojekten aufbereitet.

Ziel des Projekts war es, dem Kunden einen umfassenden Überblick über den Sicherheitsstand seines SAP-Produktivsystems zu geben und konkrete Folgemaßnahmen zur Behebung identifizierter Schwachstellen abzuleiten. Die Ergebnisse wurden gemeinsam mit den zuständigen Ansprechpartnern des Kunden analysiert, strategisch eingeordnet und hinsichtlich ihrer Dringlichkeit priorisiert. Im Rahmen des Projekts wurden zunächst die relevanten Prozesse für den sicheren und ordnungsgemäßen Betrieb des SAP-Systems aufgenommen – darunter Zugriffskontrollen, Änderungsmanagement und Systemmonitoring. Mithilfe des Tools CheckAUD erfolgte eine detaillierte Analyse der bestehenden SAP-Berechtigungen, einschließlich der Benutzerrechte, Rollen und zugrunde liegenden Berechtigungsstrukturen. Darüber hinaus wurde die Konfiguration des Security Audit Logs überprüft und dessen Inhalte auf sicherheitsrelevante Auffälligkeiten hin ausgewertet. Ein weiterer Schwerpunkt lag auf der Analyse der RFC-Kommunikation, insbesondere der Verschlüsselung angebundener Systeme sowie der Prüfung der Berechtigungsobjekte S_RFC und S_RFCACL. Auch die Sicherheit der Gatewaykonfiguration sowie die Systemparameter, Passwortregeln und das eingesetzte Passworthashing-Verfahren wurden eingehend geprüft. Ergänzend wurde untersucht, inwieweit SAP-Standardbenutzer ordnungsgemäß abgesichert sind. Zur Bewertung der Eigenentwicklungen im System wurde das SAP ATC (ABAP Test Cockpit) eingesetzt, um sicherheitskritische Coding-Praktiken zu identifizieren. Abschließend wurden alle identifizierten Verbesserungspotenziale dokumentiert, priorisiert und in Form von konkreten Handlungsempfehlungen sowie möglichen Folgeprojekten aufbereitet.

Im Rahmen des Projekts lag der Schwerpunkt auf der Vermittlung von Wissen im Bereich der HCM-Berechtigungen sowie der strategischen Unterstützung bei der langfristigen Gestaltung systemweiter Berechtigungsstrukturen. Zu Beginn wurden die grundlegenden Konzepte der HR-Berechtigungen vermittelt, einschließlich der allgemeinen HCM-Berechtigungen, strukturellen Berechtigungen und kontextabhängigen Berechtigungen. In enger Abstimmung mit dem Kunden erfolgte eine strukturierte Aufnahme der bestehenden Herausforderungen, insbesondere im Hinblick auf strukturelle Berechtigungen sowie die Nutzung von ESS/MSS-Funktionalitäten. Aufbauend auf dieser Analyse wurden verschiedene strategische Lösungsansätze vorgestellt und konkrete Handlungsempfehlungen zur nachhaltigen Optimierung des Berechtigungskonzepts erarbeitet. Durch die gezielte Wissensvermittlung und Beratung konnte der Kunde ein umfassendes Verständnis für die unterschiedlichen Ausgestaltungsmöglichkeiten von HCM-Berechtigungen entwickeln. Auf Basis der identifizierten Schwachstellen im bestehenden Berechtigungskonzept wurden geeignete Maßnahmen abgeleitet. Dies ermöglichte eine fundierte Entscheidung zugunsten einer Umstellung auf kontextsensitive Berechtigungen, die anschließend zielgerichtet verfolgt wurde.

Der Kunde möchte ein bestehendes IDM ablösen, da es wenig Integration bietet und wohlmöglich ein ganzheitliches IDM-Tool zu operativen Mehrwerten führen kann. Im Rahmen des Projektes habe ich gemeinsam mit dem Projektteam die Anforderung des Kunden, sowie eines gehosteten Kunden, aufgenommen. Als Produkt der Anforderungsaufnahme ist ein Anforderungskatalog an ein zukünftiges IDM-Tool entstanden. Nach der Analyse konnte ich eine strategische Ausrichtung ableiten und den Kunden informieren, warum ein vollumfängliches IDM-Tool mit SAP-Fokus die beste Entscheidung ist. Ebenso habe ich diverse namhafte Hersteller und deren Tools jeweils abgegrenzt, die zwar sehr auf dem IDM-Markt bekannt sind, jedoch nicht die Anforderungen des Kunden erfüllen. Für die nähere Auswahl wurden nun IDM-Tools mit starker SAP-Integration einer näheren Auswahl unterzogen. Für diese 7 Tools habe ich spezifische Anforderungen des Kunden recherchiert und ebenso wurden die Hersteller umfänglich hinsichtlich der Anforderungen angefragt. Das Produkt ist eine Bewertungsmatrix, die Anforderungen nach "Must have" und "Nice to have" priorisiert und pro Tool den Erfüllungsgrad einer Anforderung darstellt. Mithilfe dieser Matrix konnten die besten 3 Tools nach System "Balance-Scorecard" ausgewählt werden. Wir konnten dem Kunden die Stärken und Schwächen der Tools jeweils darstellen und eine Empfehlung äußern. Nachfolgend haben wir Demotermine mit den 3 Herstellern aufgesetzt und die Kunden begleitet.

Ziel des Projektes war die konzeptionelle Bewertung eines Identity & Access Managements auf Basis von Entra ID. Dazu habe ich die bestehenden Prozesse für Joiner-, Mover- und Leaver-Szenarien aufgenommen und einen zukünftigen Sollzustand unter Nutzung eines IAM-Tools erarbeitet, sodass eine möglichst automatisierte Benutzererstellung und -verwaltung auf Grundlage der Position des Mitarbeiters im OM für zentrale Applikationen eingerichtet werden kann. Ein besonderer Fokus lag dabei auf den Übergabepunkten von Attributen zwischen den angebundenen Applikationen. Es wurden Abhängigkeiten und notwendige Funktionen erarbeitet, die EntraID oder ein anderes Tool abbilden muss, um die Soll-Prozesse abzubilden. Besondere Rahmenbedingung ergab sich aus der organisatorischen Veränderungen durch Standort- und Gesellschaftsumzug als auch die geplante Migration nach SAP S/4HANA.