IT Security und SAP Security

Die DVZ Datenverarbeitungszentrum unterstützte das Ministerium für Landwirtschaft und Umwelt M-V beim Bestehen des externen Audits zur Zertifizierung nach IT-Grundschutz-Kompendium. Herausfordernd bei diesem Projekt war vor allem, dass die Zertifizierungsbemühungen in den Zeitraum der Ablösung der IT-Grundschutzkataloge hin zum IT-Grundschutz-Kompendium fielen. So waren viele bereits aufgenommene IT-Grundschutz-Checks jetzt ungülitg und mussten entweder über die vom BSI bereitgestellten Migrationstabellen oder über komplette Neubefragungen angepasst werden. Auch das komplette Redesign der Informationssicherheitsrichtlinien des Ministeriums für Landwirtschaft und Umwelt M-V erforderte eine Menge Aufwand. Alle Probleme konnten jedoch in Zusammenarbeit der Informationssicherheitsberater der DVZ Datenverarbeitungszentrum M-V GmbH und des Informationssicherheitsmanagements des Ministerium für Landwirtschaft und Umwelt M-V gelöst werden, was in einer erfolgreichen Zertifizierung des letzteren mündete.

Die DVZ Datenverarbeitungszentrum M-V GmbH ist als IT-Dienstleister für die Landesverwaltung Mecklenburg-Vorpommerns zur Einhaltung höchster Informationssicherheitsstandards verplichtet. Dies wird über die (Re-)Zertifizierung nach ISO-27001 auf Basis von IT-Grundschutz von externer Stelle geprüft. Dieses Projekt enthielt zwei zentrale Herausforderungen. Einerseits wurde von den IT-Grundschutz-Katalogen auf das IT-Grundschutz-Kompendium umgeschwenkt, was zu einer weitreichenden Neubefragung (IT-Grundschutz-Check) führte. Andererseits wurde in einer vorangestellten Schutzbedarfsanalyse festgestellt, dass der Schutzbedarf für die DVZ Datenverarbeitungszentrum M-V GmbH auf "Hoch" gestiegen ist. Dies machte deutlich schärfere Sicherheitsmaßnahmen notwendig, welche der Belegschaft -allen voran den Administratoren des DVZ-eigenen Rechenzentrums- kommuniziert werden mussten.

Der menschliche Faktor nimmt eine immer größere Rolle in der Betrachtung der Informationssicherheit ein. Ein Ansatz, das sichere Verhalten der Mitarbeitenden einer Organisation zu fördern, ist das Schaffen einer Informationssicherheitskultur. Ziel meiner Bachelorarbeit war es, die Informationssicherheitskultur der DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH zu bewerten und Handlungsempfehlungen zur Verbesserung dieser zu liefern. Dafür wurde auf Basis einer Literaturanalyse ein generisches Vorgehensmodell zur Bewertung einer Informationssicherheitskultur geschaffen und in einer Fallstudie auf die DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH angewendet. Dabei wurde festgestellt, dass Problemfelder in den genutzten Dimensionen Compliance, Communication, Accountability und Governance bestehen. Auf Basis dieser Problemfelder wurden Empfehlungen abgegeben, um die Dimensionen im speziellen und die gesamte Informationssicherheitskultur zu verbessern. Die Ergebnisse der Fallstudie können dabei für Untersuchungen und Maßnahmen in der Praxis verwendet werden. Das im Rahmen dieser Arbeit erstellte Vorgehensmodell kann bei weiterer Forschung im Feld der Informationssicherheitskultur behilflich sein.

- Bereitstellung der Fiori-Anwendung "My Travel and Expenses (Version 2)" - Integration der Reisekosten-Genehmigung in Fiori-Anwendung "MyInbox" - Konzeption einer Fiori-Anwendung für kundeneigene Anforderungen in der Spesenerfassung

Ziel des Projektes war die Einführung der SIVIS Suite auf Kundenseite. Mit Einführung der SIVIS Suite kann die Administration von Berechtigungen erleichtert werden. Einer Einführung der SIVIS Suite folgt immer eine Neuerstellung der Berechtigungsrollen im SAP System auf Basis des SIVIS Rollenkonzeptes. Aufgaben umfassten: - Umstellen der SAP Berechtigungen von Fachbereichen auf das SIVIS Konzept - Bearbeiten von SIVIS-Rollen/Stellen auf Basis von Berechtigungstraces - Testen und Anpassen der Self-Services im SIVIS Web Manager - Erstellung und Umsetzung eines Notfalluserkonzeptes mit dem SIVIS Emergency Manager - Erstellung von Dokumentationen für (Key-)User und Administratoren für den SIVIS Web Manager und den SIVIS Emergency Manager Eine Besonderheit im Abschluss des Projektes stellte dar, dass sich personelle Engpässe im SAP Basis Team des Kunden bildeten. Diese wurden durch den mindsquare Berechtigungsservice ausgeglichen. Die Transition in den Service stellte den Abschluss dieses Projektes dar.

Im Rahmen des Projektes wurden auf Basis eines Ticketsystems verschiedenste Tätigkeiten mit Bezug auf die SAP Security durchgeführt. Beispielshafte Tätigkeiten sind das Anlegen oder Bearbeiten von Rollen, die Administration von technischen Usern oder die Konfiguration von SAL-Filtern bei heterogenen Systemständen auf ca. 30 Systemlinien. Auch wurden Security-relevante Themen abseits von Kern-SAP behandelt wie Berechtigungen in SAP BusinessObjects oder Passwortmanagement für technische SAP User. Neben dem Tagegeschäft wurden auch diverse interne Projekte gemanaget und durchgeführt. Beispiele hierfür wäre der Aufbau von SAP Fiori-Berechtigungen oder die Konsolidierung von Entwicklerberechtigungen.

Ziel des Projektes ist die komplette Neukonzeption der SAP Berechtigungen über alle Organisationseinheiten des Kunden, sowie die Einführung und Abbildung dieser Berechtigungen in der SIVIS Suite. Weiterhin werden alle Prozesse der Benutzerverwaltung aller SAP Systeme überarbeitet und zentralisiert über den SIVIS Identiy Manager abgebildet. Des weiteren wird gemeinsam mit dem Kunden ein Notfallnutzerkonzept erarbeitet und mithilfe des SIVIS Emergency Managers umgesetzt. Meine Aufgabe in dem Projekt ist die fachliche und technische Beratung und Schulung, sowie das Coaching des Kunden und der Entanwender/Admins. Hierbei liegt der Fokus auf der konzeptionellen Erstellung der neuen Prozesse für die Benutzer-, Berechtigung- und Notfallnutzerverwaltung und der Erstellung der SAP Berechtigungen sowie deren Abbildung in der SIVIS Suite. Im späteren Projektverlauf kam auf der Kundenseite eine SAP S/4HANA Einführung als Herausforderung für das Berechtigungsteam auf. Daraufhin wurde durch das Projektteam ein Fiori-Berechtigungs-Coaching organisiert, vorbereitet und durchgeführt.

In einem Wirtschaftsprüfer Audit hat sich herausgestellt, dass die IT-Sicherheitsdokumentation des Kunden sich nicht mehr auf zeitgemäßem Stand befindet. Zur Behebung des Wirtschaftsprüfer Findings werden im Projektverlauf einerseits bereits bestehende Dokumente auf Basis des BSI IT-Grundschutz-Kompendiums einer Review unterzogen. Andererseit wurden neue Dokumententemplates auf Basis der Anforderungen des BSI IT-Grundschutz-Kompendiums aufgesetzt, welche in Workshops und Interviews mit verschiedensten Verantwortlichen in der IT zu vollständigen Dokumenten vervollständigt werden.

Ziel des Projektes war es, eine Reihe an eigenentwickelten Prozessen (Stornierung von Kundenaufträgen, Anpassung von Kundenaufträgen, Anpassen des Lieferdatums von Kundenaufträgen) in SAP Business Workflows zu überführen um die Kommunikation zwischen Vertrieb und Produktion zu vereinheitlichen. Die Workflows ermöglichen es, Kundenaufträge noch anzupassen, wenn diese bereits in Produktion sind. Dadurch kann das Servicelevel gegenüber dem Kunden signifikant gesteigert werden. Als besondere Herausforderungen erwiesen sich das Handling der asynchronen Verbuchungslogik durch SAP und die Kommunikation zwischen SAP und anderen Systemen wie einen Auftragskonfigurationssystem und einem Produktionssteuerungssystem.

Auf Basis eines Ticketsystems wurden verschiedenste Tätigkeiten in Bezug auf SAP Berechtigungen und Security durchgeführt. Diese umfassen beispielsweise das Anlegen und Ändern von SAP-Rollen (modulübergreifend) oder das Usermanagement. Dabei erfolgte eine stetige Abstimmung mit Keyusern, um den Ist-Stand der Berechtigungen in Einklang mit dem Berechtigungskonzept zu halten. Parallel zur täglichen Arbeit fand in Regelterminen Beratung in Bezug auf die Bearbeitung zukünftiger Security-Themen wie SAP Business Technology Plattform Berechtigungen oder SAP HANA DB Berechtigungen statt.

Ziel des Projektes ist die Definition einer zukünftigen HR Business Architektur die in Einklang mit der HR IT Architektur gebracht werden soll. Dabei soll eine Verortung und Priorisierung der aktuellen Prozesse, Funktionen und Daten auf Basis von Wertströmem erfolgen. Abgeleitet aus der Business Architektur soll dann auch die Definition der fachlichen Anforderungen an eine neue HR IT Architektur. Im Vorgehen des Projektes wurde neben Dokumentensichtung und Interviews auch fast an die 400 HR Prozesse auf Ihren Digitalisierungsgrad sowie Automatisierungsgrad untersucht und sich angeschaut wie diese Prozesse in Geschäftsfähigkeiten (Capability) geschnitten werden können. Zudem wurde geschaut, wie sich die Prozesse über eine neue HR IT Systemlandschaft End 2 End legen würden und es ermöglicht werden kann das die Prozesse End 2 End durch eine neue administrative Organisation des HR Bereichs effizient abgearbeitet werden können. Das Ergebnis ist zum einen ein Kriterienkatalog zur Bewertung der Prozesse, eine Prozessklassifikation und eine Abbildung der Prozesse in Geschäftsfähigkeiten und End2End Wertströmen.

Ziel dieses Einsatzes war es, die Einführung eines Informationssicherheitsmanagementsystems (ISMS) auf Basis des ISO 27001 Standards vorzubereiten. Dazu wurde in Form einer Fit-Gap-Analyse geprüft, welche Maßnahmen aus Anhang A des ISO 27001 Standards bereits umgesetzt waren. Auf Basis der Ergebnisse der Fit-Gap-Analyse wurde eine Roadmap zum Ablauf der Einführung des ISMS als Grundlage für das weitere Projektvorgehen entwickelt. Als besonders dringlicher Punkt in der Fit-Gap-Analyse hat sich die Dokumentation zu physischer Sicherheit herausgestellt, da zu dieser noch keinerlei Dokumentation exisitierte. Um dem entgegenzuwirken wurde in Form eines Interviews der Ist-Stand der physischen Sicherheit mit den Empfehlungen aus der Norm ISO 27002 verglichen um eine spätere Erstellung der Dokumentation vorzubereiten und zu erleichtern.

Ziel des Einsatzes war, einige Themen, welche sich über die letzten Jahren beim Team für SAP Berechtigungen des Kunden angesammelt, zu lösen. Themen, welche es zu lösen galt waren: - Berechtigungen für externe und interne Berater in verschiedenen SAP Modulen - Berechtigungen für Supportuser - Vergabe von SA38-Report-Berechtigungen - Aufbau einer Notfallbenutzer-Infrastruktur mithilfe des SIVIS Emergency Managers Dabei wurde ich in die Organisation des Berechtigungsteams nach Sprintmethode einbezogen und nahm an Dailys und anderen Regelterminen teil. Jegliche Technische Anpassungen an den SAP Berechtigungen wurden mithilfe der Tools aus der SIVIS Suite vorgenommen.

Ziel des Projekts war, einen Projektplan für ein Zertifizierungsvorhaben nach BSI IT-Grundschutz zu erstellen. Dafür wurden in Zusammenarbeit mit dem Kunden Working Sessions durchgeführt, um die Schritte der BSI IT-Grundschutz-Standards durchzuführen, welche die beste Auskunft über den Scope eines späteren Hauptprojektes geben. Die Schritte sind: Strukturanalyse und Modellierung nach BSI Standard 200-2. Des weiteren wurde ein Cyber Security Maturity Check durchgeführt, welche den aktuellen Reifegrad der Informationssicherheit des Kunden bewerten soll. Die Ergebnisse der ersten BSI IT-Grundschutz-Schritte und des Cyber Security Maturity Checks wurden zum Abschluss des Vorprojektes in einer Roadmap für das Zertifizierungsvorhaben nach ISO 27001 auf Basis IT-Grundschutz zusammengeführt.

Die Produkte des Kunden werden "Dual Use" genutzt – daher bestehen besondere Schutzanforderungen an das SAP-System, die momentan nicht erfüllt werden. In vorherigen gemeinsamen Vorprojekten wurden bereits die neuen SAP-Berechtigungen konzipiert. Nun ist es erforderlich, diese technisch im System umzusetzen. Das Hauptziel dieses Projekts ist daher die technische Neugestaltung der SAP-Berechtigungen. Um dieses Ziel zu erreichen, wird die SIVIS Suite als Tool verwendet. Die Installation und Konfiguration des SIVIS Identity und Role Managers stellen das erste Teiziel des Projekts dar. Da das Berechtigungswesen, basierend auf der SIVIS Suite, erheblich von den Standard-SAP-Berechtigungen abweicht, musste zu Beginn des Projekts das schriftliche Berechtigungskonzept, das in vorherigen Vorprojekten entwickelt wurde, an die Gegebenheiten der SIVIS Suite angepasst werden. Die Berechtigungen werden zum Teil aus Workshopergebnissen aus einem Vorprojekt, zu einem anderen Teil aus Tracing auf Basis des SIVIS Extension Managers erstellt.

Ziel des Projektes war es, die Eignung des SIVIS Authorization Robot für einen möglichen vollständigen Einsatz beim Kunden zu analysieren, um ein effizientes SAP-Berechtigungskonzept mittels künstlicher Intelligenz (KI) zu realisieren. Durch ein mehrmonatiges Tracing mit den Tools der SIVIS Suite inklusive Tracemonitoring wurden die vorhandenen SAP-Berechtigungen erfasst. Anschließend wurde eine Datenanalyse durchgeführt und mit Hilfe von KI ein maßgeschneidertes Berechtigungskonzept für 2 Abteilungen erstellt.

Das Projektziel war die Einführung von GitHub. Dazu war es notwendig, das Einverständnis interner Stakeholder zu gewinnen. Ein Dokument wurde erstellt, das die Sicherheitseigenschaften von GitHub hervorhebt und diese mit den Anforderungen der ISO 27001 abgleicht. Darüber hinaus wurden Integrationsmöglichkeiten von GitHub in die bestehende Systemlandschaft aufgezeigt. Erste Prozessskizzen wurden konzipiert, um die Integrität des in GitHub gespeicherten Codes sicherzustellen.

Ein IT-Audit offenbarte zahlreiche Schwachstellen bezüglich SAP-Berechtigungen. Die Zielsetzung dieses Projekts bestand darin, in den Bereichen Berechtigungskonzept, Firefighting und Rezertifizierung unterstützend tätig zu sein. Beginnend mit einer Planungs- und Grobkonzeptionsphase folgte die Erstellung einer Roadmap zur systematischen Behebung der identifizierten Schwachstellen. Die Optimierung der SAP-Berechtigungsprozesse, die Einführung verbesserter Firefighting-Maßnahmen und die Anpassung der Rezertifizierungsprozesse tragen zur Stärkung der Sicherheit und Compliance der IT-Systemlandschaft bei. Diese Maßnahmen minimieren Compliance-Risiken und erhöhen die Gesamtsicherheit.

Ziel des Projekts war es, ein Proof of Concept für den Einsatz der SIVIS Suite durchzuführen, um aus bestehenden Rollen neue Businessrollen aufzubauen. Im ersten Schritt erfolgten die Installation und Konfiguration der SIVIS Suite. Darauf aufbauend wurde ein Testfall entwickelt, um die Funktionalität und den Mehrwert der neu erstellten Businessrollen zu überprüfen.

Im Rahmen der Einführung eines S/4HANA-Systems wurde ein konsistentes Berechtigungsdesign entwickelt, das die Einhaltung von Compliance-Anforderungen sicherstellt. Bestehende Berechtigungen wurden, falls erforderlich, in das neue System übertragen. Die Berechtigungsstrukturen wurden an das vereinfachte Datenmodell von S/4HANA angepasst, um eine effiziente und sichere Nutzung zu ermöglichen. Ein besonderer Fokus lag auf der Replikation und Sicherstellung von SoD-Kontrollen (Segregation of Duties) in der neuen Umgebung sowie auf der Bereitstellung eines sicheren Zugriffs für Benutzer. Darüber hinaus wurde der Zugriff auf Daten, die im S/4HANA-System gepflegt werden, im ECC-System eingeschränkt. Um die Datenintegrität und eine Single Source of Truth für Daten zwischen ECC und S/4HANA sicherzustellen, wurden die Berechtigungen entsprechend abgestimmt. Zur Erfüllung von Aufbewahrungsanforderungen wurde gewährleistet, dass alte Daten im ECC weiterhin zugänglich bleiben, ohne dabei die Sicherheit zu gefährden.

Ein IT-Audit offenbarte zahlreiche Schwachstellen bezüglich SAP-Berechtigungen. Die Zielsetzung dieses Projekts bestand darin, in den Bereichen Berechtigungskonzept, Beantragungen von Berechtigungen und Rezertifizierung unterstützend tätig zu sein. Im Rahmen des Projektes wurde: - im Rahmen von Working Sessions ein übergreifendes SAP-Berechtigungskonzept erstellt, - ein Konzept zur Rezertifizierung der Rollenvergaben erstellt, - die Durchführung der Erstrezertifizierung geplant. - ein Proof of Concept für den SIVIS Recertification Manager durchgeführt, - ein Benutzergruppenkonzept für SAP User erstellt. - das Benutzergruppenkonzept wurde dann technisch mithilfe des SIVIS Identity Managers ausgerollt. - eine Bewertung der Formulare zur Bantragung von SAP Rollen durchgeführt. - eine Aktualisierung der negativ bewerteten Formulare koordiniert, - eine Analyse aller externen Nutzer in der SAP Landschaft durchgeführt und - Maßnahmen zur Bereinigung der externen SAP Nutzer koordiniert.

In diesem Projekt wurde ein Kunde bei der Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 unterstützt. Das Ziel war es, ein robustes Framework zu etablieren, um die Informationssicherheit im Unternehmen zu gewährleisten und die Anforderungen der ISO 27001 Norm zu erfüllen. Es wurden umfassende Risikoanalysen durchgeführt, Sicherheitsrichtlinien entwickelt und entsprechende Sicherheitsmaßnahmen implementiert. Zudem wurden die Mitarbeiter des Kunden in Workshops geschult, um die Bedeutung der Sicherheitsmaßnahmen und deren praktische Anwendung zu vermitteln. Durch regelmäßige Audits und die Überwachung der Einhaltung der Richtlinien wurde der Weg zur erfolgreichen Zertifizierung nach ISO 27001 geebnet. Im Rahmen des Projektes wurde ebenfalls die Compliance im Bezug auf den Einsatz von KI diskutiert.

bung Ziel des Projektes war es, die Eignung des SIVIS Authorization Robot für das Redesign von SAP-Berechtigungen einzelner Fachbereiche auf Basis von Künstlicher Intelligenz festzustellen. Durch ein mehrmonatiges Tracing mit den Tools der SIVIS Suite inklusive Tracemonitoring wurden die vorhandenen SAP-Berechtigungen erfasst. Anschließend wurde eine Datenanalyse durchgeführt und mit Hilfe von KI ein maßgeschneidertes Berechtigungskonzept erstellt. Dieses Berechtigungskonzept wurde dann technisch in die SAP- Landschaft übertragen und nach einigen manuellen Nacharbeiten und Tests zur produktiven Nutzung durch den Fachbereich freigegeben.

Im Rahmen dieses Projekts wurde die SIVIS Suite eingeführt, bestehend aus den Modulen Identity Manager, Role Manager, Password Manager und Emergency Manager. Ziel war der Aufbau einer zentralen Plattform für das Berechtigungsmanagement sowie die strukturierte Vorbereitung der Berechtigungsmigration nach S/4HANA. Der SIVIS Identity Manager diente als zentrale Komponente für das unternehmensweite Identity Management. Er ermöglicht eine rollenbasierte, workflowgestützte Vergabe und Verwaltung von Benutzerkonten sowie eine durchgängige Automatisierung von Genehmigungsprozessen. Ein weiterer Schwerpunkt lag auf dem Einsatz des SIVIS Emergency Managers zur Einführung eines kontrollierten Privileged Access Managements. Temporäre administrative Zugriffe können revisionssicher beantragt, genutzt und dokumentiert werden. Der SIVIS Password Manager stellt eine Self-Service-Plattform bereit, über die Anwender ihre SAP-Kennwörter eigenständig zurücksetzen können – ein wesentlicher Beitrag zur Entlastung des Supports. Die Umsetzung erfolgte im Coaching-Format. Zentrale Ansprechpartner wurden befähigt, die Lösung eigenständig weiterzuentwickeln. Ergänzend wurde eine Anleitung zur Einführung von SAP Fiori Apps gegeben, inklusive deren Integration in das Berechtigungskonzept.

Das Projekt zielte darauf ab, die ungewollte Einsicht in Spool-Aufträge in SAP zu unterbinden. Nach der vorab durchgeführten konzeptionellen Ausarbeitung einer Lösung wurde eine technische Umsetzung erforderlich. Es wurde eine Konzeptionierung durchgeführt, um den notwendigen Programmieraufwand zu evaluieren.