Geschäftsprozessmodellierung und implementierung am Beispiel SAP ERP Sommersemester 2008 V12 montags, 16:00-17:30 Uhr Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 1 Zur Einstimmung Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 2
Aktuelles IT-Schlamperei lockt Computergauner (02.07.08) http://www.spiegel.de/netzwelt/tech/0,1518,563109,00.html BSI: Lage der IT-Sicherheit in Deutschland http://www.bsi.bund.de/literat/lagebericht/lagebericht2007.pdf Sicherheit - Faktor Mensch https://www.sicher-im-netz.de/files/documents/unternehmen/ 03_03_fibelfaktormensch.pdf SAP AG zum Thema Sicherheit http://www.sap.com/solutions/security/index.epx heise.de zum Thema Sicherheit http://www.heise.de/security/news/ Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 3 Gliederung Sicherheit von Informationssystemen Sicherheit in SAP ERP Sicherheit im Systemumfeld von SAP ERP Evaluation Wiederholung Abschluss der Veranstaltung Fortsetzung der Übungsaufgaben Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 4
Sicherheit von Informationssystemen Wiederholung Informationssystem (IS): Ein IS ist ein soziotechnisches System zur Beschaffung, Verarbeitung, Übertragung, Speicherung und/oder Bereitstellung von Informationen. Sicherheit eines ERP-Systems: Ein ERP-System unterstützt die Geschäftsprozesse eines Unternehmens. Informationen und Informationsverarbeitung sind heute ein wichtiger strategischer Erfolgsfaktor im Wettbewerb. Ein ERP-System enthält schützenswerte und sensible Daten. Sicherheitsproblem: 100% Sicherheit gibt es nicht. Es gilt, Risiken zu minimieren. Sicherheit ist ein Optimierungsproblem, bei dem Effektivität und Effizienz in Einklang gebracht werden müssen. Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 5 Sicherheit von Informationssystemen Definition: Sicherheit ist ein geplantes Ausmaß (Soll- Sicherheit) bzw. vorhandenes Ausmaß (Ist-Sicherheit) an Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit. Vertraulichkeit: Unbefugte Zugriffe auf Daten oder Systeme sind ausgeschlossen. Integrität: Die Daten sind korrekt, aktuell, vollständig und konsistent. In den Anwendungen sind keine falschen, unvollständigen oder vorgetäuschten Abläufe von Programmen möglich. Verfügbarkeit: Es besteht keine Beeinträchtigung der Funktionalität der Anwendungen; Daten und Systeme stehen zur Verfügung. Verbindlichkeit: Ein Nachweis eingegangener Verpflichtungen ist möglich. Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 6
Beispiel: Vertraulichkeit Gefährdung der Vertraulichkeit: innerhalb von SAP ERP: Fehler bei der Vergabe der Berechtigungen, fehlerhaftes Customizing, fehlerhafte SAP-Programme bei der Datenübertragung zwischen Systemkomponenten: unverschlüsselte Datenübertragung (über TCP/IP), Man-in-the-Middle-Attack, Spoofing außerhalb des SAP-ERP-Systems: kriminelle Energie der eigenen Mitarbeiter, mangelnde Sorgfalt, menschliches Versagen, organisatorische Mängel, mangelnde Sicherheit von Räumen und Gebäuden Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 7 Mögliche Gefahren... Unbefugte Zugriffe auf System, Systemfunktionen, Daten oder Datenübertragung (über Netzwerke/Internet) Nachlässigkeit, mangelnde Sorgfalt im Umgang mit Sicherheitsvorschriften, mangelnde Maßnahmenakzeptanz, Unkenntnis, menschliches Versagen Verändern, Ergänzen, Duplizieren, Löschen von Daten, Manipulation von Anwendungen/Programmen Technische Defekte, Programmfehler Computerviren Sabotage, Denial-of-Service Katastrophen... [vgl. z.b. Hoppe/Prieß 2003] Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 8
Relevanz der IT-Sicherheit (1) BSI-Veröffentlichung Die Lage der IT-Sicherheit in Deutschland 2007 IT-Sicherheit wird von IT-Verantwortlichen in deutschen Unternehmen weiterhin als vorrangig bezeichnet Budgets für IT-Sicherheit spiegeln das nicht wieder nur ein technisches Problem? Quelle: BSI 2007, S. 15 (dort 12 Gefahrenbereiche) http://www.bsi.de/literat/lagebericht/index.htm Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 9 Relevanz der IT-Sicherheit (2) Capgemini-Studie IT-Trends 2008 Sicherheit bleibt klar wichtigstes Thema interne Risiken dominieren Quelle: Capgemini 2008 http://www.at.capgemini.com/m/at/tl/it-trends_2008.pdf Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 10
Gliederung Sicherheit von Informationssystemen Sicherheit in SAP ERP Sicherheit im Systemumfeld von SAP ERP Evaluation Wiederholung Abschluss der Veranstaltung Fortsetzung der Übungsaufgaben Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 11 Authentifizierung in SAP ERP Möglichkeiten zur Authentifizierung: Spezifisches Wissen Besitz einer Sache Charakteristische Merkmale SAP-ERP-Standard zur Authentifizierung: Benutzername und Passwort Daten im Benutzerstamm: Adresse, Festwerte, Parameter Logon-Daten: Kennwort, Benutzergruppe, Benutzertyp Rollen, Profile Kennworte werden nur als Hashwerte gespeichert. Spezielle Gefahren: Dictionary-Angriffe, Maskierung Authentifizierung ist Grundlage der Autorisierung Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 12
Autorisierung in SAP ERP (1) Steuerung der Berechtigungsverwaltung auf Applikationsebene Prüfung von Berechtigungen beim Transaktionsaufruf und beim Zugriff auf geschützte Objekte Eine Berechtigung bezeichnet das konkrete Zugriffsrecht eines Subjekts auf ein Objekt. Berechtigungsobjekte in SAP ERP sind Zusammenstellungen von Feldern, die bei der Berechtigungsprüfung benötigt werden. Eine Berechtigung in SAP ERP entspricht einem Berechtigungsobjekt mit konkreten Feldwerten, z.b. Material anzeigen in Werk 1000 Material anlegen, ändern und anzeigen in Buchungskreis 1000 Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 13 Autorisierung in SAP ERP (2) Berechtigungsprofile sind Zusammenstellungen von Berechtigungen und bilden die technische Sicht auf die SAP-ERP-Autorisierung. Rollen (bzw. Aktivitätsgruppen) stellen eine betriebswirtschaftliche Sicht auf die SAP-ERP- Autorisierung dar, die sich an betriebswirtschaftlichen Funktionen (bzw. Transaktionen in SAP ERP) orientiert. Bei der Erstellung einer Rolle wird ein zugehöriges Profil mit allen benötigten Berechtigungsobjekten generiert. Die zulässigen Feldwerte werden teilweise automatisch, teilweise manuell hinterlegt. Benutzern werden Berechtigungen i.d.r. indirekt über eine Zuordnung von Benutzern zu Rollen vergeben. Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 14
Autorisierung in SAP ERP: Beispiel Der Nutzer, dem dieses Beispielprofil zugeordnet ist, kann z.b. Materialstämme aller Werke anzeigen, aber nur in einem Buchungskreis (1000) Material anlegen. Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 15 Autorisierung im Überblick MM01 VA01 XK01... Benutzer Rolle (enthält alle Transaktionen, spezifiziert das Benutzermenü) Profil (enthält die Berechtigungen) Benutzerverwalter: Pflege der Benutzerstammsätze Aktivierungsverwalter: Zuordnung von Nutzern zu Rollen und Profilen Benutzeradministration/Berechtigungsvergabe: Berechtigungsverwalter: (Rollen und) Profile pflegen Trennung von kritischen Funktionen (4-Augen- bzw. 6-Augen-Prinzip) Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 16
Kryprographie Kryptographie? SAP-Standard: keine Verschlüsselung (Ausnahme: gespeicherte Benutzerkennworte (Hashwerte)) Lösung der SAP: Schnittstellen für externe Verschlüsselungssoftware SNC und SSF Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 17 Verschlüsselungsschnittstellen (1) Secure Network Connection (SNC): - implementiert in der Basisschicht (für die SAP-ERP- Anwendungen transparent) - Schutz der Kommunikation zwischen Rechnern der Präsentations- und der Applikationsebene - Schutz der Integrität durch Prüfsummen, Verschlüsselung der Datenübertragung, Single Sign On Secure Store and Forward (SSF): - implementiert in der Basisschicht, aber Einbindung in SAP-ERP-Anwendungen je nach Funktion nötig - Verschlüsselung von Datenbankeinträgen, Dateien, digitale Signatur (Dateien oder Vorgänge), digitaler Umschlag Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 18
Verschlüsselungsschnittstellen (2) SSF PC-Frontends SSF SNC SNC SNC SNC SNC ERP-Applikationsserver SSF SAP-ERP- Datenbank (RDBMS) Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 19 Gliederung Sicherheit von Informationssystemen Sicherheit in SAP ERP Sicherheit im Systemumfeld von SAP ERP Evaluation Wiederholung Abschluss der Veranstaltung Fortsetzung der Übungsaufgaben Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 20
Systemumfeld Ausgewählte Aspekte der Sicherheit im Systemumfeld eines SAP-Systems: Datenbank: Benutzer, Berechtigungen, Backup, Hochverfügbarkeit Betriebssystem: Benutzer, Berechtigungen Netzsicherheit: Firewallsysteme, Paketfilter Smartcards organisatorisch: Sicherheitsbeauftragter, 4-Augen- Prinzip, Kontrollen, Konzepte, Notfallmaßnahmen Information des Personals, Schulungen, Akzeptanz der Maßnahmen Sicherung von Räumen und Gebäuden Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 21 Sicherheitskonzept Ein Sicherheitskonzept konkretisiert die Sicherheitspolitik des Unternehmens übersetzt die (strategischen) Sicherheitsziele in (operative) Maßnahmen bezieht sich auf konkrete Sicherheitsaspekte und Gefährdungen der Sicherheit ist der Kern eines ganzheitlichen, unternehmensspezifischen Sicherheitsmanagements Ziele der Erstellung eines Sicherheitskonzepts Identifikation bestehender Risiken Prävention: Schadensvermeidung statt Schadenskorrektur Abstimmung der Sicherheitsmaßnahmen Reduzierung der Risiken auf tolerierbares Restrisiko Erreichung des geplanten Sicherheitsniveaus Basis für Wirksamkeitskontrolle und Kontrolle der Zielerreichung Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 22
Sicherheitsleitfäden SAP ERP Central Component Sicherheitsleitfaden Technische Systemlandschaft Benutzerverwaltung und authentifizierung Berechtigungen Netzwerk- und Kommunikationssicherheit Sicherheit der Datenablage Sicherheit für Anwendungen externer Hersteller oder zusätzliche Anwendungen Trace- und Protokolldateien Weitere Sicherheitsleitfäden für andere SAP- Produkte, NetWeaver, Mobile Infrastructure, Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 23 Gliederung Sicherheit von Informationssystemen Sicherheit in SAP ERP Sicherheit im Systemumfeld von SAP ERP Evaluation Wiederholung Abschluss der Veranstaltung Fortsetzung der Übungsaufgaben Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 24
Gliederung Sicherheit von Informationssystemen Sicherheit in SAP ERP Sicherheit im Systemumfeld von SAP ERP Evaluation Wiederholung Abschluss der Veranstaltung Fortsetzung der Übungsaufgaben Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 25 Gliederung Sicherheit von Informationssystemen Sicherheit in SAP ERP Sicherheit im Systemumfeld von SAP ERP Evaluation Wiederholung Abschluss der Veranstaltung Fortsetzung der Übungsaufgaben Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 26
Organisatorisches Klausur: Montag, 21.07.08, 16:30-17:30 Uhr, Raum VII-002 (Aushänge beachten); zwei aus drei Aufgaben (eine Pflichtaufgabe) Teilnahmebescheinigung: nach Anwesenheit und erfolgreicher Teilnahme an der Klausur; abzuholen voraussichtlich im August im IWI-Sekretariat zu den üblichen Sprechzeiten Der Systemzugang steht auch während der vorlesungsfreien Zeit im CIP (je nach Öffnungszeit) zur Verfügung. Im folgenden Semester wird ein Aufbaukurs angeboten. Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 27 Abschluss der Veranstaltung (I) Die Entscheidung eines Unternehmens, welche Software zur Unterstützung der Geschäftsprozesse eingesetzt wird, ist eine langfristige Entscheidung. In der betrieblichen Praxis haben SAP-Endanwender, Mitarbeiter in IT-Serviceabteilungen oder zentren, SAP- Berater sowie SAP-Administratoren heute mit vielen verschiedenen SAP-Systemen unterschiedlichster Releasestände zu tun, die nicht immer auf dem technisch neuesten Stand (SAP ERP, R/3-Enterprise) sind. Die betriebswirtschaftlichen Anwendungen sowie die grundsätzliche Funktionsweise der SAP-Software sind längerfristig konstant als die technische Realisierung. Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 28
Abschluss der Veranstaltung (II) Vorteile von SAP ERP (eine Auswahl): funktional mächtigste betriebswirtschaftliche Standardsoftware hohe Zuverlässigkeit aufgrund langjähriger Praxiserprobung sehr hohe Leistungsfähigkeit Benutzerfreundlichkeit (?) Internationalität Nachteile von SAP ERP (ebenfalls eine Auswahl): sehr große Komplexität Kosten (?) Benutzerfreundlichkeit (?) Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 29 (Fast am) Ende der Veranstaltung... Viel Erfolg bei den Klausuren!!! Optional für jetzt: Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 30
Gliederung Sicherheit von Informationssystemen Sicherheit in SAP ERP Sicherheit im Systemumfeld von SAP ERP Evaluation Wiederholung Abschluss der Veranstaltung Fortsetzung der Übungsaufgaben Dipl.-Ök. A. Prieß / C. Schubert / H. Schömburg Sommersemester 2008 Veranstaltung 12 Folie 31