Sicherheit in SuccessFactors

Überblick Sicherheit in SuccessFactors

SuccessFactors ist das SAP HR-System der Zukunft. Das SAP HCM (auch die HANA-Variante) soll bis 2040 abgelöst und komplett durch SuccessFactors ersetzt werden. Wenn Sie also Ihre HR-Daten auch in SAP managen wollen, werden Sie früher oder später auf SuccessFactors wechseln müssen.

Es gibt mehrere Punkte, warum die Sicherheit besonders in einem SuccessFactors System relevant ist:

1. Es handelt sich um eine 100%ige Cloud-Lösung. Der Zugriff zu dem System muss also in speziellen Integrationsszenarien eingeschränkt werden.
2. SuccessFactors dient dazu, all Ihre Personaldaten zu verwalten. Hier liegen auch sehr kritische personenbezogene Daten wie Adressen, Gehälter, Talent-Einschätzungen oder ähnliches. Die rechtlichen Vorgaben der DSGVO sehen eine konforme Zugangsbeschränkung vor.
3. Das Berechtigungsmanagement in Successfactors ist nicht dasselbe, wie Sie es von einem SAP ERP oder auch einem S/4HANA System gewohnt sind. Hier ist neues Wissen Ihrer Mitarbeiter gefragt.

Im Folgenden werde ich einmal auf die wichtigsten Punkte eingehen.

Zugang zu dem SuccessFactors System – Integrationsszenarien

Schon bei der initialen Aufsetzung und Konfiguration des SuccessFactors ist die Sicherheit ein wichtiger Aspekt. Da wir von einem reinen Cloud-System sprechen, welches von der SAP gehostet wird, sind die dort liegenden Daten besonders zu schützen.

Integrationsmöglichkeiten, um Sicherheit in SuccessFactors zu erhöhen

Typischerweise soll die bestehende SAP Systemlandschaft mit dem SuccessFactors-System kommunizieren, um z.B. Personaldaten zwischen dem ERP-On-Premise-System und dem SuccessFactors auszutauschen. Unsere Empfehlung für die Integration sieht z.B. vor, dass das On-Premise-System über eine Checkpoint-Firewall zuerst an einen Proxy weitergeleitet wird. Von dort aus erfolgt eine Zertifikats- & Userprüfung gegen die HCI (HANA Cloud Integration). Dieses wird dann mit einer weiteren Zertifikats- & Userprüfung an die eigentliche SuccessFactors Instanz weitergeleitet.

Allein hier sehen Sie, dass wir bei der Verbindung der zwei Systeme von 3 Firewalls und mehreren Zertifikatsaustauschen und Userprüfungen sprechen. Zudem gilt zu beachten, welche Instanzen der jeweiligen Systeme miteinander gekoppelt werden. Ein ERP-System läuft im Normalfall dreistufig (Entwicklung, Test und Produktion). Ein SuccessFactors System hingegen hat meist nur zwei Stufen (Entwicklung/Test & Produktion). Auch die Kopplung der Systeme untereinander ist wichtig, um keinen unerwünschten Zugang durch weitgehende Berechtigung auf dem SuccessFactors System zu erlauben. Im Testsystem liegen als Erinnerung ebenfalls äußerst kritische Personaldaten.

Wir kennen bereits Fälle, bei denen ein Mitarbeiter die Gehälter seiner Kollegen einsehen konnte. Dieses Wissen nutzte er für seine nächste Gehaltsverhandlung – das lässt sich durch eine saubere Integration von Anfang an vermeiden.

SSO (Single Sign On für SuccessFactors)

Viele Kunden nutzen für die saubere Authentifizierung gegenüber des SuccessFactors-Systems die Single-Sign-On-Lösung. Das kann z.B. über das vorhandene Windows AD angebunden und direkt über das SAP IAS an das SuccessFactors-System weitergeleitet werden.

Wichtige Information: Im Gegensatz zur SAP SSO Lösung für On-Premise-Systeme verlangt die SAP keine zusätzlichen Lizenzkosten für SuccessFactors. Zusätzlich kann das IAS für SAP bei dem Erwerb von SuccessFactors ebenfalls mit genutzt werden.

Hiermit braucht der Benutzer kein zusätzliches Passwort zur Anmeldung an dem System. Im Standard wird SuccessFactors übrigens mit den folgenden Einstellungen für Passwörter ausgeliefert:

• Passwortlänge beträgt mindestens 8 Zeichen
• Das Passwort muss alle 90 Tage geändert werden

Jeder Sicherheitsfanatiker weiß: Eine Regel zur häufigen Veränderung von Passwörtern führt im Endeffekt zu folgendem Ergebnis:

• Monat 1: SuccessFactors!
• Monat 2: SuccessFactors!01
• Monat 3: SuccessFactors!02
• …

SSO erhöht die Sicherheit in SuccessFactors und auch die Komfortabilität der Benutzung also enorm und ist eine dringende Empfehlung von unserem Beratungsteam.

Interne Sicherheit: Berechtigungen in SuccessFactors?

Meine Kollegen von unserem Personalbereich haben bereits einen Beitrag zu den Berechtigungen in SuccessFactors verfasst: Activate HR – SuccessFactors Berechtigungen.

Ich gebe Ihnen hier einen kurzen Überblick:

Grundsätzlich unterscheidet sich die Berechtigungsvergabe enorm von der bekannten PFCG im SAP-ERP-System. In SuccessFactors gibt es drei Kernbestandteile des Berechtigungswesens:

1. Permission Groups
2. Permission Roles
3. Target Population

Kurz gesagt kann in SuccessFactors also definiert werden, welche Benutzergruppe (Permission Group) welche Berechtigungen (Permission Roles) für welche Mitarbeiter (Target Population) hat.

Als einfaches Beispiel, um das etwas plastischer darzustellen, nehmen wir das folgende:

Alle Mitarbeiter mit Führungsverantwortung dürfen für ihre direkt unterstellten Mitarbeiter die Gehaltsdaten einsehen.

Webinar: Wie kann ich SAP einfach in meine IT-Security integrieren?

Im Webinar erhalten Sie einen Überblick, wie Sie SAP in Ihre IT Security integrieren können und welche Tools dabei unterstützen können.

Jetzt anmelden!

Spannend an dieser Stelle ist, dass SuccessFactors nach jedem Login die Berechtigungen überprüft. Hat also ein ehemaliger Manager mit Führungsverantwortung ab einem gewissen Zeitpunkt keine Mitarbeiter mehr unter sich, fällt er automatisch aus der entsprechenden Permission Group heraus. Demnach hat er keine erweiterten Berechtigungen, die nur für die vorgesehene Benutzergruppe vergeben wurde.

Wenn also das Berechtigungskonzept einmal sauber definiert ist, ist die anschließende Handhabung im Betrieb mit einem deutlich geringeren Aufwand umzusetzen, als z.B. in einem SAP-ERP-System.

Haben Sie Fragen oder Anmerkungen zu den hier erwähnten Inhalten? Ich freue mich über einen entsprechenden Kommentar!