Warum Geld für Security ausgeben?
Autor: Tobias Harmes | 25. Oktober 2019
Die einen wollen die SAP Security verbessern – die meisten wollen aber wohl einfach in Ruhe arbeiten können. Wie kann ich die Security Awareness und Akzeptanz für Security-Maßnahmen steigern? Wie bekomme ich mehr Geld und Budget für Security? Ich spreche mit Luca Cremer, Fachbereichsleiter der Consulting-Einheit RZ10 Security von mindsquare.
Episode
… auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
Warum sollte ich Geld für Security-Maßnahmen ausgeben?
Für den Budget-Verantwortlichen muss klar ersichtlich sein, was genau hinter diesen Maßnahmen steht. Das ist dann die Aufgabe von dem Berater zu erklären, was genau die Maßnahme bringt und warum sie wichtig ist. Hier steht und fällt die Akzeptanz für Security (und damit auch die Bereitschaft für mehr Budget) mit der richtigen Kommunikation.
Welche Gedanken muss man sich hinsichtlich Kommunikation machen?
Beispielsweise bei der Neuvergabe von Berechtigungen ist es so, dass Anwendern neue – meist weniger – Berechtigungen erhalten. Dies ist gewissermaßen eine Einschränkung für den Benutzer, auch wenn er die Berechtigungen vorher nie genutzt hat. Dann muss man sich klar machen, was es für Auswirkungen auf die verschiedenen Personen hat. Es muss klar sein, dass ein Re-Design nicht dazu da ist, um jemanden etwas wegzunehmen, womit er ständig arbeitet, sondern um das Sicherheitsrisiko zu verringern.
Wie reagieren User auf die „Wegnahme“ von Transaktionen?
Zum Teil ist es so, dass wenn wir User eine Transaktionsliste vorlegen, sie häufig die Liste mit der jetzigen vergleichen. Dann wollen sie natürlich ihre jetzigen Transaktionen behalten oder auch neue Add-Ons dazubekommen, weil man diese mal gebrauchen könnte. In diesem Fall muss man als Berater natürlich sauber dagegen argumentieren und erklären, was für ein Plan hinter der Liste steckt.
Wie kann ich knifflige Situationen entschärfen?
Zunächst einmal versuchen es gar nicht so weit kommen zu lassen, dass User auf das Projekt zukommen und fragen, was diese Wegnahme soll. Dieses Entschärfen geschieht im Strategieworkshop und Kickoff. Da legen wir die Gruppen fest und definieren passende Maßnahmen, mit denen wir die Gruppen im Vorhinein abholen können. Dies funktioniert nur in Zusammenspiel mit dem Kunden, der mitwirkt, und einem Sponsor, der das Projekt befürwortet. Wenn es allerdings doch dazu kommen sollte, erklären wir, warum den Anwendern Transaktionen weggenommen werden.
Wie hole ich mir internen Rückenwind?
Am Anfang sprechen wir vor allem mit Personen aus der Berechtigungsabteilung. Meist ist es der Fachbereichs- oder Abteilungsleiter im Bereich Security. Dies ist auch in den meisten Fällen der Sponsor, der dahintersteht und das Projekt befürwortet. Mit ihm werden die Gruppen identifiziert, die es zu überzeugen gilt. Derjenige, der für das Budget verantwortlich ist, muss natürlich schon vor dem Projekt überzeugt werden. Es ist also wichtig, dass es jemanden gibt, der von sich aus sagt, dass diese Maßnahmen eine gute Idee ist.
Was läuft der Umgang mit dem Fachbereich?
Wir beziehen den Fachbereich von Beginn des Projektes in die ganze Vorgehensweise ein. Wir nutzen dafür intensiv Workshops mit dem Fachbereich. Dabei lassen wir meist durch den Sponsor erklären, warum das Projekt von Vorteil ist. Dadurch beziehen wir den Fachbereich von Anfang an mit ein und bauen zusammen mit ihm die Rollen auf. Wenn er im Vorhinein verstanden hat, warum das Ganze gut ist und etwas bringt, dann arbeitet er auch gerne mit und trägt dies an die Benutzer usw. weiter.
Wie wird der Sponsor auf seine Rolle als „Botschafter des Projekts“ vorbereitet?
Es wichtig, dass der Sponsor emotional abgeholt wird. Dies kann über standardisierte Vorgehensweisen geschehen. Wir haben verschiedene Assessments von unserem Change-Management, die wir durchführen können. Es gibt eine Checkliste, womit man die verschiedenen Gruppen analysieren kann. Dies geschieht dann im Dialog mit dem Projektverantwortlichen. Wir identifizieren, welche Gruppen es gibt und welche Auswirkungen es auf sie hat.
Was sind das für Gruppen?
Fachbereiche, Key-User, Betriebsrat, etc. Also jeder, der von der Veränderung der Security-Maßnahme betroffen ist oder denkt, dass er davon betroffen ist. Dies sind Leute, die von einem Projekt hören und davon aber keine Einschränkungen haben. Aber dennoch sind sie dagegen, obwohl es sie nicht beeinflusst. Diese Personen sollte man auf jeden Fall ernst nehmen und sofort reagieren, sodass sich kein Missverständnis ausbreitet.
Wie läuft der Umgang mit dem Vorstand bzw. der Geschäftsführung ab?
Als Berater muss man sich in die Lage des Gegenübers hineinversetzen. Der Geschäftsführer möchte natürlich wissen, was er von diesem Projekt genau hat, weil technisch gesehen dadurch nicht mehr produziert wird. Dagegen muss man natürlich auch argumentieren können. Als Beispiel kann man den Wirtschaftsprüfer nehmen, der sagt, dass hohe Kosten fällig werden, wenn diese Maßnahmen nicht durchgeführt werden. Dann kann man den Geschäftsführer mit diesem Kostenvergleich gut überzeugen. Anders kann man auch vorzeigen, dass schützenswerte Daten sehr wahrscheinlich und mit hohem Verlust in die falschen Hände gelangen können. Dadurch werden die entsprechenden Security-Maßnahmen greifbarer. Die Investition ist geringer als das Schadenpotenzial.
Was sind Fehler, die Berater machen können?
Es kann sein, dass die Berater zwar das Richtige ansprechen, aber es nicht verständlich rüberbringen. Als Beispiel: Man sagt, dass eine Person kein SAP_ALL haben darf, aber nicht warum. Es wird nicht erklärt, was daran kritisch ist bzw. das Risiko ist. Im Fall von SAP_ALL können Benutzer unrechtmäßig Transaktionen durchführen und die Ordnungsmäßigkeit der Buchführung untergraben. 80% der Tätigkeit eines Beraters ist auch deswegen nur das Erklären. Ein weiterer Fehler ist fehlende Kommunikation. Wenn nicht von Anfang an mit den einzelnen Zielgruppen gesprochen wird, kann es dazu kommen, dass das Projekt erstmal auf Eis gelegt wird.
Sparen Sie niemals an der Sicherheit
Wir helfen Ihnen dabei, den Security Aspekt in Ihrem System zu erhöhen. Eine Möglichkeit kann ein neues Berechtigungskonzept sein. Für mehr Informationen melden Sie sich kostenlos und unverbindlich.
Wie müssen sich Berater anpassen?
Jede Zielgruppe braucht eine individuelle Argumentation. Beim Single-Sign-On zum Beispiel ist es für den Anwender von Vorteil, dass sie sich nicht überall mit Benutzername und Passwort anmelden muss. Für den Geschäftsführer hingegen hat es eher den Vorteil, dass effizienter gearbeitet werden kann, wenn 50 bis 100 Anfragen pro Monat an die Berechtigungsabteilung gelangen.
Was ist deine Empfehlung in Bezug auf Transparenz?
Die Empfehlung ist, alles offen zu kommunizieren und alles transparent zu halten, denn die Vorteile sollen schließlich auch von allen gesehen werden. Nicht empfehlenswert ist es, den Usern nichts davon zu erzählen, auch wenn es häufig Gegenstimmen oder negative Assoziationen gibt. Denn wenn es offen kommuniziert wird und erklärt wird, was es bringt, machen sie auch bei dem Projekt mit. Außerdem können verdeckte Projekte leicht politisch werden und unter hohen Kosten zum Stillstand gebracht werden.
Wie kann ich die Security Awareness in meinem Unternehmen steigern?
Man könnte natürlich uns als Berater kontaktieren, denn wir unterstützen die Kunden dabei, wie sie an das Thema herangehen können. Dabei können verschieden Maßnahmen ergriffen werden, wie zum Beispiel den SAP Security Check, den SAP Penetration Test oder ein Strategieworkshop. Auch bei diesen Maßnahmen ist natürlich neben der Faktenanalyse vor allem die individuell angepasste Erklärung von Bedeutung.
Danke an Luca Cremer für das Gespräch.
