Die Mobiliar
privilegierte SAP Zugriffsrechte mit dem itesys Firefighter
Die führende Schweizer Versicherungsgesellschaft Mobiliar suchte nach einer Lösung, um die Vergabe temporär privilegierter Zugriffsrechte in ihrer SAP-Systemlandschaft zu vereinfachen und die Aktionen der privilegierten User für Audits besser zu kontrollieren und zu dokumentieren.
Die Mobiliar
Die Mobiliar: Älteste private Schweizer Versicherungsgesellschaft
Die Schweizerische Mobiliar Versicherungsgesellschaft AG – Markenname «Die Mobiliar» – wurde 1826 in Bern gegründet und ist damit die älteste private Versicherungsgesellschaft der Schweiz. Das genossenschaftlich verankerte Unternehmen ist heute die Nummer 1 für Haushalts-, Rechtsschutz-, Betriebs-, Mietkautions- und Risiko-Lebensversicherungen. Es beschäftigt rund 6’300 Mitarbeitende und erzielte 2022 einen Gewinn von 311 Mio. Schweizer Franken, wobei die Versicherten mit CHF 195 Mio. am Unternehmenserfolg beteiligt wurden. Die SAP-Systemlandschaft der Mobiliar wurde in den letzten Jahren fast vollständig zu S/4HANA migriert. Für die fortschrittliche IT-Strategie wurde das Unternehmen 2022 mit dem «SAP Quality Award» in der Kategorie «Business Transformation» ausgezeichnet.
Das war die Herausforderung
Im Alltagsgeschäft der Mobiliar gibt es Situationen, in denen SAP-User notfallmässig mit erweiterten Berechtigungen ausgestattet werden müssen. Etwa wenn Änderungen direkt auf einer Datenbank ausgeführt werden müssen oder wenn ein Support-Mitarbeiter nicht über die gleichen Berechtigungen wie eine Business Userin verfügt und darum ein Problem im Produktivsystem nicht nachvollziehen kann. Felix Meier, der im IT-Team der Mobiliar für diese Thematik zuständig ist, erklärt:
«Wir nutzen das SAP Identity Management IdM und hatten bereits in der Vergangenheit eine Firefighter-Lösung im Einsatz und entsprechende Notfallprozesse für privilegierte Zugriffsrechte definiert. Im Rahmen eines periodischen Audits wurde kritisiert, dass die bestehende Lösung die Systemzugriffe der temporär berechtigten User nicht vollständig protokolliert und revisionssicher speichert. Die ungenügende Nachvollziehbarkeit hat uns dazu bewogen, eine neue, leistungsfähigere Firefighter-Lösung zu evaluieren.»
So haben wir das gelöst
Die Experten von itesys unterstützten die Mobiliar bereits im SAP Basis Support und machten auf den itesys Firefighter aufmerksam. Mit diesem von itesys entwickelten Tool kann der gesamte Notfallprozess zentral im SAP IdM gesteuert und kontrolliert werden. User loggen sich per Single Sign-On in den itesys Firefighter ein und können in einer übersichtlichen Eingabemaske die benötigten erweiterten Benutzerrechte beantragen. Der zugrundeliegende Issue muss zwingend beschrieben werden.
Anschliessend werden per E-Mail die Login-Informationen für das gewünschte System zugestellt. Beim Login des Users wird automatisch ein Trace gestartet, der sämtliche Aktionen im Zielsystem erfasst und in einem Log-File im IdM revisionssicher protokolliert. Beim Log-out wird die Berechtigung automatisch wieder entzogen, der Trace beendet und der User aus der Session abgemeldet. Der IT-Admin wird per E-Mail über jede temporär erteilte privilegierte Berechtigung informiert und auch wieder, wenn die Session beendet ist. Bei Bedarf können zusätzliche Autorisierungsschritte in den Prozess eingebaut werden. Privilegierte SAP-Berechtigungen können lückenlos überwacht und Compliance-konform verwaltet werden. Somit sind sowohl Business Continuity als auch Sicherheit gewährleistet – ein echter Mehrwert für die Mobiliar.
Davon schwärmt der Kunde
Felix Meier sieht den grössten Vorteil des itesys Firefighters in der engen IdM Integration: «Wir können jetzt zentral im SAP IdM den gesamten Notfallprozess von der Vergabe bis zur Auswertung steuern und kontrollieren. Bei einer Revision müssen die Informationen nicht mehr aus mehreren Tools zusammengezogen werden. Alles ist übersichtlich und auditkonform im IdM gespeichert und sofort zur Hand.»
Der Verantwortliche lobt auch die Professionalität und Flexibilität von itesys bei der Implementierung des Tools: «Wir hatten kleinere Zusatzwünsche bei der Eingabemaske, die prompt von itesys aufgenommen und umgesetzt wurden.» Mit dem itesys Firefighter ist die Mobiliar für alle Eventualitäten gerüstet, denn das Tool kann auch mit Non-SAP-Systemen verwendet werden, sofern diese mit dem SAP IdM verbunden sind. Das Grossunternehmen nutzt den itesys Firefighter on-premise. Alternativ bietet itesys das praktische Add-on auch als Service an, wobei es keine Rolle spielt, ob der Kunde das SAP IdM bei sich im Einsatz hat oder nicht.
itesys Services
Schweizerische Mobiliar Versicherungsgesellschaft AG | Bundesgasse 35 | 3001 Bern
www.mobiliar.ch
Beratung und Analyse
Implementierung itesys Firefighter und Konfiguration des SAP IdM
Instruktion des IT-Teams
Vergabe von Rollen an die User zur Beantragung einer Firefighter Session
Bereitstellung von Admin-Rollen zur Administration der Firefighter-Lösung
Resultate
Einfache Beantragung und Vergabe temporärer dedizierter privilegierter Berechtigungen
Automatisierte Prozesse von der Genehmigung (Vier-Augen-Prinzip) privilegierter Berechtigungen bis zum Entzug
Lückenlose Protokollierung und Überwachung privilegierter Systemzugriffe auf kritische Aktivitäten
Compliance- und auditkonforme Dokumentation der Aktivitäten privilegierter User
Zentrale Speicherung der Log Files im SAP IdM und damit einfache Verfügbarkeit bei Revisionen
Verbesserter Schutz der SAP- und Non-SAP-Systeme
Unkomplizierte Anpassung an individuelle Anforderungen bei der Implementierung (Customizing)
Mit dem itesys Firefighter können wir den gesamten Notfallprozess von der Vergabe der privilegierten Berechtigungen bis zur Auswertung zentral im SAP IdM steuern und lückenlos kontrollieren. Das freut auch unsere Auditoren.
Felix Meier, Product Owner SAP Shared Services, Schweizerische Mobiliar Versicherungsgesellschaft AG