Bundesamt für Sicherheit in der Informationstechnik

M 2.345 Outsourcing eines SAP Systems

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Beim Outsourcing von SAP Systemen ist Folgendes zu beachten:

  • Die Maßnahmen des Bausteines B 1.11 Outsourcing sind beim Outsourcing-Partner umzusetzen.
  • Besonderes Augenmerk verdient die reibungslose Prozessintegration, damit beispielsweise auch Rückmeldungen vom Outsourcing-Partner zum Outsourcing-Auftraggeber erfolgen. Dies trifft auch auf die Prozesse im Kontext der Benutzer- und Berechtigungsverwaltung zu.
  • Es empfiehlt sich, eine Tabelle mit allen Aufgaben, die für ein SAP System anfallen, aufzustellen. In dieser Tabelle sollte vermerkt werden, welche Aufgaben durch Mitarbeiter des Outsourcing-Partners und welche durch eigene Mitarbeiter durchgeführt werden. Die verantwortlichen Personen sind zu dokumentieren. Die nachfolgende Tabelle ist als unvollständiges Beispiel zu verstehen und muss auf die lokalen Gegebenheiten angepasst werden. Die Aufgaben müssen in der Regel in Unteraufgaben verfeinert werden.
Aufgabe Verantwortlich
Planung des SAP Systems Unternehmen/Behörde
(Outsourcing-Partner jedoch einbeziehen)
Definition des Berechtigungskonzeptes Unternehmen/Behörde
Installation des SAP Systems Outsourcing-Partner
Basis-Konfiguration des SAP Systems Outsourcing-Partner
(mit Vorgaben durch das Unternehmen bzw. der Behörde aus der Planungsphase)
Konfiguration auf Ebene von Modulen oder Applikationen Unternehmen/Behörde
(entsprechend der Vorgaben aus der Planungsphase)
Basis-Administration - Anlegen von Benutzern Outsourcing-Partner
(nach Auftrag durch Unternehmen bzw. Behörde, bei Rollentrennung beim Outsourcing-Partner)
Basis-Administration - Verwalten von Berechtigungen Outsourcing-Partner
(nach Auftrag durch Unternehmen bzw. Behörde, bei Rollentrennung beim Outsourcing-Partner)
Applikationsadministration - Anlegen von Benutzern Unternehmen/Behörde
(nach internem Genehmigungsprozess)
Applikationsadministration - Verwalten von Berechtigungen Unternehmen/Behörde
(nach internem Genehmigungsprozess)
Einspielen von Updates und Patches Outsourcing-Partner

Erläuterungen:

  • In der Regel erfolgt der Betrieb der Rechner und die Basis-Administration des SAP Systems durch den Outsourcing-Partner. Die Applikationsverwaltung und -administration erfolgt in der Regel durch den Outsourcing-Auftraggeber. Es ist zu beachten, dass der Outsourcing-Partner über die applikationsspezifischen (Sicherheits-) Anforderungen informiert wird. Nur so kann eine adäquate Basis-Administration erfolgen.
  • Es sollten regelmäßige Abstimmungen für den Bereich Sicherheit erfolgen. Dabei können geänderte Anforderungen des Outsourcing-Auftraggebers und Vorschläge des Outsourcing-Partners zum Erhöhen der Sicherheit diskutiert werden.
  • Im Rahmen der Risikobetrachtung ist zu bedenken, dass der Outsourcing-Partner volle Kontrolle über die Daten des betriebenen SAP Systems hat. Dies ist aus Sicherheitssicht für alle Behörden und Unternehmen kritisch zu betrachten. Die Verfügbarkeit entsprechender Kontrollen wird beispielsweise auch im Sarbanes Oxley Umfeld geprüft.
  • Werden sensitive Daten verarbeitet, die eine besondere Sorgfaltspflicht implizieren, die sich auch aus gesetzlichen Vorgaben ableiten oder explizit gefordert sind, so muss auch der Outsourcing-Partner entsprechend in die Pflicht genommen werden. Der Outsourcing-Partner muss dann durch eine entsprechende Geheimhaltungsverpflichtung rechtlich gebunden werden.
  • Für die Benutzer- und Berechtigungsverwaltung ist es sinnvoll, dass ein Mitarbeiter des Outsourcing-Auftragnehmers in den Prozess der Berechtigungsplanung eingebunden ist, denn nur so kann der Outsourcing-Partner beispielsweise den applikationsbezogenen Sicherheitsansprüchen Rechnung tragen. Outsourcing-Szenario keine Berechtigungen angesammelt werden können?

Prüffragen:

  • Liegt ein adäquates Outsourcing-Konzept für das SAP System vor?

  • Sind alle Aufgaben und Verantwortlichkeiten beim Outsourcing von SAP Systemen für Auftraggeber und -nehmer klar festgelegt?

  • Ist der Outsourcing-Partner über die applikationsspezifischen (Sicherheits-) Anforderungen informiert?

  • Werden regelmäßige Abstimmungen für den Bereich Sicherheit zwischen dem Outsourcing-Auftraggeber und dem Outsourcing-Partner durchgeführt?

  • Ist gewährleistet, dass der Outsourcing-Auftragnehmer in den Prozess der Berechtigungsplanung eingebunden ist?

Stand: 13. EL Stand 2013