Inhaltsverzeichnis

Inhaltsverzeichnis.......................................................................................................................   2

Abk  ürzungsverzeichnis  3

1  Einführung.  4

2  Risiken und Kontrollen  5

2.1  Legale Risiken.  6

2.2  Organisatorische Risiken.  7

2.3  Personelle Risiken  7

3  Anwendungssicherheit im ESS  8

3.1  Rollenkonzept.  8

3.2  Transaktionen  9

3.3  Berechtigungskonzept  9

4  Technische Sicherheit  10

4.1  Betriebssystem, Browser und SAP GUI  10

4.2  Netzwerk und Protokolle.  12

4.3  Kernkomponenten eines SAP-Systems  13

5  Zusammenfassung und Ausblick  15

Literaturverzeichnis  und online-Quellen.  16

2

Abkürzungsverzeichnis

ABAP Advanced Business Application Programming B2E Business to Employee BDSG Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Artikel 1 des Gesetzes vom 22. August 2006 (BGBl. I S. 1970) bzw. beziehungsweise DSB Datenschutzbeauftragter ESS Employee Self Service GUI Graphical User Interface HR Human Resources IT Informations Technologie o.ä. oder ähnliches PDA Personal Digital Assistent SAP SAP AG, Walldorf SNC Secure Network Communications sog. so genannt SQL Structured Query Language SSL Secure Sockets Layer u.a. unter anderem vgl. vergleiche z.B. zum Beispiel

3

1 Einführung

Unter steigendem Kosten- und Qualitätsdruck geben immer mehr Unternehmen indirekte Funktionen wie die Routinearbeiten im Zusammenhang mit der Personalverwaltung, an die eigenen Mitarbeiter weiter. Die Erfassung der Informationen wird somit von der Person mit der höchsten Kompetenz erledigt, dem Mitarbeiter selbst. ¹ Die elektronische Kommunikationsbeziehung des Unternehmens und der Mitarbeiter wird Business to Employee (B2E) genannt. ² Die Plattform, die diesen digitalen Prozess ermöglicht, nennt man Employee Self Service (ESS). Frei übersetzt bedeutet dieser englische Begriff „Arbeitnehmer-Selbstbedienung“. Mit der Funktionalität des ESS wird die Abfrage, Eingabe und Pflege persönlicher Daten den Mitarbeitern übertragen. Die Personalabteilung wird somit von zeitintensiven Erfassungsaufgaben entlastet. Des Weiteren werden durch den Zugriff der Mitarbeiter auf eigene Daten und Prozesse der Personalwirtschaft die Abläufe der Personaladministration vereinfacht, beschleunigt und vereinheitlicht.

In dieser Arbeit wird speziell auf das ESS Modul der SAP AG, Walldorf, (im Folgenden SAP genannt) eingegangen. Mit SAP HR (Human Resources) bietet die Firma SAP eine globale Lösung im Hinblick auf die differenzierten Anforderungen der Personalmanagementprozesse an. Die Möglichkeiten erstrecken sich über die Bereiche der Personalgewinnung,entwicklung und -administration, Zeitwirtschaft, Organisationsmanagement,

Personalabrechnung, -controlling sowie -information. ³ Speziell im ESS Modul werden u.a. folgende Dienste angeboten: Erstellung, Abgabe und Änderung eines Urlaubs- oder Reise-Antrages, Änderung der eigenen Bankverbindung sowie die Anforderung eines Entgeltnachweises. ⁴ Diese weit reichenden Möglichkeiten der einzelnen Mitarbeiter beinhalten aber auch die Gefahr des Missbrauches oder der Manipulation. Daher ist es unerlässlich, die Sicherheitsaspekte eines ESS Systems zu betrachten.

Im Verlauf dieser Hausarbeit wird zunächst auf die Risiken der ESS Funktionalität von SAP eingegangen. Im Folgenden wird die Anwendungssicherheit erläutert und abschließend werden die technischen Möglichkeiten aufgezeigt, Sicherheit zu gewährleisten.

¹ vgl. http://www.flexible-unternehmen.de/kl0905.htm, Stand 16.01.2007.

² vgl. http://de.wikipedia.org/wiki/B2E, Stand 14.1.2007.

³ vgl. http://www.cce-ag.ch/images/MARK_A_050731_09_A_Factsheet_SAP_HR.pdf, Stand 14.1.2007.

⁴ vgl. http://www-935.ibm.com/services/de/igs/pdf/br-ebusin-wissen-9.pdf, Stand 14.1.2007.

4

2 Risiken und Kontrollen

Die Feststellung der in der Funktionalität des ESS enthaltenen inhärenten Risiken kann im Rahmen einer sog. Schutzbedarfsanalyse erfolgen. Zweck der Schutzbedarfsfeststellung ist die Ermittlung eines ausreichenden und angemessenen Schutzes der Informationen und der eingesetzten Informationstechnik. ⁵ Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Verfügbarkeit, Vertraulichkeit oder Integrität entstehen können. Wichtig ist dabei, die möglichen Folgeschäden realistisch einzuschätzen. Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien "normal", "hoch" und "sehr hoch". ⁶ In Verbindung mit der Nutzung des ESS stellen sich folgende allgemeingültige Risiken heraus: 7

• Verfügbarkeitsrisiko: Die Verfügbarkeit von Systemen, Informationen und personenbezogener Daten muss sichergestellt sein. Dies ist der Fall, wenn Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder auch Informationen den Benutzern stets im festgelegten Rahmen zur Verfügung stehen. Mögliche Unterbrechungen, Störungen und Ausfälle sind auf ein Minimum zu reduzieren.

• Vertraulichkeitsrisiken bestehen in der Form, dass Informationen oder personenbezogene Daten von unberechtigten Nutzern eingesehen werden können oder veränderbar sind. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

• Integritätsrisiken bezeichnen die Gefahr fehlerhafter oder widersprüchlicher Ergebnisse, die mittels Funktionen oder Abfragen erstellt werden. Hierbei wird der Begriff der Integrität als Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen bezeichnet. 8

Diese Risiken führen bei positivem Eintritt fast immer zu finanziellen Einbußen. Des Weiteren ergeben sich bei Einsatz des ESS Moduls auch spezielle Risiken (legale, organisatorische und personelle Risiken) auf die im Folgenden näher eingegangen wird.

⁵ vgl. Linkies, M./Off, F. (2006), S. 32.

⁶ vgl. http://www.bsi.bund.de/gshb/deutsch/download/itgshb_2005.pdf, Stand 14.1.2007.

⁷ vgl. Seibold, H. (2006), S. 29.

⁸ vgl. http://www.bsi.bund.de/gshb/deutsch/download/itgshb_2005.pdf, Stand 14.1.2007.

5