In einer wegweisenden Entscheidung stellte SAP am 1. August seine umfassenden ethischen Richtlinien für die Entwicklung und den Einsatz von generativer KI und Business-AI-Anwendungen vor. Diese Aktualisierung d...
Danielle Larocca, Senior Vice President HCM Lösungen, ist seit über 20 Jahren im SAP HCM-Bereich tätig. Als SAP Mentorin und Referentin auf zahlreichen Konferenzen hat Larocca vier Bestseller-Bücher über SAP geschrieben, ist technische Redakteurin des SAP Professional Journal und oft die Stimme für die „SAPInsider's Ask the Expert“ Serie für HR.
In den Nachrichten wird viel über Hacker, Betrüger und Ransomware berichtet – das Thema Datensicherheit steht ständig im Vordergrund. Der Schutz von Mitarbeiterdaten ist ein entscheidender Aspekt für alle, die in den Bereichen Personalwesen und Personalabrechnung tätig sind. Gesetze und Rechtsvorschriften – wie die DSGVO und der HIPAA – sind von Land zu Land unterschiedlich. Aber auch unabhängig von Gesetzen ist es eine verständliche Forderung, das Recht von Mitarbeitern auf Datenschutz zu wahren.
Oftmals sind Sicherheitslücken bei Mitarbeiterdaten auf menschliches Versagen zurückzuführen, wie dieses bekannte Beispiel von vor ein paar Jahren zeigt: Personalbuchhaltungsfirma entschuldigt sich für versehentliche Veröffentlichung von Sozialversicherungsnummern. In anderen Fällen geht es um böswillige Angriffe mit dem Motiv, ein Unternehmen anzugreifen und Identitäten seiner Mitarbeiter zu stehlen.
Unabhängig von der Absicht ist es unabdingbar, die Sicherheit wichtigen Personal- und Entgeltabrechnungsdaten zu gewährleisten. Für Unternehmen, die SAP® oder SAP SuccessFactors einsetzen, sind folgende wichtige Punkte zu beachten.
Ganz gleich, ob Sie SAP oder SAP SuccessFactors verwenden, möglicherweise befinden sich Ihre Daten in mehr als einer Umgebung. Oft brauchen Kunden aktuelle Daten in nicht-produktiven Instanzen oder in Mandanten zu Test-, Support- oder Trainingszwecke. Das ist eine Schwachstelle, weil die Kontrollen in nicht-produktiven Umgebungen sich von denen in der Produktion unterscheiden können. Unternehmen aktualisieren oft Daten aus einer Umgebung in eine andere Umgebung und darunter können auch sensible Mitarbeiterdaten sein. In diesen Fällen benötigen Sie einen Mechanismus zur sicheren Übertragung dieser Daten und eine geeignete Anonymisierung in SAP- oder hybriden SAP SuccessFactors Umgebungen. Wir helfen Ihnen dabei, Ihre sensiblen Daten mit der Produktsuite Data Sync Manager (DSM) for HCM sicher zu übertragen. Die einzige Voraussetzung ist, dass Sie bereits eine SAP-zertifizierte Lösung nutzen.
Der primäre Speicherort von vielen grundlegenden Mitarbeiterdaten ist einfach festzustellen. Zum Beispiel: Wir wissen, dass das Feld Geschlecht in SAP in Infotyp 0002 Daten zur Person und in SuccessFactors Employee Central im Mitarbeiterprofil gespeichert ist. Wir müssen aber auch an alle Punkte denken, wo Daten weitergegeben werden – etwa Reports, Schnittstellen und Spooldateien – und dafür sorgen, dass Daten auch dort sicher sind. Entscheidend ist, alle diese Punkte zu kennen. Eine Möglichkeit zum Schutz Ihrer Daten ist, darauf zu achten, dass die verwendeten Lösungen von Drittanbietern SAP zertifiziert sind. Denn nur bei Lösungen mit den entsprechenden Zertifizierungen ist gewährleistet, dass sie die Berechtigungen in SAP und SAP SuccessFactors respektieren. Für Reporting, Schnittstellen und Dokumente ist Query Manager mit Document Builder die führende Lösung mit dieser wichtigen SAP-Zertifizierung. Weitere Details finden Sie hier Query Manager.
Das Gewährleisten von Konformität mit dem geltenden Recht ist kein einmaliger Vorgang, sondern es erfordert kontinuierliche Überprüfung und Aktualisierung. Im Bereich SAP ECC gehört dazu nicht nur der Zugriff auf Mitarbeiterdaten, sondern auch der Zugriff zur Entwicklung oder Ausführung von ABAP (wo Code zur Auswertung von Tabellen- oder Clusterdaten geschrieben werden kann) und der Zugriff auf Datenbanken. Ich kenne viele Arbeitgeber, die enorme Anstrengungen unternehmen, um Stammdaten auf Transaktionscode-/Infotyp-/Benutzerebene unter Verschluss zu halten. Zugleich wird jedoch vergessen, dass all die Daten über Code, Ad-hoc-Tabellenzugriff (SQ01), Zugriff auf Spools oder die Basis-Datenbank (Select *...) eingesehen werden können und somit Zugang zu diesen sensiblen Daten besteht. Zudem werden Daten auch in Finance-Module übernommen, die über eigene Berechtigungen verfügen und überprüft werden müssen. Denken Sie daran, dass alle gezahlten Gelder irgendwo aufgezeichnet werden und sogar ein Kostenstellenreport kritische, sensible Informationen preisgeben kann.
Bei SAP HCM sind Berechtigungsobjekte das A und O der HR-Sicherheit. Sie bestimmen, was mit einem Infotyp getan werden kann. Der Zugang muss kontrolliert und regelmäßig überprüft werden, aber Sie müssen auch auf Aufgabentrennung in der Personalabrechnung achten. Mit Soterion Access Risk Manager können Sie Rollen und Berechtigungen kostengünstig und intuitiv beurteilen, aktualisieren und pflegen sowie das geltende Datenschutzrecht einhalten. Mehr Sicherheit bietet Ihnen die Compliance-Software von Soterion.
© 2023 EPI-USE Berlin GmbH, Friedrichstraße 95, 10117 Berlin
© 2023 EPI-USE GmbH, Sophie-Scholl-Platz 8, 63452 Hanau
© 2023 EPI-USE Labs GmbH, Altrottstraße 31, 69190 Walldorf
Einen Kommentar schreiben