Berechtigungen in einem SAP-System steuern benutzerbezogen die Zugriffsmöglichkeiten auf die Geschäftsdaten. Bei der Berechtigungsvergabe sind neben Auflagen, gesetzlichen Vorschriften und unternehmenseigenen Vorgaben auch ein restriktiver Umgang nach dem strikten Minimalprinzip einzuhalten. Auch bei SAP steht immer mehr die Sicherheit und die Reduktion – oder im besten Fall gar die Beseitigung – von Risiken im Fokus. Denn durch die Berechtigungsvergabe über Rollen können sich kritische Berechtigungen oder Berechtigungskombinationen ergeben, die man bei der Rollenzuweisung nicht vorhergesehen hat. Daher ist eine regelmässige Überprüfung der aktiven Benutzer, der zugewiesenen Rollen und natürlich auch der Systemeinstellungen in Form eines Security Checks ratsam.
SAP Security Check – Prüfen Sie Ihr Sicherheitslevel
Ist bei Ihnen auch schon mal das interne oder externe Audit auf der Matte gestanden? War alles zur Zufriedenheit und ohne jegliche Beanstandung? Falls ja, herzliche Gratulation – well done! In den meisten Fällen finden die Auditoren jedoch immer noch Sicherheitslücken wie beispielsweise zu umfangreichen Tabellenzugriff oder eine schwache Password Policy (falls kein SSO im Einsatz ist). Ein SAP Security Check untersucht Systeme, Daten und Prozesse auf Sicherheitsmängel, und bildet die Grundlage für ein lückenloses SAP-Sicherheitskonzept. Diese Punkte werden unter anderem analysiert:
- Überprüfen der Rollen auf Qualitäts- und Sicherheitsstandards, beispielsweise Änderungsrechte in Anzeigerollen
- kritische Berechtigungskombinationen wie Segregation of Duties-Konflikten bei Usern, damit ein einzelner User nicht zu viele Prozesse durchspielen kann, wie beispielsweise Erstellen und Genehmigen einer Bestellung
- Vergabe von Profilen SAP_ALL/SAP_NEW an User (auch technische User)
- Systemänderbarkeit der Mandanten überprüfen
- Passworteinstellungen (ein Passwort sollte den empfohlenen Richtlinien entsprechen), als Alternative kann auch Single Sign-On eingeführt werden
- Nutzung und richtige Konfiguration des Security Audit Logs, damit alle wichtigen Aktivitäten im System geloggt werden
- aktive Tabellenprotokollierung, um Änderungen zu überprüfen
- Tabellenschutz mittels Berechtigungen, damit nur wenige User auch Tabelleneinträge ändern/löschen können
- Überprüfung potenzieller Zugriffe auf sensible Daten aus dem Personalwesen (wie z.B. Lohndaten und andere persönliche Daten)
- Überprüfung der technischen User, damit sie auch nur die benötigten Berechtigungen zugewiesen haben
Nach dieser Analyse ist eine Bewertung der Risiken aus den eruierten potenziellen Schwachstellen unabdingbar. Aus der Gesamteinschätzung der Analyseergebnisse resultieren dann Empfehlungen zu weiteren Massnahmen zur Schwachstellenbereinigung.
Was bringt’s?
Eine regelmässige Systemprüfung deckt allfällige Mängel zeitnah auf und ermöglicht eine effiziente Umsetzung von Massnahmen. Damit werden Risiken verringert und kostspielige Konsequenzen vermieden. Das nächste Audit kann dann entspannt angegangen werden.
Fakten
- Analyse der SAP-Systeme
- Bewertung der Risiken
- Empfehlungen zu Massnahmen
Fachartikel | 03. Nov 2022
Beratung erwünscht?
Die erfahrenen Expert*innen von Aveniq beraten Sie gerne bei der Identifikation geeigneter Prozesse und der Realisierung von Digitalisierungs- und Automatisierungsvorhaben.
