SAP - adaptive Sicherheit muss ins Berechtigungskonzept

Wie sicher sind Ihre Daten vor unberechtigtem Zugriff?

Sie arbeiten mit SAP ECC 6.0? Sind Ihre SAP-Berechtigungen so konfiguriert, dass Ihr System sicher ist? Wir haben die wichtigsten Punkte für Sie zusammengestellt.

SAP-Systeme sind auch in Lifescience-Unternehmen weit verbreitet. Dort unterstützen sie unternehmenskritische Prozesse, die besonders gut überwacht werden müssen.

„Die USA warnen vor wachsenden Hacker-Risiken bei SAP und Oracle“ meldete Reuters am 25. Juli 2018, und „es gibt Anzeichen, dass sich Hacker zunehmend auf Software zur Unternehmungsplanung fokussieren“. Doch Gefahr droht nicht nur durch externe Hacker. Auch unsachgemäß zugeteilte Rollen und Zugangsberechtigungen innerhalb des Unternehmens können Sicherheitslücken bergen. Wie Sie diese Lücken in Ihrem SAP-System schließen, erfahren Sie hier:

Gemäß einer statischen Auswertung aus über 170 SAP-Installationen (business application security initiative BIZEC APP/11) sind Berechtigungsfehler die häufigsten Sicherheitsfehler in SAP ABAP Eigenentwicklungen.

Wie entstehen Sicherheitslücken im SAP-System?

Jedem Unternehmen liegt das Prinzip der Arbeitsteilung zugrunde. Abhängig von der Größe eines Unternehmens werden die verschiedenen Aufgaben zu Funktionen gebündelt und in sogenannten Aktionen aufgeteilt. Eine Aktion kann beispielsweise sein:

  • einen Zahlungsauftrag anlegen
  • einen Zahlungsauftrag genehmigen
  • Lieferanten anlegen
  • Lieferungen genehmigen
  • usw.

Wirtschaftliche, organisatorische und soziale Aspekte entscheiden darüber, wie die Aufgaben im Unternehmen zusammengeführt werden. Dabei folgen viele Unternehmen dem Prinzip, vollziehende Aufgaben (z.B. Abwicklung von Einkäufen), verbuchende Aufgaben (z.B. Finanzbuchhaltung, Lagerbuchhaltung) und verwaltende Aufgaben (z.B. Lagerverwaltung) nicht derselben Person zu übertragen. So ist sichergestellt, dass kein Mitarbeiter alle Phasen des Geschäftsprozesses beeinflussen kann. Auch die Regularien der Good Manufacturing Practice (GMP) setzen eine derart strukturierte Arbeitsteilung voraus.


Rolle 1Rolle 2Risiko
Bestellung erfassenWareneingang buchenverhindern von Kauf und Empfang von Artikeln für den persönlichen Gebrauch des Benutzers
Lieferant erfassenEingangsrechnung zahlenverhindern, dass ein Benutzer einen fiktiven Anbieter für den persönlichen Vorteil einrichten und bezahlen kann
Waren einlagernWarenqualität prüfenverhindern, dass Waren mit ungenügender Qualität eingelagert werden
usw.

Die Funktionsteilung wird oft in Form einer Risiko-Kontroll-Matrix dargestellt. Diese Matrix zeigt, wie die Geschäftsrollen in die Unternehmensabläufe integriert sind. Sie hilft mittels einer Risiko-Analyse zu bestimmen, welche kritischen Aktionen nicht in einer Geschäftsrolle kombiniert werden dürfen. Die Wirksamkeit der Matrix sollten Sie mittels Kontroll-Tests und Interviews periodisch überprüfen.

Das adaptive Sicherheitskonzept hilft Ihnen dabei, Ihr SAP-System sicher zu konfigurieren. Es bildet die Basis des SAP-Cybersecurity-Frameworks und bietet durch flexible Sicherheitsmaßnahmen Schutz vor unsachgemäßem Gebrauch Ihrer Unternehmensdaten. Ziel des adaptiven Sicherheitskonzeptes ist es, alle Geschäftsbereiche ausreichend abzusichern. Dies geschieht über Berechtigungsprüfungen.

Die 4 Prozesse des adapativen Sicherheitskonzepts (siehe Diagramm 1)

  1. Predict / Identifizieren – Risikobasiertes Konzept für Benutzer- und Berechtigungsverwaltung.
  2. Prevent / Schützen – Systeme so gestalten, dass Sicherheitsverletzungen verhindert werden.
  3. Detect / Erkennen – Erkennen und priorisieren von Sicherheitsmängeln und -vorfällen.
  4. Respond / Reagieren - Vorfälle untersuchen, Maßnahmen planen und umsetzen.
Diagramm 1: Diese vier Prozesse liegen dem adaptiven Sicherheitskonzept eines SAP-Systems zugrunde.

In den nächsten 6 Folgen haben wir alle wichtigen Schritte des SAP-Sicherheitskonzepts für Sie zusammengefasst.

Teil 2: Das SAP-Berechtigungskonzept - Welche Sicherheitsrisiken können bei Ihren Berechtigungen auftreten?
Teil 3: SAP - Konfiguration der Berechtigungen - So gestalten Sie Ihr SAP-System sicher
Teil 4: Das Adaptive Sicherheitskonzept bei SAP - So erkennen Sie Sicherheitsmängel
Teil 5: Ihr SAP-Berechtigungskonzept - So reagieren Sie richtig auf Sicherheitsmängel
Teil 6: SAP im regulierten Umfeld – FDA fordert Änderungsprotokolle für den US-Markt Pharmaprodukte für den US-Markt – So protokollieren Sie Änderungen in SAP
Teil 7: SAP im regulierten Umfeld – adaptive Sicherheit muss ins Berechtigungskonzept - Das SAP-Berechtigungskonzept – so konfigurieren Sie eine Aufgabentrennung

Erfahren Sie demnächst in Teil 2, wie Sie Sicherheitslücken in Ihrem SAP-System erkennen.

Sie möchten mit dem Autor Kontakt aufnehmen?
Schreiben Sie an: l.vandeurse@how2lifescience.com

Bildquelle: © Nmedia, Fotolia

Kommentare

Noch nicht bewertet

Es gibt noch keine Kommentare

Kommentar hinterlassen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Einverstanden