Teil 2: Das SAP-Berechtigungskonzept

4 von 5 Sterne, 1 Bewertung

Welche Sicherheitsrisiken können bei Ihren Berechtigungen auftreten?

Sie arbeiten mit SAP ECC 6.0? Sind Ihre SAP-Berechtigungen so konfiguriert, dass Ihr System sicher ist? In dieser Folge betrachten wir Punkt 1 des adaptiven Sicherheitskonzepts: Predict / Identifizieren. Wir zeigen Ihnen, wie Sie ein risikobasiertes Konzept für die Benutzer- und Berechtigungsverwaltung erstellen.

Die 4 Prozesse des adapativen Sicherheitskonzepts lauten:

  1. Predict / Identifizieren – Risikobasiertes Konzept für Benutzer- und Berechtigungsverwaltung.
  2. Prevent / Schützen – Systeme so gestalten, dass Sicherheitsverletzungen verhindert werden.
  3. Detect / Erkennen – Erkennen und priorisieren von Sicherheitsmängeln und -Vorfällen.
  4. Respond / Reagieren – Vorfälle untersuchen, Massnahmen planen und umsetzen.

Der erste adaptive Sicherheitsschritt versucht risiko-basiert vorherzusagen, welche Sicherheitsrisiken in Berechtigungen auftreten können. Hinter diesem Schritt steht die Frage: Welcher Mitarbeiter kann und darf welche Prozesse und Daten im Unternehmen kontrollieren und bearbeiten?

Funktionstrennung in Form einer Risiko-Kontroll-Matrix

Innerhalb einer Organisation findet Arbeitsteilung statt. Arbeitsteilung ist die Bündelung von Aufgaben zu sogenannten „Geschäftsrollen“, die etwa die gleichen Fähigkeiten erfordern, beispielsweise alle Aufgaben von der Bedarfsermittlung bis zum Zahlungsausgang.

Abhängig von der Größe der Organisation werden die Aufgaben zu Funktionen gebündelt in sogenannte „Aktionen“ wie Zahlungsauftrag anlegen, Zahlungsauftrag genehmigen, Lieferanten anlegen, usw. Die Zusammenführung der Aufgaben beruht auf wirtschaftlichen, organisatorischen oder sozialen Überlegungen.

Die Arbeitsteilung basiert auf dem Prinzip, dass vollziehende (z. B. Abwicklung von Einkäufen), verbuchende (z. B. Finanzbuchhaltung, Lagerbuchhaltung) und verwaltende (z. B. Lagerverwaltung) Aktionen, die innerhalb eines Unternehmensprozesses vorgenommen werden, nicht in einer Hand vereinigt sein sollen. Mit anderen Worten, niemand soll über den physischen und den Systemzugang verfügen, um alle Phasen eines Geschäftsprozesses oder einer Transaktion zu beeinflussen.

Die Funktionsteilung wird oft in Form einer Risiko-Kontroll-Matrix dargestellt. Diese Matrix zeigt die verschiedenen Geschäftsrollen auf und hilft in der Risiko-Analyse zu bestimmen, welche kritischen Aktionen nicht in einer Geschäftsrolle kombiniert werden dürfen. Die Wirksamkeit der Matrix sollten Sie mittels Kontroll-Tests und Interviews periodisch überprüfen.

Das SAP-Berechtigungskonzept – hier legen Sie Berechtigungen fest

In SAP ECC können Sie die Funktionsteilung durch das SAP-Berechtigungskonzept umsetzen. Dabei ordnen Sie jeder „Aktion“ eine oder mehrere SAP Systemfunktionen, sogenannte „SAP-Transaktionen“, zu. Diese SAP-Transaktionen können wiederum unterschiedliche Operationen oder Aktivitäten (z. B. Schreiben, Lesen, Löschvormerkung setzen) auf Daten ausführen. Kritische SAP-Berechtigungen müssen im SAP-Berechtigungskonzept bis auf die Ebene von den Feldern und Feldwerten (Berechtigungsobjekten) spezifiziert werden. Beispiele für kritische Felder in Berechtigungsobjekten sind Kostenstellen, Buchungskreise, Lager oder Werke. Die zu prüfenden Berechtigungstypen und Werte werden durch den Programmierer der Funktion bestimmt. Der Programmierer kann Prüfungen auch ausschalten, wenn etwas nicht gewünscht ist (prüfen über Transaktionskode SU22).

Wissenswert zu den Berechtigungsobjekten: SAP Mandanten sind im Wesentlichen eigenständige Geschäftseinheiten innerhalb des SAP-Systems. Jeder Mandant hat einerseits seine eigenen separaten Stammsätze und andererseits einen Satz von "mandantenunabhängigen (also systemeigenen, für alle Mandanten geltenden) Tabellen“. Innerhalb des Mandanten können Sie nach verschiedenen organisatorischen Einheiten (wie Lager, Vertriebsorganisation, Einkaufsorganisation usw.) unterscheiden und die Autorisierungen entsprechend aufbauen.

Meldet sich ein SAP-Anwender am System an, so prüft die über die Transaktion gestartete SAP-Anwendung beim Aufruf, ob der aufrufende Benutzer über die notwendigen Berechtigungen verfügt, die angeforderte Operation auf den durch die Applikation angesprochenen Daten auszuführen.

Die SAP-Transaktionen werden in sogenannte „technische Rollen“ (Sammelprofile) zusammengeführt, die sich den Anwendern zuordnen lassen. Die technischen Rollen können abhängig von der Geschäftsanwendung auch Webseiten, Dienste, Remote-Funktionsaufrufe, Handscanner oder andere Funktionen betreffen. Mehrfachanmeldungen am selben SAP System und speziell Mandantensollten können so verhindert werden.

Oft bietet sich die Abbildung in einer Autorisierungsmatrix an; diese hilft den Zugriff auf Daten im SAP-System mithilfe von Berechtigungsobjekten zu beschränken.

Die Premium-Inhalte sind Abonnenten vorbehalten. Bitte loggen Sie sich mit Ihren Zugangsdaten ein.

Wenn Sie kein Abonnent sind, können Sie sich kostenlos registrieren und folgende Services nutzen:

  • automatische Benachrichtigung bei neuen Artikeln
  • individualisierte Lese- und Informationsangebote
  • exklusiver Zugriff auf Premium-Inhalte wie Checklisten, Entscheidungshilfen, Whitepaper und Case Studies

Pflichtfelder sind mit einem Stern (*) markiert.

Anrede

Benutzeranmeldung

Geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein, um sich anzumelden. Pflichtfelder sind mit einem Stern (*) markiert.

Erfahren Sie in Teil 3, wie Sie Ihr SAP-System sicher gestalten.

Teil 1: Wie sicher sind Ihre Daten vor unberechtigtem Zugriff?
Teil 3: So gestalten Sie Ihr SAP-System sicher
Teil 4: So erkennen Sie Sicherheitsmängel
Teil 5: So reagieren Sie richtig auf Sicherheitsmängel
Teil 6: FDA fordert Änderungsprotokolle für den US-Markt – So protokollieren Sie Änderungen in SAP
Teil 7: So konfigurieren Sie eine Aufgabentrennung

Sie möchten mit dem Autor Kontakt aufnehmen?
Schreiben Sie an: l.vandeurse@how2lifescience.com

Bildquelle: © Nmedia, Fotolia

Kommentare

4 von 5 Sterne, 1 Bewertung

Es gibt noch keine Kommentare

Kommentar hinterlassen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Einverstanden