Teil 4: Das Adaptive Sicherheitskonzept bei SAP

So erkennen Sie Sicherheitsmängel

In den ersten Folgen haben wir Ihnen gezeigt, welche Sicherheitsrisiken bei Ihren Berechtigungen auftreten können und wie Sie Ihr System mit gezielten Maßnahmen schützen können. In dieser Folge geht es darum, wie Sie bestehende Sicherheitslücken erkennen.

Die 4 Prozesse des adapativen Sicherheitskonzepts lauten:

  1. Predict / Identifizieren – Risikobasiertes Konzept für Benutzer- und Berechtigungsverwaltung.
  2. Prevent / Schützen – Systeme so gestalten, dass Sicherheitsverletzungen verhindert werden.
  3. Detect / Erkennen – Erkennen und priorisieren von Sicherheitsmängeln und -Vorfällen.
  4. Respond / Reagieren - Vorfälle untersuchen, Massnahmen planen und umsetzen.

Detect / Erkennen: So monitoren Sie die Sicherheits-Lage in Ihrem System

Nur regelmäßig geprüfte Systeme sind sicher – das gilt natürlich auch für Ihr SAP-System. Durch ein regelmäßiges Check-Up können Sie fehlerhafte Konfigurationen und Schwachstellen aufdecken und beheben. Die sicherste Variante wäre hierbei, sämtliche Berechtigungen im System zu prüfen. Das ist in der Regel jedoch aufgrund des Mengengerüstes nicht möglich. Daher sollten Sie risikobasiert vorgehen. Die Basis bildet dabei das Berechtigungskonzept. Für die Autorisierungsprüfung sollte eine «SAP*AUDITOR» Rolle mit nur lesenden Berechtigungen verfügbar sein.

Verfügbare Standard-Prüfmöglichkeiten in SAP ECC 6.0

Prüfen Sie Ihr System regelmäßig über das Benutzerinformationssystem (Transaktion SUIM).

Folgende Informationen sind z.B. sicherheitsrelevant:

  • Benutzer mit Falschanmeldungen - dies kann auf Angriffsversuche hindeuten
  • Benutzer mit Anmeldedaten und Kennwortänderungen - so lassen sich Benutzer identifizieren, die nie angemeldet sind oder ihr Passwort nicht geändert haben, sofern dies nicht automatisch erzwungen wird.
  • Benutzer mit kritischen Kombinationen von Berechtigungen für den Transaktionsstart - es sollte ein Abgleich mit dem Berechtigungskonzept erfolgen.
  • Benutzer mit kritischen Berechtigungen (Report RSUSR008_009_NEW für Benutzer mit kritischen Berechtigungen und mit kritischen Kombinationen von Berechtigungen) - es sollte ein Abgleich mit dem Berechtigungskonzept erfolgen.
  • Änderungsbelege für Benutzer, Rollenzuordnungen, Rollen, Profile und Berechtigungen – prüfen Sie hierbei besonders Änderungen an administrativen Objekten, aber auch die mögliche Anhäufung von Berechtigungen aufgrund von Mutationen im Unternehmen. Denken Sie auch hier an einen Abgleich mit Ihrem Berechtigungskonzept erfolgen.

 

 

Die Premium-Inhalte sind Abonnenten vorbehalten. Bitte loggen Sie sich mit Ihren Zugangsdaten ein.

Wenn Sie kein Abonnent sind, können Sie sich kostenlos registrieren und folgende Services nutzen:

  • automatische Benachrichtigung bei neuen Artikeln
  • individualisierte Lese- und Informationsangebote
  • exklusiver Zugriff auf Premium-Inhalte wie Checklisten, Entscheidungshilfen, Whitepaper und Case Studies

Pflichtfelder sind mit einem Stern (*) markiert.

Anrede

Benutzeranmeldung

Geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein, um sich anzumelden. Pflichtfelder sind mit einem Stern (*) markiert.

Erfahren Sie demnächst in Teil 5, wie Sie Vorfälle untersuchen, sowie Maßnahmen planen und umsetzen.

Teil 1: Wie sicher sind Ihre Daten vor unberechtigtem Zugriff?
Teil 2: Welche Sicherheitsrisiken können bei Ihren Berechtigungen auftreten?
Teil 3: So gestalten Sie Ihr SAP-System sicher
Teil 5: So reagieren Sie richtig auf Sicherheitsmängel
Teil 6: FDA fordert Änderungsprotokolle für den US-Markt – So protokollieren Sie Änderungen in SAP
Teil 7: So konfigurieren Sie eine Aufgabentrennung

Sie möchten mit dem Autor Kontakt aufnehmen?
Schreiben Sie an: l.vandeurse@how2lifescience.com

Bildquelle: © Nmedia, Fotolia

Kommentare

Noch nicht bewertet

Es gibt noch keine Kommentare

Kommentar hinterlassen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Einverstanden