Ordnung ins Chaos der Berechtigungen und Rollen bringen Die drei Säulen der Sicherheit in SAP
Anbieter zum Thema
Benutzer- und Berechtigungsverwaltung sowie die Compliance stellen Unternehmen bei der Nutzung von SAP-Systemen immer wieder vor Herausforderungen. Dazu kommen neue Technologien wie S4/HANA oder die Weboberfläche FIORI, die die Verwaltung von Rollen und Rechten verkomplizieren. Externe Tools bieten hier einen Funktionsumfang, den SAP vermissen lässt, um Sicherheitslücken zu schließen und Compliance herzustellen.

Die Sicherheit von SAP-Anwendungen und -systemen beruht auf den Säulen Authorisierungskonzept (Rollen), Identitäts- und Zugriffsmanagement (Benutzer) sowie IT-Compliance. Vielen Unternehmen ist allerdings der Überblick verloren gegangen. Ihr Berechtigungskonzept ist historisch gewachsen, die Verwaltung und Pflege der Benutzerstammsätze ist aufwändig und Anpassungen oder Aktualisierungen werden nicht mehr vorgenommen. Als Folge gibt es keine oder keine sauber gebauten Geschäftsrollen und einzelne Benutzer haben umfangreiche Zugriffsrechte auf diverse Transaktionen.
"Große Sicherheitsrisiken liegen darin, wenn User über die Zeit immer mehr Rollen und Berechtigungen sammeln und immer mehr im System machen können, ohne, dass diese wieder entzogen werden", sagt Matthieu Kaufmann, Country Manager France & Benelux des Karlsruher SAP-Sicherheitsexperten Sivis. Probleme entstehen ebenfalls, wenn die Zahl der SAP-Anwender oder der SAP-Systeme stark wächst oder jene Person, die für die Rollen zuständig war, aus dem Unternehmen ausscheidet. Auch die Verwaltung der neuen Web-Oberfläche FIORI ist aus Berechtigungssicht komplex und für viele Unternehmen ein technischer Pain Point.
Im Bereich des Identitäts- und Zugriffsmanagements fehlt darüber hinaus oft ein definierter Prozess für die Bereitstellung der Rollen. Diesbezügliche Anfragen gehen auf unterschiedlichen Kanälen per E-Mail, Telefon oder Ticket ein und es ist nicht klar, wer Rollen und Zugriff überhaupt anfordern darf und wer für die Vergabe und Zulassung zuständig ist. In der Folge fängt das SAP-Basisteam diesen Aufgabenbereich ab. Auch hier verschärfen sich Probleme, wenn die Zahl der SAP-Anwender bzw. der SAP-Systeme wächst. Mit der Benutzerverwaltung der SAP-Cloudlösungen, die nicht mehr auf dem eigenen Server liegen, tun sich Unternehmen ebenfalls schwer.
Unternehmen wissen oft nicht, wie sie Betrugsmöglichkeiten einen Riegel vorschieben können. Gerade mit Blick auf die Compliance sind die Anforderungen aufgrund der Tätigkeitsbranche eines Unternehmens oder seines Landes nicht immer klar. So muss zum Beispiel die SoX- bzw. J-SoX-Compliance gegeben sein, wenn sich der Hauptsitz in den USA oder Japan befindet. Groß ist dann die Unruhe, wenn Auditoren im Haus sind und Probleme in der Software bekannt werden. Oft wird auch die Aufgabentrennung (Segregation of duties) nicht kontrolliert: Dialog- oder technische User haben dann über das SAP_ALL-Profil im Produktivsystem Zugriff auf alle Transaktionen, was ein absolutes NoGo darstellt.
Sicherheitslücken erleichtern Betrugsversuche und schaden dem Produktivsystem
All diese Probleme erleichtern Betrugsversuche. Zwar vertrauen Unternehmen in der Regel ihren Mitarbeitern, aber es genügt ein einziger mit schlechten Absichten, dem diese Systemlücken Tür und Tor öffnen, zum Beispiel um seine Kontoverbindung ins System einzupflegen und Geldströme umzuleiten, was nicht immer sofort auffällt. Ein Sivis Kunde aus der Möbelbranche in UK verlor auf diese Weise eine halbe Million Pfund. Die Folgen eines Betrugs kosten immer mehr Geld, als die Investition von Anfang an für sichere Systeme zu sorgen, Regeln auf- und sicherzustellen, dass Rechte beschränkt und kontrolliert werden.
Das Zuviel an Rechten kann außerdem zu Fehlern im Produktivsystem führen, wenn User falsche Aktionen einleiten, kritische Daten löschen oder Tabellen verändern, auf die sie keinen Zugriff hätten haben dürfen. Auch hier sind die Ausfall- und Reparaturkosten enorm.
Besonders betroffen sind Betriebe ohne eigene Software für das Berechtigungs- und Benutzermanagement und ohne entsprechende Prozesse: Denn während börsennotierte Unternehmen oder internationale Konzerne meist auf dem Stand der Technik sind und auch branchenspezifische Regelungen wie IKS umsetzen, spielen kleinere Familienunternehmen oder Mittelständler auf Zeit - vor allem, wenn sie in Branchen tätig sind, die keine besonderen Regelungen vorsehen. Sie scheuen die Ausgaben für Sicherheit und warten auf externen Druck wie den Besuch des Wirtschaftsprüfers, bevor sie etwas verändern.
SAP-Sicherheit mit Software herstellen
Die Voraussetzungen, um SAP sicher nutzen zu können, sind saubere Antrags- und Freigabeprozesse, die Konflikte erkennen, ihnen folgen und sie korrigieren können. SAP sieht das nicht vor, deswegen benötigen Unternehmen Tools: Sicherheit lässt sich schneller und einfacher mit Software statt manueller Arbeit herstellen. Die Lösungen von Sivis decken zum Beispiel alle drei Felder Befugniskonzept, Identitäts- und Zugriffsverwaltung sowie Compliance ab.
Von Vorteil ist immer ein hoher Automatisierungsgrad: Mit passenden Tools können Berechtigungskonzepte automatisch bereinigt, zu großzügige Rechte entzogen und bei Berechtigungskonflikten alarmiert werden. Auch Genehmigungsprozesse zur Rollenbereitstellung laufen automatisiert, werden dokumentiert und sind damit nachvollziehbar. Bei jeder Änderung werden Konsequenzen und Risiken im Hintergrund geprüft - der User entscheidet dann, ob diese akzeptiert, abgelehnt oder korrigiert werden.
Ein erster Schritt in Richtung sichere Systeme ist die zentrale Rollenpflege und -umgestaltung: Das SAP-Berechtigungskonzept wird entweder neu gebaut oder bereinigt und unnötige Rollen reduziert - unter Berücksichtigung der FIORI-Berechtigungen. Damit wird die Berechtigungsverwaltung optimiert und zentralisiert, der zeitliche Aufwand für das Management minimiert und das System insgesamt sicherer. Es ist wichtig, ein dokumentiertes Berechtigungskonzept zu besitzen, das nicht nur einmal gebaut wird und danach unkontrolliert wächst, sondern das sauber aktualisiert wird. Die Rollentrennung muss klar definiert sein und damit wer was tun darf. So wird Compliance hergestellt.
Eine saubere Identitäts- und Zugriffsverwaltung als nächster SAP-Sicherheits-Pfeiler erlaubt es Unternehmen, die User, ihre Zugriffsrechte und die Genehmigungsprozesse zu managen. Ein Tool verringert hier ebenfalls den administrativen Aufwand und gleichzeitig Sicherheitsrisiken - nicht nur in SAP, sondern idealerweise auch in anderen Programmen. SIVIS setzt dafür Connectoren ein - für Business Intelligence, SAP-Portalanwendung UME, Microsoft Active Directory, HR- und HCM-Systeme und natürlich HANA. Mit dem Cloud Connector kann darüber hinaus jedes System, das über einen Web Service erreichbar ist, angebunden werden.
Gute Tools gewährleisten die Sicherstellung der Compliance und eine lückenlose Dokumentation. Fachbereiche und IT sind damit auf interne und externe Audits vorbereitet. Idealerweise werden Risiken, Bedrohungen und Schwächen aufgedeckt, zum Beispiel indem Live-Zugriffe geprüft, technische Risiken bzw. kritische Vorgänge überwacht und das Berechtigungskonzept auf Schwächen und Verstöße untersucht werden.
Neben guter Software sind interne Prozesse und Verantwortlichkeiten wichtig, um eine regelmäßige Kontrolle zu gewährleisten. Unternehmen müssen diese Prozesse wie die Bestätigung bei Rollenbeantragung und -genehmigung definieren. Hier hat internes Changemanagement eine große Bedeutung. Ein externer Partner kann nur die Basis für sichere Systeme zum Zeitpunkt der Installation und Konfiguration legen. Unternehmen tragen dann die Verantwortung dafür, dass der in Zukunft erhalten wird.
Fazit
Die Gesamtsicherheit des SAP-Systems hängt von den Berechtigungen und den Zugriffsmöglichkeiten der Benutzer ab. Viele Unternehmen haben den Überblick verloren, riskieren fehlende Compliance und Betrugsversuche. Mit Softwaretools können Autorisierungskonzept und Identitäts- sowie Zugriffsmanagement zügig, sicher und automatisiert aufgeräumt werden. So entstehen Rechtskonformität und Revisionssicherheit.
Über die Autorin: Nadja Müller ist IT-Journalistin.
(ID:47800703)