Suchen

SAP-Berechtigungskonzept datenschutzkonform gestalten Sicherheit und Datenschutz für SAP

| Autor / Redakteur: Georg Reiss / Peter Schmitz

Für die Zugriffssicherheit im Allgemeinen und den Datenschutz im Besonderen stellt das Berechtigungskonzept von SAP eine Schlüsselfunktion dar. Dabei können schon Fehler bei grundsätzlichen Aspekten des Berechtigungskonzeptes von SAP schwerwiegende Folgen haben. Security-Insider.de zeigt Ihnen, was bei kritischen Berechtigungen im Auslieferungszustand sowie bei Releasewechseln zu beachten ist und wo es zu Problemen kommen kann.

Wer das SAP-Berechtigungskonzept „out of the box“ verwendet, geht große Risiken ein.
Wer das SAP-Berechtigungskonzept „out of the box“ verwendet, geht große Risiken ein.
( Archiv: Vogel Business Media )

Die datenschutzrechtliche Brisanz von SAP ergibt sich aus der Tatsache, dass ein sehr großes Spektrum an kaufmännischen Prozessen und damit Arbeitsschritten durch SAP unterstützt wird. Insbesondere ist in diesem Zusammenhang das SAP-Modul HR (Human Ressources) zu nennen, in dem die Personaldaten verarbeitet werden.

Die Struktur des Berechtigungskonzeptes ist derart aufgebaut, dass Berechtigungsobjekte mit Werten versehen zu Berechtigungsprofilen und weiterhin zu so genannten Rollen zusammengefasst werden. Diese Rollen entsprechen den durchschnittlichen Aufgaben (Rollen) in den kaufmännischen Prozessen. Die Rollen wiederum sind den Benutzerstammsätzen zugeordnet.

Von Bedeutung ist dabei nicht nur das Berechtigungskonzept, wie es von SAP ausgeliefert wird und erst noch an die spezifischen Firmenprozesse und –rollen angepasst werden muss (Customizing). Insbesondere auch bei Releasewechseln ist auf neue oder geänderte Berechtigungsobjekte, Profile und Rollen zu achten.

Allgemeine Regelungen müssen definiert werden!

Neben den organisatorischen Erfordernissen, wonach bei der Implementierung des SAP-Berechtigungskonzeptes schon aufgrund der Gesetzeslage auch der Datenschutzbeauftragte und der Betriebsrat zu beteiligen sind, sollten allgemeine Login-Regeln definiert werden.

Es sollten ausschließlich eindeutige, einer bestimmten Person zugeordnete User angelegt werden, sofern die eine Änderungsberechtigung im SAP-System erhalten sollen. Das trifft bei den meisten Benutzern zu. Eine Ausnahme bilden reine Auskunftsuser, z.B. für externe Abschlussprüfer oder Lagermitarbeiter.

Weiterhin sollten komplexe Passwortregeln aufgestellt werden, die sich beispielsweise an den Regelungen von Windows Server 2003 orientieren. Im Auslieferungszustand verfügt SAP nicht über derartige Regeln. Aus technischen Gründen sollten sich SAP-Passwörter auf den ASCII-Zeichensatz beschränken. Dazu gehört auch, dass triviale Passwörter nicht verwendet werden. Hierzu können mit der SAP-Transaktion SM31 entsprechende Einträge in der User-Tabelle USR40 vorgenommen werden.

Für Passwörter sollte eine Ablaufperiode definiert werden. In der Praxis wird häufig ein Zeitraum von ca. 90 Tagen festgelegt. Diese Zeitspanne bietet einen Kompromiss zwischen den Anforderungen nach einem möglichst sicheren Passwort, einer hohen Benutzerfreundlichkeit und einem möglichst geringen administrativen Aufwand.

Da die Anlage von gesonderten Mandanten in SAP die höchstmögliche Trennung der Daten garantiert, insbesondere was die Benutzerstammsätze angeht, sollte ein hochsensibles Modul wie HR (Human Ressources) in einem eigenen Mandanten implementiert werden.

Seite 2: Kritische Berechtigungen im Auslieferungszustand von SAP

(ID:2014777)