Stellen zu viele Befugnisse für einen SAP-Benutzer ein Risiko dar?

Es ist davon auszugehen, dass jeder Systemadministrator und - zumindest - jeder Benutzer, der die oberste Führungsebene vertritt, genau weiß, welche Zugriffsrechte jeder von ihnen auf das System hat.

NICHTS KÖNNTE WEITER VON DER WAHRHEIT ENTFERNT SEIN!

Die Praxis bei der Durchführung von SAP-Prüfungen hat gezeigt, dass dies nicht der Fall ist.

Worauf ist bei der Ermächtigung zu achten?

Häufig sind die einem SAP-Nutzer eingeräumten Befugnisse zu umfangreich. Selbst wenn er sich des Umfangs seiner Befugnisse bewusst ist, fehlt ihm dieses Bewusstsein bereits, wenn es um die Risiken geht, die mit seinem Besitz verbunden sein können.

Administratoren wiederum haben ohne die Möglichkeit, Risiken zu überwachen, ohne Dokumentation kritischer Aktivitäten auch keine Chance, Gegenmaßnahmen zu ergreifen.

Welche Gefahren birgt zu viel Macht?

Ich denke, das eklatanteste Beispiel (insbesondere für diejenigen, die Führungsaufgaben im Finanzbereich wahrnehmen, wie z. B. Finanzdirektoren) wäre, wenn die der Nutzer (z. B. ein Berater) verfügt über ein Konto, das es ihm ermöglicht, Finanzdokumente zu erstellen und zu ändern.

Sind solche Berechtigungen für diesen Benutzer erforderlich?

Der CFO wird sagen - Unmöglich! Und doch! Solche Situationen treten sehr häufig auf und sind in der Tat eine Falle für die Person, die über sie verfügt, da sie das Risiko eines irrtümlichen Eingriffs (ich gehe nicht von einer vorsätzlichen Handlung aus) in die Dokumente, zu denen sie Zugang hat, erhöhen und den Benutzern aus der Finanzabteilung die zusätzliche - unnötige - Arbeit der Korrektur dieser Handlungen aufbürden.

Die häufigsten Beispiele für Risiken

Diesmal soll es der Administrator des SAP BASIS-Moduls sein. Es ist sehr üblich, dass Benutzer dieses Typs die folgenden Berechtigungen haben:

• Zugang zu Geschäftsvorgängen,
• die Möglichkeit, diese Daten zu beeinflussen,
• Benutzererstellung,
• ihnen bestimmte Rollen zuweisen oder Programme bearbeiten.

Es ist leicht zu erraten, dass ein Benutzer mit solchen Rechten hat ebenfalls Zugriff auf die Daten des Hauptbuchs und kann diese ändern.

Was bedeutet das?

Sie kann Änderungen am Kontenplan und darüber hinaus an allen für das Unternehmen/die Organisation relevanten Geschäftsvorfällen vornehmen.

Braucht ein Verwalter solche Befugnisse? Die Antwort lautet: Nein.

Warum?

Denn eine solche Vielzahl von Rechten in einer Person (Benutzer) stellt eine echte Bedrohung für die Sicherheit des Systems dar.

ZUSAMMENFASSUNG

Um es noch einmal zu sagen: Ein Kollege von mir, der absolut der beste SAP-Systemadministrator ist, den ich kenne, sagt:

„Der Produktionsbenutzer, der den Entwicklungsschlüssel in der Hand hält, ist Gott.

Und er weiß definitiv, wovon er spricht. Die Person mit diesem Schlüssel bzw. dieser Berechtigung kann alle Änderungen am Produktionssystem vornehmen.

Beispiel: Er kann ein Programm schreiben, das löscht, ändert usw.

Denken Sie nach - solche Situationen können unmöglich passieren!

Nehmen Sie mich beim Wort - Situationen mit falsch zugewiesenen Berechtigungen sind sehr häufig!

Wenn die Verwaltung und Kontrolle von Ansprüchen für Sie eine Herausforderung darstellt, schreiben Sie uns!