Zyklische Überprüfungen im SAP-Berechtigungsbereich

Heute möchten wir die Aufmerksamkeit auf ein sehr wichtiges Thema im Bereich der SAP-Autorisierungssicherheit. Neben einmaligen Rollenreorganisationsprojekten und SODs sind Fragen wie die Beibehaltung eines projektentwickelten Konzepts von Ansprüchen und einer administrativen Prozessordnung in Rollen ebenso wichtig. Wie können wir verhindern, dass unsere Annahmen nach dem Projekt „ins Schwimmen geraten”, und wie können wir ein Rollengewirr vermeiden? Eine Lösung ist Einführung von zyklischen Kontrollen. Sie werden dafür sorgen, dass wir uns nicht nur mental wohl fühlen, sondern auch angemessen auf den Besuch der externen Prüfung vorbereitet sind.

Bewährte Verfahren für zyklische Kontrollen

Unsere besten Praktiken für zyklische Steuerung stützen sich auf drei wesentliche Grundlagen:

1. Methodik - Was überprüfen wir? Wer führt die Überprüfung durch? Wie viel Zeit können wir dafür aufwenden? Wie wird die Prüfung inhaltlich und organisatorisch durchgeführt?
2. Werkzeuge - Wie erfolgt die technische Überprüfung (Berichte, SAP-Elemente)?
3. Dokumentation - Was dokumentieren wir? Wo bewahren wir Berichte und Bestätigungen auf? Wer hat Zugang zu den Unterlagen?

Vorteile der zyklischen Kontrollen

Zuallererst kreisförmiges Bewusstsein und kontinuierliche Verbesserung der Sicherheitskenntnisse in allen Zellen der Organisationsstruktur des Unternehmens. Jeder SAP-Anwender - ob Endanwender, Keyuser, ABAP-Entwickler, Modulberater, Basisteam oder Betriebsleiter - muss verstehen, dass Sicherheit kein einmaliges Projekt ist, sondern ein ständiger (Geisteszustand).

Wie oft sollten solche Kontrollen durchgeführt werden?

Je öfter, desto besser. Zu Beginn unserer Überprüfung jedoch es lohnt sich, regelmäßige Kontrollen durchzuführen einmal alle sechs Monate. Mit den richtigen Instrumenten wird eine solche Überprüfung für alle Beteiligten einfach und zeitsparend sein. Wo es nicht möglich ist, alle sechs Monate eine Überprüfung durchzuführen, sollten wir unser Bestes tun, um einmal im Jahr eine größere Überprüfung mit der gesamten Organisation durchzuführen. Dies ist ein absolutes Minimum.

Was gibt es sonst noch zu bedenken?

Jede Organisation kann jedes Element des SAP-Sicherheitsbereichs überprüfen. Hier sind einige Standardthemen, die es wert sind „unter die Lupe genommen werden”:

• SAP-Rollenstatus - Inhalt der Rollen (PFCG) im Vergleich zur Übereinstimmung mit dem Berechtigungskonzept (wir sollten ein solches Dokument haben und auf dem neuesten Stand halten)
• Profilzuordnung SAP_ALL, SAP_NEW
• Benutzer in Notfällen (en. Notfall-Benutzer) so genannte FIREFIGHTERS - wer darf sie benutzen? Gibt es in der Organisation eine benannte Person, die für die Überprüfung der auf einem Benutzerkonto mit erweiterten Rechten durchgeführten Aktionen verantwortlich ist? Welche Aktionen führt der betreffende FIREFIGHTER durch (wir prüfen dies auf Transaktionsebene in SM20 oder detaillierter mit einem Tool der GRC-Gruppe, z. B. SAST SUITE)
• Stand der Zuweisung von Rollen an Mitarbeiter - Die Vorgesetzten der betroffenen Abteilungen sollten die Gültigkeit der den einzelnen Mitarbeitern zugewiesenen Rollen in den SAP-Systemen bestätigen oder verneinen.
• SoD-Konflikte - Wir sollten eine Analyse erstellen, in der wir den Stand seit der letzten Überarbeitung mit dem heutigen Stand vergleichen. Sind neue Abhilfemaßnahmen erforderlich? Sind neue gefährliche Konflikte aufgetreten, die die Sicherheit des Unternehmens bedrohen?
• Gültigkeit der SAP-Konten - Lassen Sie die Konten von Mitarbeitern, die nicht mehr arbeiten, sperren (oder löschen, je nach den Richtlinien der Organisation)

Wie unterstützt das SAST-Tool das zyklische Inspektionsprogramm?

Wie ich bereits erwähnt habe, verwendet unser Team Werkzeuglösungen aus der GRC SAST Suite Gruppe. Hier sind einige Beispiele wie das SAST-Tool das zyklische Inspektionsprogramm unterstützt:

1. Automatisierung - Das Tool verfügt über eine auf SAP-Standardfunktionen basierende Engine, mit der zyklische Berichte im Hintergrund erstellt und im System hinterlegt werden können, damit sie leicht abgerufen und an die Verantwortlichen der Schlüsselbereiche verteilt werden können.
2. Vielfalt der Berichte - Der Inhalt von Rollen, die Zuordnung von Rollen zu aktiven und inaktiven Benutzern, die Verwendung von Transaktionen pro Benutzer oder pro Rolle (Antwort auf die Frage: Brauchen wir so viele Transaktionen in einer Rolle?) sind nur einige der Berichte, die in den SAST-Tools verfügbar sind.
3. Dokumentation - ermöglicht die Erstellung von PDF-Dokumenten direkt aus dem System und die Erstellung von Abhilfemaßnahmen, wodurch das System zur Hauptquelle für Abhilfemaßnahmen für bestimmte Risiken wird.

Abschließend noch eine Handvoll kleiner, aber nützlicher Organisationstipps

Um zyklische Überprüfungen gut zu planen, ist es zunächst erforderlich, innerhalb der Organisation offen zu kommunizieren, welche Überprüfungstätigkeiten. Wir schlagen vor, dies mit auffälligen Plakaten in den Räumlichkeiten des Unternehmens oder mit Grafiken im Intranet zu tun, auf die alle Mitarbeiter, die für eine Überprüfung in Frage kommen, zugreifen können.

Es ist eine gute Idee, einen so genannten "Kalender" in Ihrem Kalender einzurichten. „Blocker” für den gesamten Zeitraum der geplanten Überprüfung. Die Reservierung von Zeitfenstern im Voraus (sogar sechs Monate im Voraus) wird uns helfen, das Thema nicht in den Hintergrund zu drängen. Da das operative Tagesgeschäft oft sehr stark ausgelastet ist, besteht die Gefahr, dass wir die Priorität unserer Überprüfungsaufgabe zugunsten der laufenden Betreuung reduzieren. Die Folge ist ein ständiges Aufschieben der Durchführung der zyklischen Kontrolle.

Wir sind für Sie da!

Wir unterstützen Sie gerne bei der Durchführung von zyklischen Überprüfungen oder beraten Sie bei der Ausarbeitung Ihrer operativen Strategie und der Schulung Ihrer internen Teams.