RECHNUNGEN UND FINANZEN
SICHERHEIT
DOKUMENTENUMLAUF UND ARCHIVIERUNG
E-COMMERCE
ANALYTIK
VERMARKTUNG
INHALT DIGITALISIERUNGWie kann man sich in drei Schritten um die SAP-Sicherheit kümmern?
- Sicherheit
Lassen Sie uns gleich zu Beginn Zweifel ausräumen: Es gibt kein sicheres IT-System. In jedem System kann es einen Fehler geben, und der Versuch, ihn zu beheben, kann einen Fehler auf einer anderen Ebene nach sich ziehen. Außerdem gibt es unterschiedliche Anforderungen an die Funktionalität des Systems, die nicht immer übereinstimmen. Der Architekt, der das System entwirft, hat eine andere Vorstellung von der Funktionalität als der Programmierer, und der Programmierer hat eine andere Vorstellung als der Geschäftsanwender des Systems.
Aus diesem Grund Sicherheitsmanagement ist ein kontinuierlicher Prozess, und die Vorbereitung eines sicheren Systems ist keine einmalige Angelegenheit.
Bedrohungen gehen sowohl von den technischen Aspekten der Systeme (Anfälligkeit für Eindringlinge) als auch von den Nutzern des Systems aus (zu viele Befugnisse bieten die Möglichkeit zu mehr oder weniger bewusstem Missbrauch).
Das SAP-System wird aufgrund seiner Flexibilität und seiner vielfältigen Möglichkeiten parallel zu den sich ändernden Bedürfnissen verändert. Neue Kundenprogramme, die die Standardfunktionalitäten erweitern, sind ein ordnungsgemäß durchgeführtes Projekt, das häufig die Zusammenarbeit mehrerer Benutzergruppen (Programmierer, Fachanwender, Modulexperten) erfordert. SAP-Sicherheit ist daher ein äußerst komplexes Thema.
Jeder dieser Nutzer verfügt über (erworbene oder durch bestimmte Tätigkeiten erworbene) Berechtigungen. Dies wirft eine sehr wichtige Frage auf
Besitzen Ihre Benutzer SAP_ALL-Rechte?
SAP_ALL-Privilegien ermöglichen es den Benutzern, nahezu unbegrenzte Änderungen am System vorzunehmen, unabhängig von den Systemmodulen, über die die Organisationen verfügen. Solche Privilegien sind einerseits eine Bequemlichkeit und andererseits eine Bedrohung. Überwachen Sie daher die Aktionen dieser Benutzer mit solch hohen Privilegien? Sind Sie in der Lage festzustellen, welcher Benutzer welche Änderungen vorgenommen hat und ob diese mit einem bestimmten laufenden Projekt zusammenhängen? Wie sieht es mit der SAP-Sicherheit in Ihrem Unternehmen aus?.
Welche Risiken sind mit dem oben genannten Verfahren verbunden?
1 - Risiko des Machtmissbrauchs
2 - Risiken im Zusammenhang mit Änderungen der Systemstrukturen außerhalb der Kontrolle der zuständigen Dienststellen
3 - Risiko des unwissentlichen Missbrauchs der eigenen Befugnisse
4 - Risiko, eine externe Prüfung nicht zu bestehen
Daher ist es wichtig, dass:
1 - die bestehenden Rechte Ihrer Benutzer zu kennen,
2 - die unnötig vergebenen Berechtigungen deaktivieren (hier geht es neben dem Thema Sicherheit auch um Benutzerlizenzen, die wir de facto nicht brauchen,
3 - SAP_ALL-Berechtigungen nur für bestimmte Benutzer und nur für bestimmte Fälle vorsehen
4 - ihre Aktivitäten im Rahmen ihrer Arbeit zu überwachen.
Wie lässt sich also ein optimaler Prozess zur Risikominderung in drei Schritten organisieren?
Erste - unnötige SAP_ALL-Berechtigungen zu löschen. Scheuen wir uns nicht zu sagen, dass zu viele Benutzerrechte ein Problem sind. Und Probleme müssen gelöst werden. Nehmen wir also allen (!) Benutzern die SAP_ALL-Berechtigungen weg.
Zum zweiten - lassen Sie uns sicherstellen, dass wir nur denjenigen Nutzern Funktionen zur Verfügung stellen, deren Aktivitäten innerhalb der Organisation diese Art von Berechtigung tatsächlich erfordern. Denn schließlich können wir auf diese Berechtigungen nicht gänzlich verzichten.
Dritte - einen Prüfer benennen, der die Erteilung von Befugnissen akzeptiert und die tatsächlichen Handlungen im System überprüft. Jede Aktion, die im Rahmen der erteilten Befugnisse durchgeführt wird, hinterlässt eine Spur. Es sollte geprüft werden, ob die Änderungen wirklich notwendig waren.
Der auf diese Weise durchgeführte Prozess ermöglicht eine erhebliche Verringerung der Risiken, denn dies ist der Kern des Datensicherheitsmanagements im SAP-System, auf dem das Geschäft vieler Organisationen, nicht nur in Polen, sondern auch weltweit, oft vollständig basiert.
Für einen klareren Blick auf das Thema beigefügte Bildschirme des neuen Verfahrens zur Bereitstellung von SAP_ALL-Zulagen.
Die folgende Abbildung zeigt den Erhalt einer positiven Antwort auf die Anfrage des Benutzers DSIKORSKI nach SAP_ALL-Rechten (Notfallbenutzer). Im Popup „Enter session token” hat der Benutzer ein eindeutiges Token eingegeben, das ihm den Zugriff auf den Benutzer PL_EMERG_1 mit SAP_ALL-Rechten ermöglicht
Nachstehend finden Sie den Bericht, den der Prüfer des Benutzers PL_EMERG_1 erhält. Er zeigt alle Details der Aktionen von DSIKORSKI im Rahmen der erhaltenen Befugnisse. Auf dieser Grundlage prüft der Prüfer die Gültigkeit der durchgeführten Änderungen.
Möchten Sie mehr darüber erfahren, wie Sie Risiken reduzieren und die Sicherheit Ihres SAP-Systems erhöhen können? Nehmen Sie Kontakt mit uns auf.
Mehr aus der Kategorie
- Sicherheit
Tomasz Jurgielewicz
Leiter der Sicherheitsabteilung bei Lukardi. Er leitet seit 10 Jahren ein Team von SAP-Sicherheitsspezialisten und bietet umfassende Dienstleistungen und Tools zur Sicherung von SAP-Systemen und zur Optimierung von Lizenzen. Erfahrung in den Bereichen: - Identifizierung von Berechtigungskonflikten und Reorganisation von Berechtigungen, - Identifikation von SAP-Schwachstellen, - Integration von SIEM-Lösungen mit SAP, - Optimierung von SAP-Lizenzen.