RECHNUNGEN UND FINANZEN
SICHERHEIT
DOKUMENTENUMLAUF UND ARCHIVIERUNG
E-COMMERCE
ANALYTIK
VERMARKTUNG
INHALT DIGITALISIERUNGÜberwachung des SAP-Benutzerverhaltens
- Sicherheit
Steigende Anforderungen (z.B. durch die RODO-Verordnung) zwingen Unternehmen dazu, Lösungen zu implementieren, die das Sicherheitsniveau von Systemen zur Verarbeitung personenbezogener Daten erhöhen. SAP ist da keine Ausnahme. Der heutige Artikel zeigt Ihnen, wie Sie die Datensicherheit in 3 Schritten erhöhen können.
Datensicherheit ist nicht nur eine Frage der Berechtigungen
Um das Thema aufzuschlüsseln, lassen Sie uns mit den Grundlagen beginnen. Jedem Benutzer in SAP werden Berechtigungen zugewiesen. Diese legen fest, ob einem Benutzer der Zugriff auf bestimmte Datenstapel gewährt werden soll oder ob dieser Zugriff gesperrt werden soll. Anhand der zugewiesenen Rollen können wir den Zugriff beschränken. Das ist eine Tatsache. Hier ergibt sich jedoch ein ziemlich ernstes Problem im Hinblick auf den möglichen Abfluss von Daten nach außen.
1. die Überwachung der Anzeige von personenbezogenen Daten
SAP-Standardlösungen sind auf die Verwaltung von Berechtigungen beschränkt. Der Standard wird keine klare Antwort auf die Fragen „wer”, „was” und „wann” auf dem Bildschirm angezeigt wird, geben. Heutzutage ist jeder Benutzer in der Lage, mit einem gewöhnlichen Mobiltelefon ein Foto des Bildschirms zu machen, auf dem persönliche Daten angezeigt werden (oder einen Bildschirmausdruck anzufertigen), die Rückverfolgung dieser Aktivität ist praktisch nicht mehr möglich. Es ist daher von entscheidender Bedeutung, riskante Benutzeraktionen mit größerer Genauigkeit zu überwachen und zu protokollieren als die standardmäßig bereitgestellten Funktionen.
Es gibt noch weitere Beispiele für möglichen Missbrauch. So haben privilegierte Nutzer (auch wenn es sich um Administratoren handelt) sogar unbegrenzten Zugang zu Daten mit sensiblen Informationen. In den neuen GDPR-Anforderungen ist von einer möglichst effektiven Überwachung des Datenzugriffs die Rede. Es sind nicht nur die regulatorischen Anforderungen, die zu Änderungen bei den Zugriffsprozessen auf personenbezogene Daten führen sollten. Denn schon das bloße Durchsickern von Gehaltsabrechnungsdaten kann zu Unruhe unter den Mitarbeitern führen. Die Daten können auch von Konkurrenten abgefangen werden - und das ist auch ein geschäftliches Problem.
Oben haben wir die wesentlichen Elemente der Protokollierung des Benutzerverhaltens mit der Genauigkeit der Anzeige persönlicher Daten in einer globalen Weise umrissen. Die Auflösung der Benutzerüberwachung sollte daher hoch genug sein, um genaue Informationen über den Zugriff (Anzeigen) auf SAP-HR-Daten zu liefern.
2. Speichern von Daten in Dateien
Standardmäßig können Sie in SAP die Möglichkeit zum Herunterladen von Daten (z. B. aus einem Bericht, auf den Sie Zugriff haben) global aktivieren oder deaktivieren. Standardmäßig lassen die Protokolle nur Informationen darüber zu, wann und von wem eine Datei mit einem bestimmten Namen und unter einem bestimmten Pfad heruntergeladen wurde. Der Standard enthält keine Informationen über den Inhalt der heruntergeladenen Dateien.
Die Aufmerksamkeit kann durch das Prisma der Informationen über mögliche Verstöße auf den obigen Bildschirm gelenkt werden:
1 - Welche Daten wurden heruntergeladen? Keine Informationen verfügbar
2 - Wurden kritische personenbezogene Daten in die Akte aufgenommen? Keine Informationen
3 - Können wir die heruntergeladene Datei reproduzieren? Nein
Glücklicherweise gibt es (für die Datensicherheit in SAP) Lösungen, die die oben genannten Probleme wirksam angehen können. Durch die Bereitstellung erweiterter Protokollinformationen über bestimmte Aktivitäten mit weitaus größerer Auflösung.
Anhand von definierten Schlüsselwörtern, Berichten oder Dateigrößen können Administratoren Informationen über einen möglichen Missbrauch kritischer Downloads erhalten. Außerdem wird jeder Download (für eine bestimmte Zeit) zurückgestellt, so dass es möglich ist, die heruntergeladene Datei vollständig wiederherzustellen.
3. Verwendung von Transaktionen
Bei der Verringerung der Risiken im Zusammenhang mit dem unbefugten Zugriff auf Daten geht es auch darum, dass die erteilten Berechtigungen auf ein Minimum beschränkt werden. Dabei wird davon ausgegangen, dass die erteilten Berechtigungen nicht immer 100% den erforderlichen Berechtigungen entsprechen (sie sind oft viel höher als das, was der Mitarbeiter tatsächlich für seine tägliche Arbeit benötigt). Die Verwendung der Transaktionen sollte daher unter dem Gesichtspunkt ihrer Verwendung analysiert werden.
Die Statistiken befinden sich in ST03N und werden monatlich aktualisiert. Damit:
- ungenutzte Transaktionen können aus den Benutzerrechten entfernt werden
- Transaktionen, die nicht in der Rolle verwendet werden (von keinem Benutzer) - können vollständig aus der Rolle entfernt werden
Zusammenfassung
Die oben genannten drei Elemente der Benutzerüberwachung, mit denen Sie Ihr SAP-System erweitern können, unterstützen Ihre Risikomanagementprozesse und verbessern direkt die Sicherheit. Ein solches Vorgehen ermöglicht es Ihnen, potenzielle Missbrauchsmöglichkeiten schnell auszusortieren.
An dieser Stelle sollte man noch eine weitere wahnsinnig wichtige Sache aus der Perspektive der Nutzerüberwachung hinzufügen.
Bei einem unserer Projekte wurden die Nutzer einige Wochen nach der Implementierung der oben genannten Funktionen darüber informiert, dass ihre Aktivitäten überwacht wurden. Die Zahl der Downloads der Datei sank um etwa 63%.
Und was machen Ihre Benutzer in SAP?
Mehr aus der Kategorie
- Sicherheit
Tomasz Jurgielewicz
Leiter der Sicherheitsabteilung bei Lukardi. Er leitet seit 10 Jahren ein Team von SAP-Sicherheitsspezialisten und bietet umfassende Dienstleistungen und Tools zur Sicherung von SAP-Systemen und zur Optimierung von Lizenzen. Erfahrung in den Bereichen: - Identifizierung von Berechtigungskonflikten und Reorganisation von Berechtigungen, - Identifizierung von SAP-Schwachstellen, - Integration von SIEM-Lösungen mit SAP, - Optimierung von SAP-Lizenzen.