Kunden wollen „auditsichere“ Berechtigungen, aber was genau ist damit eigentlich gemeint? Was nehmen Prüfer konkret unter die Lupe und welche Berechtigungen werden dabei als besonders kritisch eingestuft? Das klären wir heute.
Sie kennen das sicher: Sie kommen in ein neues Unternehmen und sollen die SAP-Berechtigungen optimieren. Wenn Sie genauer wissen wollen, was damit gemeint ist, heißt es: „Die Wirtschaftsprüfer kommen. Wir brauchen auditsichere Berechtigungen!“ Schauen wir uns also mal genauer an, wie Sie Ihren neuen Auftrag angehen können.
Je nachdem, wie groß Ihr System ist, wie viele User und Rollen genutzt werden und ob zusätzliche externe Software-Lösungen im Einsatz sind, kann allein die Analyse viel Zeit in Anspruch nehmen. Grob gesagt müssen Sie herausfinden, ob kritische Berechtigungen oder Berechtigungskombinationen vergeben sind, die nicht durch ein Berechtigungskonzept und/oder Mitigationen gerechtfertigt sind.
Einsatz von Analyse-Tools
Die Analyse der Berechtigungen kann zu einem aufwendigen Problem werden, wenn Sie zum Beispiel sehr viele SAP-Systeme/-Mandanten im Einsatz haben. Interne SAP-Tools wie die SUIM, QuickViewer oder der Report RSUSR_008_009_NEW sind nützlich, um die vergebenen Berechtigungen zu analysieren. Diese Tools sind jedoch oft zeitaufwendig und bieten nur eine oberflächliche Analyse.
Bei einer komplexen Systemlandschaft kann es deshalb notwendig werden, zusätzliche (externe) Lösungen zu nutzen. Tools wie SAP Access Control arbeiten dabei mit präventiven Kontrollen. Das bedeutet, sie prüfen bereits vor der Vergabe von Berechtigungen, ob kritische Berechtigungen oder Berechtigungskombinationen (SoD-Konflikte) entstehen.
Große Unternehmen sollten auf präventive Kontrollen setzen, um kritische Berechtigungen bereits vor ihrer Vergabe zu verhindern. Kleinere und mittlere Unternehmen können aus Kostengründen eher auf detektivische Kontrollen setzen, bei denen die vergebenen Berechtigungen nachträglich überprüft werden.
Security Checks etablieren
Regelmäßige Security Checks sind nicht allein Ihre Aufgabe als Berechtiger oder Berechtigerin. Aber um sicherzustellen, dass die Berechtigungen im SAP-System den aktuellen Sicherheitsanforderungen entsprechen, sollten sie mindestens einmal im Quartal durchgeführt werden. Sie umfassen zum Beispiel:
- Überprüfung der aktiven Benutzer: Stellen Sie sicher, dass nur aktuelle Mitarbeiter Zugriff auf das System haben.
- Analyse der zugewiesenen Rollen: Überprüfen Sie, ob die zugewiesenen Rollen den aktuellen Aufgaben und Verantwortlichkeiten der Benutzer entsprechen.
- Kontrolle der Systemeinstellungen: Stellen Sie sicher, dass die Systemeinstellungen den Sicherheitsrichtlinien entsprechen und keine unautorisierten Änderungen vorgenommen wurden (in der Regel kein Berechtigungsthema).
Wichtige Prüfpunkte für auditsichere Berechtigungen
Die regelmäßigen Security Checks sind in der Regel einer der Punkte, die Auditoren prüfen. Zusätzlich konzentrieren sie sich häufig auf diese kritischen Bereiche innerhalb der SAP-Berechtigungen:
- SAP_ALL / SAP_NEW: Diese Profile gewähren umfassende Administratorrechte und werden oft auf ihre Verwendung hin überprüft. Auditoren suchen nach Benutzern, denen diese Profile zugewiesen sind.
- S_TABU_DIS / S_TABU_NAM: Diese Berechtigungsobjekte erlauben den Zugriff auf und die Änderung von Tabellen. Auditoren prüfen, welche Benutzer diese Berechtigungen haben und ob sie notwendig sind (sollte im Berechtigungskonzept geregelt und begründet sein).
- SP01 (Spoolaufträge/Druckaufträge verwalten): Mit dieser Transaktion können Benutzer Druckaufträge einsehen und verwalten. Das ist ein Datenschutzproblem – vor allem, wenn die User auch auf fremde Spools zugreifen dürfen.
- Protokollierung und Überwachung: Alle Aktivitäten sollten lückenlos protokolliert und regelmäßig überprüft werden, um Missbrauch zu verhindern und Compliance sicherzustellen.
Auditsichere Berechtigungen erstellen
Damit haben Sie einen ersten Einstiegspunkt, um auditsichere Berechtigungen zu generieren: SAP_ALL und SAP_NEW müssen entzogen und durch angemessene fachliche Einzelrollen ersetzt, die Tabellen- und Spool-Berechtigungen überprüft und ggf. eingeschränkt werden.
Berechtigungskonzept nutzen
An dieser Stelle können Sie optimalerweise auf ein ausführliches und aktuelles Berechtigungskonzept zurückgreifen. Darin sollte geregelt sein, wie mit potenziell kritischen Berechtigungen umzugehen ist:
- Welche Rollen enthalten kritische Berechtigungen und warum?
Für bestimmte Tätigkeiten brauchen User die Berechtigungen, Tabellen und Spoolaufträge zu verwalten. Auch wenn diese als kritische eingestuft sind, können Sie sie also nicht einfach pauschal entziehen. Das Berechtigungskonzept regelt im besten Fall, in welchen Rollen diese Berechtigungen erlaubt sind, an welchen Userkreis sie vergeben werden und wer das Risiko übernommen hat.
- Welche SoD-Konflikte gilt es zu vermeiden?
Segregation of Duty (SoD) meint das 4-Augen-Prinzip. Konkret bedeutet es, dass User über bestimmte Berechtigungen (etwa Bestellungen tätigen und Bestellungen freigeben) nicht in Kombination verfügen dürfen. SoDs sind im Wesentlichen ein Compliance-Thema. Welche Berechtigungskombinationen als kritisch gelten, ist dabei in jedem Unternehmen verschieden und sollte im Berechtigungskonzept geregelt sein. - Gibt es User, die bewusst „überberechtigt“ sind?
Hier geht es zum Beispiel um Keyuser, aber auch um Notfall-User. Letztere sind zum Beispiel häufig mit SAP_ALL berechtigt. Da das immer als kritisch angemerkt werden wird, sollte das Konzept hier eine klare Regelung enthalten, warum welche User weitreichende Berechtigungen haben (und welche Kontrollmechanismen zum Schutz eingesetzt werden).
Auditsichere Berechtigungen: Minimalprinzip
Sie haben also jetzt einen Überblick aller Rollen, die kritische Berechtigungen enthalten und haben diese mit den Regelungen aus dem Berechtigungskonzept abgeglichen. Das Delta aus diesen beiden Analysen muss nun bereinigt werden, um auditsichere Berechtigungen zu erzeugen.
Bauen Sie also ggf. neue Rollen oder passen Sie bestehende Rollen so an, dass die kritischen und nicht über das Konzept mitigierten Berechtigungen entfernt werden. Gehen Sie dabei wie gewohnt nach dem Minimalprinzip vor. Das besagt, dass Benutzer nur die Berechtigungen erhalten sollten, die sie für ihre Arbeit unbedingt benötigen. Dies reduziert das Risiko von Missbrauch und erhöht die Sicherheit des Systems. Bei der Vergabe von Berechtigungen sollten folgende Punkte beachtet werden:
- Strikte Einhaltung des Minimalprinzips: Vergeben Sie nur die notwendigsten Berechtigungen und überprüfen Sie regelmäßig, ob diese noch erforderlich sind.
- Berücksichtigung von Auflagen und Vorschriften: Stellen Sie sicher, dass die Berechtigungsvergabe den gesetzlichen Vorschriften und unternehmenseigenen Vorgaben entspricht. Hier gilt es neben den branchenspezifischen Regeln vor allem Compliance und Datenschutz ins Auge zu fassen.
Dokumentation
Wenn alle Berechtigungsanpassungen erledigt sind, vergessen Sie die Dokumentation nicht! Aktualisieren Sie das Berechtigungskonzept und alle relevanten mitgeltenden Dokumente. Die Dokumentation sollte alle Prozesse und Richtlinien zur Berechtigungsvergabe und -überwachung enthalten. Diese Dokumentationen werden in der Regel auch den Auditoren zur Verfügung gestellt und müssen deshalb aktuell sein.
Rolle für Auditoren bauen
Fast geschafft. Eine Aufgabe liegt noch vor Ihnen, bevor die Wirtschaftsprüfer kommen können: Sie müssen eine Rolle für die Auditoren bauen. Sie können dabei die entsprechende SAP-Standard-Rolle kopieren und den Anforderungen Ihres Unternehmens anpassen.
Achten Sie auch hier darauf, nur die notwendigen Berechtigungen zu vergeben. Banales Beispiel: Ein Wirtschaftsprüfer braucht keinen Zugriff auf HR-Daten, in der Regel aber sehr wohl auf FI-Daten. Vor allem aber achten Sie darauf, dass Sie die Rolle, soweit möglich, auf Display-Berechtigungen einschränken.
Sorgen Sie auch dafür, dass die Zuweisung der Rolle zeitlich auf den Auditzeitraum begrenzt wird. Entziehen Sie die Rolle also im Anschluss wieder und/oder deaktivieren Sie den User für den Auditor.