Firefighter sauber berechtigen

Verfasst vonK1203130620Veröffentlicht inABAP, Allgemein, BERECHTIGUNGEN, SAP BerechtigungenSchlagwörter:,

Firefighter helfen, Probleme schnell zu lösen und kommen bei seltenen oder unregelmäßigen Aktivitäten zum Einsatz. Mit Firefightern können Sie die Berechtigungen der User schlank halten, weil diese im Zweifel auf besagte Notfalluser zurückgreifen können. Doch der Einsatz von Firefightern in SAP-Systemen ist ein kritisches Thema für die Systemsicherheit und Compliance. Deshalb schauen wir uns jetzt genauer an, wie Sie den Einsatz von Firefightern absichern können.

Sie kennen das vermutlich: Alle paar Monate beantragt ein User eine hochkritische Berechtigung. Wenn Sie nachfragen, wofür die benötigt wird, stellt sich heraus, dass es sich um einmalige Tätigkeiten handelt. Dafür Berechtigungsrollen zu erweitern, die auch anderen Usern diese Rechte einräumen würden, ist keine Lösung. Das Sicherheitsrisiko stünde dabei in keinem Verhältnis zum Nutzen. Hat Ihr Unternehmen nun ein Firefighter-Konzept, können Sie den User darauf verweisen und ihn auffordern, einen dieser Notfall-User zu nutzen.

Anwendungsszenarien Firefighter

Firefighter kommen in verschiedenen Situationen zum Einsatz, z.B:

  • Tätigkeiten, die nicht regelmäßig erfolgen: Aufgaben, die selten und unvorhersehbar sind, erfordern oft spezielle Berechtigungen (Bsp: Jahreswechselaktivitäten oder Aktivitäten nach Systemaufbau).
  • Vertretung bei Krankheit oder Abwesenheit von Mitarbeitern: Wenn ein Mitarbeiter kurzfristig ausfällt, muss ein Vertreter schnell Zugriff auf notwendige Funktionen erhalten. Da Berechtigungen aber so sparsam wie möglich vergeben werden, bekommt der Mitarbeiter nicht einfach von vornherein dieselben Rechte, sondern kann bei Bedarf einen Firefighter nutzen.
  • Systemausfälle und kritische Notfälle: Bei technischen Problemen oder Sicherheitsvorfällen müssen Administratoren schnell handeln können – auch wenn ihre eigenen User nicht mit den notwendigen Berechtigungen ausgestattet sind.

Mitigationsmöglichkeiten

Firefighter haben in der Regel sehr weit reichende Berechtigungen und stellen deshalb immer ein Sicherheitsrisiko dar. Um das Risiko zu mindern, sollten Sie dafür sorgen, den Einsatz von Firefightern durch folgende Maßnahmen abzusichern:

  • Strikte Genehmigungsprozesse: Implementieren Sie strenge Genehmigungsprozesse, um sicherzustellen, dass nur berechtigte Personen Firefighter-Zugriff erhalten.
  • Lückenlose Protokollierung: Nutzen Sie Tools und Systeme, die eine vollständige und revisionssichere Protokollierung aller Aktivitäten gewährleisten.
  • Regelmäßige Reviews: Führen Sie regelmäßige und unabhängige Reviews der Firefighter-Protokolle durch, um Missbrauch und Sicherheitslücken zu identifizieren und zu beheben.
  • Schulung und Sensibilisierung: Schulen Sie alle beteiligten Personen regelmäßig und sensibilisieren Sie sie für die Risiken und Best Practices im Umgang mit Firefightern.

Notfalluser-Konzept

Grundlage für einen sicheren Einsatz von Firefightern im Unternehmen ist ein gutes Notfalluser-Konzept, das folgende Eckpunkte abdecken sollte:

Berechtigte Anforderer und Einsatzzwecke

Die Berechtigung zur Anforderung eines Firefighters sollte auf einen definierten Personenkreis beschränkt sein, wie Abteilungsleiter oder IT-Verantwortliche. Firefighter dürfen ausschließlich für legitime Notfälle und zeitkritische Aufgaben eingesetzt werden, die nicht mit regulären Berechtigungen durchgeführt werden können.

Berechtigungsumfang

Jeder Firefighter-Typ sollte einen klar definierten Berechtigungsumfang haben, der auf die jeweiligen Notfallszenarien zugeschnitten ist. Es empfiehlt sich, verschiedene Firefighter-Rollen für unterschiedliche Aufgabenbereiche zu definieren.

Prozessablauf

Es muss klar geregelt sein, wie die Nutzung eines Firefighters beantragt und genehmigt wird. Darf zum Beispiel jeder User einen Antrag stellen oder muss das über den Vorgesetzten passieren? Wer darf die Nutzung genehmigen und unter welchen Voraussetzungen wird ein Antrag genehmigt? Wie erhält der User die Zugangsdaten, mit denen er den Firefighter nutzen kann? Gibt es einen automatischen Prozess über ein IDM-Tool oder das SAP GRC oder wird das manuell verwaltet? Fragen wie diese müssen im Konzept beantwortet werden.

Nutzungsdauer

Die Nutzungsdauer eines Firefighters sollte auf das notwendige Minimum beschränkt sein, typischerweise wenige Stunden bis maximal einen Arbeitstag. Hier wird auch beschrieben, wie diese zeitliche Einschränkung erfolgt. Wird der Firefighter nach Zeitablauf automatisch gesperrt oder wird zum Beispiel das Passwort des User zentral geändert, wenn der genehmigte Zeitraum abgelaufen ist?

Genehmigung und Review Firefighter

Die Genehmigung der Firefighter-Nutzer erfolgt idealerweise durch einen IT-Sicherheitsbeauftragten oder eine äquivalente Rolle. Ebenso wichtig wie die sorgfältige Prüfung der Anträge ist die Sichtung der Nutzungsprotokolle. Im Sinne einer unabhängigen Kontrolle sind Genehmiger und Reviewer zwei unterschiedliche Personen.

Protokollierung und Aufbewahrung

Sämtliche Aktivitäten während eines Firefighter-Einsatzes müssen lückenlos protokolliert werden. Das ist wichtig, weil die umfangreichen Berechtigungen eines Notfallusers auch Missbrauch erleichtern. Die Protokolle sollten dabei folgende Daten umfassen:

  • Zeitstempel
  • durchgeführte Transaktionen
  • geänderte Daten

In Deutschland müssen die Protokolle übrigens für mindestens 10 Jahre revisionssicher aufbewahrt werden.

Firefighter berechtigen

Firefighter sind Dialogbenutzer. Wie bereits erwähnt, ist die sicherste Variante, verschiedene Notfalluser für unterschiedliche Anwendungsfälle oder zum Beispiel für unterschiedliche Abteilungen im Unternehmen zur Verfügung zu stellen. So könnten Sie zum Beispiel HR-Firefighter mit umfangreichen HR-Berechtigungen ausstatten, aber nur die notwendigsten FI-Berechtigungen vergeben und umgekehrt.

Auch für Firefighter sollte die Verwendung von SAP_ALL vermieden werden. Erstellen Sie stattdessen maßgeschneiderte Rollen, die nur die tatsächlich benötigten Berechtigungen enthalten. Dies minimiert das Risiko von Missbrauch und erleichtert die Überwachung. Außerdem wird SAP_ALL in jedem Audit moniert – auch im Fall von Firefightern.

Wie bei jeder anderen Rolle haben Sie also auch beim Aufbau der Firefighter-Rollen zwei Möglichkeiten: Sie können SAP-Standard-Rollen in den kundeneigenen Namensraum kopieren und damit arbeiten oder von Grund auf eigene Firefighter-Rollen bauen.

Fazit Einsatz Firefighter

Ein gut durchdachtes Firefighter-Konzept ist essentiell für die Sicherheit und Compliance von SAP-Systemen. Durch die Kombination von klaren Prozessen, granularen Berechtigungen und lückenloser Protokollierung können Unternehmen den Spagat zwischen Handlungsfähigkeit in Notfällen und Sicherheit meistern. Allerdings brauchen Sie für einen automatischen Notfalluser-Prozess, der alle Anforderungen abdeckt, aktuell noch externe Tools wie IDM-Lösungen oder das SAP GRC.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert