Als Betreiber von SAP-Systemen müssen sich Unternehmen einmal im Jahr einer Abnahme durch einen Wirtschaftsprüfer unterziehen. Häufig werden dabei auch die SAP-Berechtigungen unter die Lupe genommen und hinsichtlich Funktionstrennungsrisiken sowie kritischen Berechtigungen, insbesondere aus dem Umfeld SAP Basis Administration, überprüft. Wie Sie kritische SAP-Berechtigungen (Wirtschaftsprüfer Findings) im Handumdrehen reduzieren können, lesen Sie in unserem Blogbeitrag.
Gerade die Berechtigungsobjekte und Transaktionen aus dem Umfeld SAP Basis werden nicht selten durch Business-Funktionen verwendet. Einige Beispiele sind Objekte wie:
- S_RFC (Remote Function Call)
- S_DATASET (Zugriff auf Dateien in Verzeichnissen des Applikationsservers)
- S_ADMI_FCD (div. Funktionen aus der Basis Administration)
- S_SPO_ACT (Aktionen im Umfeld Spool)
- S_TABU_DIS / S_TABU_NAM (Zugriff auf Tabellen)
- S_USER_GRP (Pflege von Benutzerstämmen)
- S_USER_AGR (Pflege von Berechtigungsrollen)
- S_DEVELOP (ABAP Entwicklung)
Die Liste könnte hier noch um viele weitere Objekte ergänzt werden. Auch mit kritischen Transaktionen aus dem Umfeld SAP Basis, wie z.B. SE16 (Tabellenansicht), SM30 (Tabellenpflege), SQ01 (Query Verwaltung), SPRO (System Customizing), SCC4 (Mandanteneinstellungen) wird unter anderen leider häufig zu großzügig umgegangen.
Gefahren durch zu großzügig vergebene Berechtigungen sind groß
Wiederholt werden Berechtigungsobjekte aus Unkenntnis über deren Kritikalität zu umfassend ausgeprägt und kritische Transaktionen zu häufig vergeben. In Folge dessen haben es Verantwortliche dann mit einem erhöhten IT-Risiko zu tun, das weitreichende Folgen nach sich ziehen kann. Ganz abgesehen davon, dass die Verfügbarkeit und Vertraulichkeit von Daten nicht mehr zugesichert werden kann, droht bei Unkenntnis der Verwendung von kritischen Transaktionen, wie beispielsweise durch Löschen von Mandanten mit SCC5, sogar der Verlust des ganzen Systemmandanten.
Kritische SAP-Berechtigungen (Wirtschaftsprüfer-Findings) im Handumdrehen reduzieren
Mit unserer GRC-Suite SAST können kritische Berechtigungen mit einer Quote von bis zu 95 Prozent bereinigt werden. Zudem ist eine Analyse über die tatsächliche Nutzung von kritischen Objektwerten komfortabel über alle Benutzer möglich. Der besondere Vorteil besteht darin, dass keinerlei Einschränkung des Tagesgeschäfts zu befürchten ist.
Auf Basis unserer Auswertungen ist die Vergabe von Berechtigungen einfach zu handhaben und Verantwortliche sind in der Lage zu entscheiden, welche Personen diese auch wirklich benötigen. In der Regel brauchen nur die wenigsten Benutzer derartig kritische Berechtigungen, weswegen ein Entfernen bei den meisten Benutzern ohne Störung möglich ist. Eine Separierung nach dem Minimalprinzip sollte also angestrebt werden. Das hilft, sowohl den administrativen Aufwand zu reduzieren als auch den heutigen und künftigen rechtlichen Anforderungen gerecht zu werden.
Störungsfreie Umstellung von SAP-Berechtigungen
Die Produktivsetzung kann zudem mittels SAST Safe Go-Live Management für den unwahrscheinlichen Fehlerfall zusätzlich abgesichert werden. Denn eine der größten Herausforderungen bei einer Umstellung oder einem Redesign von SAP-Berechtigungen besteht in der Wahrung der Kontinuität des operativen Geschäfts. Mit unserem SAST Safe Go-Live Ansatz gehören diese Probleme der Vergangenheit an.
Stehen Sie vor einer ähnlichen Herausforderung oder wollen mehr über die umfassende Absicherung Ihrer SAP-Systeme erfahren? Dann schauen Sie Sie sich auf unserer SAST SOLUTIONS Website um oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de
Wir beraten Sie gerne!
Steffen Maltig, Head of SAST Authorization Management SAST SOLUTIONS bei AKQUINET
Das könnte Sie auch interessieren
Der optimale Umgang mit Berechtigungen bei einem SAP-Release-Upgrade