Anzeige

SAP-Berechtigungsmanagement: Drei Empfehlungen für mehr Sicherheit und Compliance

Ein gutes SAP-Berechtigungsmanagement reduziert die Gefahr, dass es zu unberechtigten Zugriffen auf kritische Daten in SAP-Systemen kommen kann. Der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fordert eine restriktive Vergabe kritischer Berechtigungen und eine regelmäßige Überprüfung des bestehenden Rollen- und Berechtigungskonzepts. Wir sprachen mit einem Experten zu diesem Thema: Bernd Israel vom Berechtigungsmanagement-Spezialisten SIVIS aus Karlsruhe.

 

Herr Israel, welche kritischen SAP-Berechtigungen sind Ihnen in der Praxis begegnet?

SAP Berechtigungsmanagement Bernd Israel sivis

Bernd Israel: Interessant war ein Fall, bei dem die Einkäufer eines Werks in den jeweils anderen Werken Zahlungsläufe auslösen konnten. Diese Kombination an Berechtigungen kam durch ein historisch gewachsenes Berechtigungskonzept zustande, in dem Rollen immer weiter vererbt und mit zusätzlichen Transaktionen „bereichert“ wurden.

Leider ist diese Vorgehensweise bei vielen Unternehmen immer noch gängige Praxis.

 

Was sagen Sie Firmenchefs, denen Compliance und Sicherheit wichtig sind?

Ein durchdachtes Berechtigungskonzept ist das A und O. Hier sollte von Beginn an darauf geachtet, werden, dass durch die Kombination von Berechtigungen keine Risiken entstehen. Sensible Berechtigungen sollten nur bei absoluter Notwendigkeit vergeben werden. SAP-Anwender können sich hier beispielsweise am DSAG-Prüfleitfaden orientieren. Ein IKS (internes Kontrollsystem) ist ebenfalls von Vorteil.

 

Welche Antworten muss man einem Wirtschaftsprüfer geben können?

Wenn der Wirtschaftsprüfer ein SAP-System und somit auch das Berechtigungskonzept unter die Lupe nimmt, ist in erster Linie wichtig, dass die Änderungen dokumentiert sind und natürlich mit den Änderungen im System übereinstimmen.

Hier liegt häufig das Problem: Diverse Auswertungen innerhalb von SAP, E-Mails, handgefertigte Notizen in Ordnern und ähnliches mehr, müssen dann mühsam und zeitaufwändig durchforstet werden. Das kostet nicht nur Zeit, sondern auch bares Geld.

Änderungen lassen sich beispielsweise automatisch lückenlos und nachvollziehbar dokumentieren, wenn man das SAP-Berechtigungswesen mit Funktionen komplettiert, wie wir sie anbieten.

 

Wie kann man regelmäßig und systematisch SAP-Rollen und SAP-Berechtigungen prüfen?

Im Idealfall sollte man die Auswirkungen von der Vergabe neuer Berechtigungen bereits im Vorfeld der Produktivsetzung simulieren können. Das ist beispielsweise mit dem SIVIS Compliance Manager möglich. Ebenso können verschiedene Genehmigungsverfahren für Konflikte definiert werden. Somit wird dem 4- oder 6-Augen-Prinzip Rechnung getragen. Unser Compliance Reference Manager enthält über 500 Prüfabfragen, welche individuell erweiterbar sind.

Dadurch werden typische Konflikte automatisch erkannt und können schnell behoben. Händisch ist eine derart systematische Kontrolle des Berechtigungswesens — wenn überhaupt — nur mit extrem viel Aufwand realisierbar. Ferner kann man auf diese Weise alle Rollen und Berechtigungen periodisch oder anlassbezogen ohne großen Aufwand prüfen.

 

Welche drei Empfehlungen geben Sie SAP Anwenderunternehmen?

Erstens: Bei der Vergabe von Rechten sollte man darauf achten, ob die Rechte am entsprechenden Arbeitsplatz wirklich notwendig sind.

Zweitens: Die Verantwortung für die Vergabe von Rechten sollte in der Fachabteilung liegen. Nur die Fachabteilung kann die Notwendigkeit für beantragte Rechte beurteilen.

Drittens: In der Vergangenheit vergebene Rechte sollte man periodisch hinterfragen. Mit einer derartigen Re-Zertifizierung können Konflikte beispielsweise beim Abteilungswechsel von Mitarbeitern vermieden werden.

 

Vielen Dank.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

DSAGTT24

DSAG-Event bringt Klarheit — aber auch neue SAP-Fragen

Was waren die wichtigsten Erkenntnisse der DSAG-Technologietage 2024 in Hamburg? SAP-Kunden fordern vom Hersteller SAP …