Bereit für das SAP-Audit?
Das SAP-Berechtigungswesen ist sehr komplex. Damit in Unternehmen kein Wildwuchs und überberechtigte Benutzer entstehen, werden die SAP-Systeme regelmässig in Form von Audits bezüglich der Compliance überprüft. Dies setzt tiefes Wissen voraus und kann Unternehmen vor einige Herausforderungen stellen.
Berechtigungen in einem SAP-System steuern benutzerbezogen die Zugriffsmöglichkeiten auf die Geschäftsdaten. Bei der Berechtigungsvergabe sind neben Auflagen, gesetzlichen Vorschriften und unternehmenseigenen Vorgaben auch ein restriktiver Umgang nach dem strikten Minimalprinzip einzuhalten. Auch bei SAP steht immer mehr die Sicherheit und die Reduktion – oder im besten Fall gar die Beseitigung – von Risiken im Fokus. Denn durch die Berechtigungsvergabe über Rollen können sich kritische Berechtigungen oder Berechtigungskombinationen ergeben, die man bei der Rollenzuweisung nicht vorhergesehen hat. Daher ist eine regelmässige Überprüfung der aktiven Benutzer, der zugewiesenen Rollen und natürlich auch der Systemeinstellungen in Form eines Security-Checks ratsam.
SAP-Security-Check – prüfen Sie Ihr Sicherheitslevel
Ist bei Ihnen auch schon mal das interne oder externe Audit auf der Matte gestanden? War alles zur Zufriedenheit und ohne jegliche Beanstandung? Falls ja, herzliche Gratulation – well done! In den meisten Fällen finden die Auditoren jedoch immer noch Sicherheitslücken wie beispielsweise zu umfangreichen Tabellenzugriff oder eine schwache Password Policy (falls kein SSO im Einsatz ist). Ein SAP-Security-Check untersucht Systeme, Daten und Prozesse auf Sicherheitsmängel und bildet die Grundlage für ein lückenloses SAP-Sicherheitskonzept. Diese Punkte werden unter anderem analysiert:
Überprüfen der Rollen auf Qualitäts- und Sicherheitsstandards, beispielsweise Änderungsrechte in Anzeigerollen
kritische Berechtigungskombinationen wie Segregation-of-Duties-Konflikten bei Usern, damit ein einzelner User nicht zu viele Prozesse durchspielen kann, wie beispielsweise Erstellen und Genehmigen einer Bestellung
Vergabe von Profilen SAP_ALL/SAP_NEW an User (auch technische User)
Systemänderbarkeit der Mandanten überprüfen
Passworteinstellungen (ein Passwort sollte den empfohlenen Richtlinien entsprechen), als Alternative kann auch Single Sign-on eingeführt werden
Nutzung und richtige Konfiguration des Security-Audit-Logs, damit alle wichtigen Aktivitäten im System geloggt werden
aktive Tabellenprotokollierung, um Änderungen zu überprüfen
Tabellenschutz mittels Berechtigungen, damit nur wenige User auch Tabelleneinträge ändern/löschen können
Überprüfung potenzieller Zugriffe auf sensible Daten aus dem Personalwesen (wie etwa Lohndaten und andere persönliche Daten)
Überprüfung der technischen User, damit sie auch nur die benötigten Berechtigungen zugewiesen haben
((Quelle: Aveniq))
Nach dieser Analyse ist eine Bewertung der Risiken aus den eruierten potenziellen Schwachstellen unabdingbar. Aus der Gesamteinschätzung der Analyseergebnisse resultieren dann Empfehlungen zu weiteren Massnahmen zur Schwachstellenbereinigung.
Was bringt’s?
Eine regelmässige Systemprüfung deckt etwaige Mängel zeitnah auf und ermöglicht eine effiziente Umsetzung von Massnahmen. Damit werden Risiken verringert und kostspielige Konsequenzen vermieden. Das nächste Audit kann dann entspannt angegangen werden.
Diese Digitaltunternehmen gestalten die KI-Transformation in der Schweiz
Bei Profondia immer an der richtigen Adresse
Firmenporträt ensec
OpenAI-CEO glaubt an die baldige digitale Superintelligenz
"Moderne Architekturen sind flexibel"
Wie sich die Infrastruktur der Schweiz wandelt
Auslagern, was nicht zum Kerngeschäft gehört
Gemeinsam stärker – interne Kultur trifft externe Marktkenntnis
Von der Wohnzimmer-Firma zur Nummer eins in der Europäischen Union
