sap-security-basics-e1465306143729

SAP Security steuert, auf welche Daten und Prozesse User innerhalb einer SAP-Landschaft Zugriff haben. Normalerweise wird den Usern genau der Zugriff gewährt, der ausreicht, dass Sie ihre Aufgaben erledigen können. Um die Betriebsgrundlagen von SAP Security zu verstehen, stellen Sie sich mal eine Lagerhalle mit vielen verschlossenen Räumen vor. Um eine Aufgabe zu erledigen, muss ein User eintreten und zum richtigen Raum Zugang erhalten.

 

Die Aufgabe der SAP Sicherheitsservices ist es, sicherzustellen, dass jeder User nur Schlüssel zu genau den Räumen besitzt, zu denen er Zugang haben soll – somit wird verhindert, dass Angestellte Daten beschädigen, zu denen sie gar keinen Zugang haben sollten (oder, dass ein Sicherheitsproblem entsteht, indem vertrauliche Informationen weitergegeben werden). Sie wollen noch mehr erfahren? Hier eine kurze Anleitung zu den SAP Security Grundlagen:

 

SAP Security Grundlagen – Security vs. GRC

SAP Security ist nicht dasselbe wie Steuerung, Risiko und Erlaubnis (GRC). GRC überprüft den Zugang von Usern, um Probleme zu finden, die in Zusammenhang mit User-Rechten oder -Verhalten zu tun haben. Es erstellt ein Compliant Provisioning Programm, das bei der Nutzung von SAP Security Tools bereits enthalten ist.

SAP Security – Grundlagen der Zugangskontrolle

SAP Security schreibt Usern Rollen zu. Jede Rolle erlaubt es Usern, bestimmte Transaktionen durchzuführen (Prozesse innerhalb des SAP-Systems). Beim Durchführen einer Transaktion erhält der User Autorisierungen, um bestimmte Aufgaben durchführen zu können.

 

Unter SAP Security Best Practices erstellt der Admin eine Standardrolle je Position, die dann entsprechend Mitarbeitern zugeschrieben werden kann, der diese Position innehalten. Ein Unternehmen erstellt beispielsweise die Rolle eines Finanzberaters, die es jedem dieser Berater ermöglicht, eine bestimmte Reihe an Transaktionen durchzuführen, die in Zusammenhang mit Kreditlimits und ähnlichen Aufgaben ihres Arbeitsbereiches stehen. Jeder Berater kann so eine SAP HANA Security-Autorisierung erhalten, um sich um die Kreditlimits ihrer Kunden kümmern zu können, erhält jedoch keinen Zugang zu anderen Kunden. So können die Berater ihre Aufgaben erledigen, während die Sicherheitsrisiken minimiert werden.

 

Warum SAP Security Grundlagen leicht falsch verstanden werden

Die SAP Security Einstellungen können in komplexer, unbeabsichtigter Weisen interagieren. Die Autorisierungen werden zwischen den Transaktionen geteilt. So kann das gemeinsame Nutzen eines Datensatzes versehentlich ungewollte Zugriffe an anderen Stellen verursachen. Einer unserer Kunden beispielsweise hatte kürzlich einem Angestellten Zugriff auf die Leistungsbeurteilungen von Mitarbeitern gewährt, aber etwas ging schief. Der Angestellte konnte nämlich seine eigene Beurteilung einsehen, noch bevor diese eigentlich freigegeben war.

 

Fehlerhafter Umgang mit den SAP Security Grundlagen kann für noch größeren Schaden sorgen. Wenn z.B. ein Kundenmanager nicht nur Zugriff auf die Kundennamen, sondern auch auf deren Kreditkarteninformationen erhält, so kann dies zu einem PCI-Verstoß, Diebstahl oder Betrug führen. Außerdem können bestimmte Zugriffsrechte, wie z.B. solche zur Fehlerbehebung, es Usern ermöglichen, Zugangskontrollen komplett zu umgehen, was hohe Risiken mit sich bringt, wenn damit nicht sachgemäß umgegangen wird.

 

Wie SAP Security Services bei Go Live versagen

Viele Integrationspartner betrachten SAP Security als ein Hindernis; sie möchten ihr System möglichst schnell und unkompliziert zum Laufen bringen und sich nicht mit der Erstellung von Rollen beschäftigen. Deshalb kümmern sie sich erst um ihre Sicherheitsbelange, sobald das Projekt fertiggestellt ist, anstatt dieses bereits im Vorfeld mit einzuplanen und zu erledigen, was schwerwiegende Folgen haben kann.

 

Erschwerend kommt hinzu, dass die meisten Testverfahren im Qualitätssicherungssystem (QA) durchgeführt werden, wenn das SAP Projektmanagement-Team bereits vollen Zugriff hat. Wenn also nicht schon im Produktionsverfahren adäquate Tests durchgeführt werden, können hohe SAP-Sicherheitslücken auftreten, indem die User über zu viele Zugriffsrechte verfügen, oder eben im umgekehrten Fall kann es ein Unternehmen lahmlegen, sollten nicht alle Mitarbeiter über ausreichend Zugriffsrechte verfügen, die sie zur Ausübung ihrer Tätigkeiten benötigen. Diese Fehler können die Risiken erhöhen, welche durch Schwachstellen in der Netzsicherheit entstehen, da Hacker sich einfacher Zugriff auf fremde Konten verschaffen können.

 

SAP Security Kontrollen sind eine Funktion, nicht ein Fehler

Da Symmetry beides bedient, sowohl IT Projektmanagement als auch langfristige IT Managed Services, verstehen wir, was sorgfältige Planung und gründliches Testen bedeuten. Indem wir strenge Sicherheits- und Erlaubniskontrollen in die Planungsphase integrieren, schaffen wir ein starkes Fundament für langfristige SAP Security Services.

 

Wir bauen auf diesem Fundament Post-Go-Live, mit 24-Stunden-Überwachung und Vorfallsreaktion sowie direktem Zugang zu einem speziellen SAP Support Team. Unsere Kunden können besser schlafen, da sie wissen, dass sie im Notfall niemals in einer Warteschleife warten oder durch ein Hilfe-Menü navigieren müssen.

 

Erfahren Sie, wie man SAP Security Schwachstellen ausfindig macht, und zwar mit dem ControlPanelGRC Security Risk Assessment.