SAP-Sicherheit 101 - Die Grundlagen der SAP-Sicherheit

29. September 2020 Von Emile Steyn

SAP-Sicherheit und Berechtigungen werden durch viele verschiedene Elemente im SAP-System gesteuert. Wir listen die gängigsten Elemente auf und erklären, wie sie zu einer sichereren SAP-Umgebung beitragen können.

Von Emile Steyn

Beherrschen Sie die Grundlagen

Um sicherzustellen, dass Ihre SAP-Sicherheitslösung das erforderliche Maß an Kontrolle für Ihr Unternehmen bietet, muss der SAP-Sicherheitsadministrator die Grundlagen der SAP-Sicherheit gut verstehen. Im folgenden Abschnitt werden einige der grundlegenden Konzepte der SAP-Sicherheit erläutert.

Transaktions-Codes

Ein Transaktionscode ist der Begriff, der zur Beschreibung einer Aktion oder Aktivität in SAP verwendet wird, z. B. ME21N - Bestellung anlegen. Einem SAP-Benutzer werden verschiedene Transaktionscodes zugewiesen, damit er seine Arbeitsfunktion ausführen kann. Den Transaktionscodes liegen Berechtigungsobjekte und -werte zugrunde, die eine genauere Kontrolle ermöglichen, z. B. die Einschränkung, dass ein Benutzer nur in einem bestimmten Buchungskreis oder Werk tätig sein darf. In einem Standard-SAP-System gibt es über 140 000 mögliche Transaktionscodes. Die meisten Unternehmen verwenden in der Regel zwischen 2000 und 3000 dieser Transaktionscodes. Die Transaktionscodes müssen einer Rolle zugewiesen werden, und die Rolle wiederum wird dem Benutzer zugewiesen. Unter Risikogesichtspunkten ist es wichtig, den SAP-Benutzern nur den Zugriff zu gewähren, den sie für die Erfüllung ihrer Aufgaben benötigen. Die Zuweisung eines umfassenden Zugriffs an Benutzer erhöht das Zugriffsrisiko für Ihr Unternehmen.

SAP-Rolle

◦ SAP-Einzelrolle - Eine Einzelrolle ist ein Datencontainer für eine Gruppe von Transaktionscodes. SAP-Benutzern werden die Einzelrollen zugewiesen, damit sie die Transaktionscodes ausführen können. Die verschiedenen Ansätze der Zugriffsvergabe werden als Rollenmethodik bezeichnet. Die verschiedenen Rollenmethodiken sind:

Abgeleitet - Bei einer abgeleiteten / übergeordneten Rollenmethodik fungiert die übergeordnete Rolle als Master-Rolle, die die Transaktionscodes enthält, und wird abgeleitet, um die verschiedenen Organisationsebenen (Buchungskreis, Werk usw.) zu berücksichtigen.
Aufgabe/Wert - Eine Aufgabenrolle ist eine funktionale (kleine) Rolle, die eine Gruppe von zugehörigen Transaktionscodes enthält, um eine bestimmte Aufgabe auszuführen, z. B. Bestellungspflege. Benutzern werden in der Regel mehrere Aufgabenrollen zugewiesen, um ihr komplettes Zugriffs-/Profil zu erstellen. Wertrollen sind sekundäre Rollen, die in Verbindung mit der Aufgabenrolle arbeiten. Wertrollen enthalten nur SAP-Berechtigungsobjekte mit bestimmten Werten, um die Benutzer darauf zu beschränken, nur in den Organisationsebenen zu arbeiten, für die ihnen Wertrollen zugewiesen wurden.
Profile - Bevor SAP das Rollenkonzept einführte, waren SAP-Profile Mechanismen, die den Benutzern den notwendigen Zugang zur Ausübung ihrer Arbeitsfunktion gewährten. SAP-Profile gibt es immer noch im SAP-System, sie werden aber nur selten verwendet. Das häufigste Beispiel hierfür ist das Profil SAP_ALL.

◦ SAP-Sammelrolle - Eine SAP-Sammelrolle ist ein Container für eine Gruppe von Einzelrollen. Die Sammelrolle kann dann den Benutzern zugewiesen werden, die dann den in den Einzelrollen enthaltenen Zugriff (Transaktionscodes) erben.

SAP Business Role - Die Business Role ähnelt einer SAP Composite Role, existiert aber nur in der IDM- oder Access Control-Lösung, einer virtuellen Rolle, die über ein SAP Access Risk Tool verwaltet werden kann. Geschäftsrollen haben den zusätzlichen Vorteil, dass sie ein Datencontainer für SAP-Einzelrollen aus mehreren SAP-Systemen sind, was die Bereitstellung erheblich vereinfacht.

SAP-Benutzer

SAP-Benutzer sind die Identitäten der Endbenutzer für den Zugriff auf das SAP-System. Beim Anlegen eines SAP-Benutzers stehen die folgenden Felder zur Pflege zur Verfügung:

SAP-Kennwortkomplexität - SAP lässt viele verschiedene Komplexitätseinstellungen für Kennwörter zu. Ihr aktuelles Die Kennworteinstellungen (z. B. Mindestlänge des Kennworts, Sonderzeichen, Großbuchstaben usw.) können über die Transaktion RSPFPAR eingesehen werden.
Benutzertypen - In SAP gibt es verschiedene Benutzertypen, nämlich: Dialog-, Service-, System-, Kommunikations- und Referenzbenutzer. Die gängigsten Typen werden für Folgendes verwendet:
- Dialog - Ihre typische Benutzerkennung ist die eines Dialogbenutzers. Für sie gelten Passwort-Parameter, es sei denn, es wurden spezielle Sicherheitsrichtlinien auf sie angewandt.
- Dienst - Das Passwort eines Dienstbenutzers ändert sich nicht. Es besteht ein großes Risiko bei diesen IDs, wenn Passwörter gemeinsam genutzt werden.
- Systembenutzer - Diese IDs werden für Hintergrundjobs, Systemkommunikation usw. verwendet. Diese IDs können sich nicht über die SAP-GUI anmelden, bergen aber aufgrund des typischerweise zugewiesenen umfassenden Zugriffs ein Risiko. Diese IDs können verwendet werden, um das SAP-System durch RFCs (Remote Function Calls) einem Risiko auszusetzen.
Gültigkeitsdaten - Bestimmte Benutzer-IDs sind nur für einen bestimmten Zeitraum für den Zugang zum System erforderlich. Es wird empfohlen, ein Gültigkeitsdatum für einen Benutzer festzuhalten, um sicherzustellen, dass er keinen unbefugten Zugang zum System erhält. Diese Daten sollten auch beibehalten werden, wenn das Datum bekannt ist, an dem ein Benutzer das Unternehmen verlässt.

SAP-Bereitstellung

SAP Provisioning ist der Prozess der Zuweisung von SAP-Rollen an die SAP-Benutzer-ID. SAP Provisioning kann auf verschiedene Arten gehandhabt werden. Ein Benutzer kann den Zugriff direkt oder indirekt erben:

Direkt - Weisen Sie den Benutzern direkt Rollen zu.
Indirekt - Zuweisung von Rollen zu einer Position. Das HR-Team wird einen Benutzer einer Position zuweisen.

SAP Fiori Sicherheit

Der Transaktionscode wird durch Fiori-Anwendungen ersetzt, die über einen Webbrowser ausgeführt werden. Diese Änderungen bringen eine zusätzliche Ebene der Komplexität und Sicherheit mit sich. Einige dieser Änderungen beinhalten die Verwendung von S_SERVICE Autorisierungsobjekten und Katalogen. Diese Lösung ist zwar benutzerfreundlicher, aber auch schwieriger zu warten.

SAP HANA Datenbank Sicherheit

Bestimmte Benutzer erhalten Datenbankzugriff, um Berichte auszuführen. Es ist wichtig, dass der Zugriff auf Datenbankebene mit Hilfe eines Datenschutzmanagement-Tools eingeschränkt wird, um sicherzustellen, dass keine unbefugten Einfügungen oder Bearbeitungen auf Datenbankebene vorgenommen werden.

SAP-Zugangsrisiko

SAP-SOD-Risiko - Ein Risiko der Funktionstrennung liegt vor, wenn ein Benutzer die Möglichkeit hat, zwei oder mehr widersprüchliche Funktionen auszuführen. Diese widersprüchlichen Funktionen setzen ein Unternehmen dem Risiko von Betrug, Benutzerfehlern und falschen Angaben aus.
SAP Critical Transaction Risk (Kritisches Transaktionsrisiko) - Bestimmte Transaktionen können aufgrund der potenziellen Auswirkungen eines Missbrauchs für sich allein genommen schon sensibel sein. Diese werden als kritisches Transaktionsrisiko oder sensibles Zugriffsrisiko eingestuft.

Optimierung der SAP-Sicherheit zur Erreichung der Unternehmensziele

Sobald Sie die Grundlagen optimiert und beherrscht haben, fragen Sie sich: "Wie optimiere ich meine SAP-Sicherheit, um meine Unternehmensziele zu erreichen?".

SAP-Rollenmethodik

Die von Ihnen angewandte Methodik hat einen großen Einfluss auf das, was Sie erreichen können. Bestimmte Methoden ermöglichen eine einfachere Behebung von Mängeln und stellen sicher, dass Benutzern nur der Zugang gewährt wird, den sie für ihre Aufgabe benötigen. Entscheiden Sie, was Sie erreichen wollen, und prüfen Sie, ob die Methodik dies zulässt.

SAP SOD-Werkzeug

Es gibt verschiedene Tools wie Soterion und SAP, die Ihnen helfen können, das Zugriffsrisiko in Ihrem SAP-System zu verwalten. Es ist wichtig, die Vorteile zu berücksichtigen, die die Tools bieten und was Sie von einem Tool erwarten.

Zu berücksichtigende Punkte:

Benutzeroberfläche
Benutzerfreundlichkeit
Durchführungszeit
ROI
Prozessverbesserungen

SAP-Zugriffsrisiko-Regelsatz

Die SOD-Tools werden mit einem Standardregelsatz ausgeliefert. Der Regelsatz berücksichtigt keine Anpassungen oder Änderungen der Geschäftsprozesse, die vorgenommen wurden. Es ist wichtig, dass der Regelsatz unternehmensspezifisch angepasst wird.

Verwalten von SAP-Zugangsrisiken

Nachdem Sie die relevanten Risiken identifiziert haben, müssen Sie Ihre SAP-Zugangsrisiken bereinigen. Wie kann dies geschehen?

Bereinigung (Rollenbereinigung) - Die Bereinigung kann auf verschiedene Weise erfolgen. Rollen können von Benutzern entfernt werden oder Transaktionen können von Rollen entfernt werden.
Abschwächungskontrollen - Für Zugangsrisiken, die nicht behoben werden können, müssen Abschwächungskontrollen definiert werden, um sicherzustellen, dass das Zugangsrisiko angemessen reduziert wird.

SAP-Rollen-Redesign

Wenn Ihre Rollenmethodik nicht ausreicht, um Ihre Geschäftsziele zu erreichen, kann es erforderlich sein, ein vollständiges SAP-Rollen-Redesign durchzuführen. Dies würde bedeuten, dass neue Rollen für die gesamte Benutzerbasis erstellt werden.

Die Informationen, die wir zur Verfügung gestellt haben, konzentrieren sich auf SAP Access und die damit verbundenen Risiken. Andere zu berücksichtigende Punkte könnten die folgenden sein:

SAP-Sicherheitshinweise
SAP-Konfigurationseinstellungen
SAP-Audit-Protokollierung

Schicken Sie uns eine E-Mail an [email protected], wenn Sie ein Gespräch mit einem unserer Experten zum Thema SAP-Sicherheit wünschen.

Cookie	Dauer	Beschreibung
cookiegesetzinfo-kontrollfeld-analytik	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Analytik“.
cookiegesetzinfo-kontrollfeld-funktionell	11 Monate	Das Cookie wird durch die GDPR-Cookie-Zustimmung gesetzt, um die Zustimmung des Benutzers für die Cookies der Kategorie „Funktional“ aufzuzeichnen.
cookiegesetzinfo-kontrollfeld-notwendig	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Notwendig“.
cookiegesetzinfo-kontrollfeld-anderes	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Andere“.
cookiegesetzinfo-kontrollfeld-leistung	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Leistung“.
gesehen_cookie_richtlinie	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung oder Ablehnung des Nutzers zur Verwendung von Cookies, aber keine persönlichen Daten.

SAP-Sicherheit 101 - Die Grundlagen der SAP-Sicherheit

Beherrschen Sie die Grundlagen

Optimierung der SAP-Sicherheit zur Erreichung der Unternehmensziele

Das könnte Sie interessieren

Such[wort] eingeben

SAP-Sicherheit 101 - Die Grundlagen der SAP-Sicherheit

Beherrschen Sie die Grundlagen

Optimierung der SAP-Sicherheit zur Erreichung der Unternehmensziele

Das könnte Sie interessieren

SAP Security & GRC-Podcast – Technische Reihe (F06): Erstellen und Pflegen von Fiori-Spaces und -Seiten

Verstehen, welche GRC-Geschäftsziele für Ihr Unternehmen am wichtigsten sind

Fiori-Einführung während S/4HANA-Konvertierungen und Greenfield-Implementierungen: Wichtige Erkenntnisse und technische Überlegungen

Such[wort] eingeben