SAP-Sicherheitsrisiken und -Herausforderungen und wie man sie bewältigt

17. Dezember 2023 Von Soterion

Da Unternehmen bei ihren täglichen Geschäftsabläufen zunehmend auf SAP setzen, ist die Gefahr von Sicherheitsverletzungen so groß wie nie zuvor. Vom unbefugten Zugriff auf sensible Daten bis hin zur Bedrohung durch Cyberspionage – die Risiken im Zusammenhang mit SAP-Systemen werden immer komplexer.

In diesem Artikel werden verschiedene SAP-Sicherheitsprobleme aufgezeigt, die jedes Unternehmen kennen sollte. Das Verständnis der Risiken, die mit diesen Herausforderungen verbunden sind, sowie deren Bewältigung oder Abschwächung ist entscheidend für den Schutz des Unternehmens vor Datenschutzverletzungen oder betrügerischen Aktivitäten.

SAP-Sicherheitsrisiken, die Sie bedenken sollten

Unangemessener SAP-Zugriff für Benutzer

Die technische und komplexe Natur der SAP-Sicherheit (Berechtigungen) kann dazu führen, dass Benutzern unangemessene SAP-Rollen zugewiesen werden. Die Folge können Risiken für die Funktionstrennung (SoD) und Betrug sein, was Kosten und Rufschädigung nach sich zieht. Vermutlich wird die Zahl der Prüfungsfeststellungen erheblich zunehmen, und Compliance-Aufgaben wie die Überprüfung des Benutzerzugriffs werden für die Prüfer schwieriger und fallen weniger effizient aus.

Wie kann man diese Herausforderung angehen?

Viele Unternehmen halten sich an das Prinzip „Null Vertrauen“ oder „geringste Privilegien“. Das heißt, sie gewähren SAP-Zugriff nur mit den für die jeweiligen Aufgaben erforderlichen Berechtigungen. Jeder zusätzliche Zugriff muss von den zuständigen beteiligten Seiten validiert und genehmigt werden. Für Unternehmen, die mit unangemessenem SAP-Benutzerzugriff konfrontiert sind, ist ein Prozess zur Identifizierung und Entfernung eines solchen Zugriffs erforderlich. Bereinigungsprojekte können sich jedoch als schwierig erweisen, da die Gefahr besteht, dass versehentlich auch der erforderliche SAP-Zugriff entfernt wird, was zu Betriebsunterbrechungen und Frustration der Benutzer führt.

Eine entscheidende Komponente zur Minderung dieses Risikos besteht in einer Zugriffskontrolllösung (GRC), die es dem Unternehmen ermöglicht, anhand einer Reihe von Regeln (Zugriffsrisiken) die SAP-Benutzer und -Rollen zu analysieren und diejenigen hervorzuheben, die ein Risiko darstellen. Mit allen SAP-Zugriffsänderungsanträgen kann eine „Was-wäre-wenn“-Simulation durchgeführt werden, um das Unternehmen auf mögliche Rollenzuweisungen aufmerksam zu machen, die neue Zugriffsrisiken in der SAP-Umgebung mit sich bringen.

Eine Zugriffskontrolllösung wie Soterions Zugriffsrisikomanager hilft das SAP-Zugriffsrisiko zu verstehen und unterstützt die Aktivitäten zur Verwaltung dieses Risikos.

Für das Unternehmen irrelevante Regelwerke

Ein Zugriffsrisikoregelwerk zeigt eine Reihe von Szenarien auf, die eine Bedrohung für ein Unternehmen darstellen könnten. Zum Beispiel könnte es bei einer Bestimmung des Regelwerkes zur Aufgabentrennung um die Berechtigung gehen, sowohl eine Bestellung zu erstellen oder zu pflegen als auch eine solche Bestellung freizugeben. Diese Art von kombinierten Berechtigungen kann betrügerische Aktivitäten ermöglichen.

Die meisten Zugriffskontrolllösungen sind mit vordefinierten Regelwerken ausgestattet, die für eine Vielzahl von Unternehmen in verschiedenen Branchen entworfen worden sind. Es wird jedoch empfohlen, diese Standardregelwerke so anzupassen, dass sie den spezifischen Anforderungen des Unternehmens besser gerecht werden. Wird der Regelwerk nicht angepasst, werden möglicherweise Risiken überwacht, die für das Unternehmen nicht relevant sind, oder dass einige Risiken, die allein in diesem Unternehmen auftreten, komplett übersehen werden.

Im Kontext von SAP umfassen die Zugriffsrisikoregelwerke üblicherweise verschiedene Risikokategorien, darunter die Trennung der Zuständigkeiten (SoD), kritische Transaktionen und Datenschutz.

Wie kann man diese Herausforderung angehen?

Beginnen Sie mit dem Standardregelwerk der Zugriffskontrolllösung und passen Sie ihn an die Bedürfnisse Ihres Unternehmens an. Prüfen Sie alle Zugriffsrisiken auf Relevanz und Risikostufe und entfernen Sie irrelevante Risiken aus dem Standardregelwerk. Prüfen Sie gleichzeitig, ob kundenspezifische Funktionalitäten (Transaktionscodes/Fiori-Apps) in den Regelwerk aufgenommen werden sollten. Befolgen Sie nach Möglichkeit den Grundsatz „weniger ist mehr“. Geben Sie in Ihrem Regelwerk dem effektiven Management einer geringeren Zahl von (relevanten) Risiken den Vorzug vor dem ineffektiven Management zahlreicher Risiken.

Mangelndes S/4HANA-Sicherheits-Know-how

Die zunehmende Komplexität von Fiori-Komponenten wie Kataloge, Spaces und Seiten hat bedauerlicherweise auch die Herausforderungen bei der Gewährleistung angemessener Sicherheitsmaßnahmen erhöht. Diese erhöhte Komplexität birgt das Risiko, minderwertige Sicherheitslösungen zu implementieren, die das Unternehmen anfällig für Betrug machen können. Zudem können minderwertige Sicherheitsmaßnahmen zu vermehrten Geschäftsunterbrechungen führen, weil sie aufgrund von Autorisierungsproblemen die Fähigkeit der Endbenutzer einschränken, ihre Aufgaben zu erfüllen.

Weniger erfahrenes S/4HANA-Sicherheitspersonal könnte vorschlagen, sich auf die Standardgeschäftsrollen von SAP zu verlassen. Doch häufig lassen sich diese Rollen nicht gut mit den unterschiedlichen Geschäftsprozessen verschiedener Unternehmen in Einklang bringen. Folglich benötigen Benutzer möglicherweise mehrere Standardgeschäftsrollen, um ihre Funktionen abzudecken. Das führt dazu, dass SAP-Benutzern umfangreiche und unangemessene Rollen zugewiesen werden.

Wie kann man diese Herausforderung angehen?

In dem Maße, wie das Fachwissen über S/4HANA durch die Erfahrung aus vielfachen Projekten wächst, wird der breitere Markt besser über die für S/4HANA spezifischen „Best Practices“ (Rollenmethodiken) informiert. Doch viele Unternehmen haben enge Fristen für ihre S/4HANA-Upgrades und ihren Ressourcen fehlt die Zeit, die notwendige Erfahrung sammeln zu können.

Eine mögliche Lösung für diese drängende Herausforderung ist die Auslagerung oder die Beauftragung eines auf SAP-Sicherheits- und Risikomanagement spezialisierten Anbieters von verwalteten Dienstleistungen. Beratungsunternehmen, die sich auf SAP-Sicherheit und -Risiko spezialisiert haben, verfügen meist über erfahrene Fachleute, die sich mit dem Aufbau technischer Rollen, Risikomanagement, Kontrollen und Audits auskennen. Oftmals benötigen Unternehmen solches Fachwissen nur sporadisch. Werden verwaltete Dienstleistungen dafür in Anspruch genommen, entfällt die Notwendigkeit, solche Ressourcen Vollzeit intern zu beschäftigen.

Mangelnde Beteiligung der Unternehmen

Die Etablierung von Verantwortlichkeit für die SAP-Zugriffsrisikoprozesse ist eine große Herausforderung. Das Zugriffsrisiko wirkt sich direkt auf den Geschäftsbetrieb aus. Doch aufgrund der komplizierten, technischen Aspekte der SAP-Sicherheit, einschließlich Funktionen wie SAP-Rollenerstellung, Rollenzuweisungen und GRC-Verwaltung, zögern die Geschäftsanwender häufig, sich am Zugriffsrisikomanagement zu beteiligen. Geschäftsanwender erklären oftmals, dass sie die erwarteten Aufgaben nicht verstehen oder die Aktivitäten und Berichte zu technisch finden. Die Folge ist eine Unterauslastung der GRC-Lösung, wobei die IT-Abteilung einige Ad-hoc-Aktivitäten durchführt oder sie lediglich als Backend-System mit minimaler Beteiligung der Fachanwender nutzt.

Wie kann man diese Herausforderung angehen?

Erstellen Sie ein umfassendes Dokument mit Richtlinien und Verfahren, in dem spezifische Anwendungsfälle, Standardbetriebsverfahren und deren jeweilige Eigentümer aufgeführt sind. Informieren Sie die Geschäftsanwender über die für ihren Verantwortungsbereich relevanten Zugriffsrisiken. Erörtern und diskutieren Sie jedes Risiko der Funktionstrennung, und wie ein SAP-Benutzer das Unternehmen mit dem widersprüchlichen Zugriff betrügen könnte.

Wenn die Geschäftsanwender wissen, was das SoD-Risiko bedeutet und wie diese Kombination von Berechtigungen Betrug ermöglichen kann, wird die Akzeptanz der Aktivitäten zur Verwaltung des Zugriffsrisikos in den Unternehmen erheblich verbessert.

Verwalten Sie Ihre SAP-Sicherheit effektiv mit Soterion

Angesichts der zunehmenden Risiken für die SAP-Umgebungen von Unternehmen ist die Implementierung einer wirksamen Zugriffskontrolle wichtiger denn je. Diese Bemühungen können allerdings erhebliche Herausforderungen mit sich bringen.

Soterion bietet eine breite Palette an GRC-Lösungen, die auf das jeweilige Unternehmen zugeschnitten werden. Unsere GRC-Lösungen zielen speziell auf die aufgezeigten SAP-Sicherheitsrisiken ab. Durch die Nutzung unserer Dienstleistungen und Produkte kann das Sicherheitsteam Ihres Unternehmens seine Fähigkeit, SAP-Sicherheitsrisiken zu erkennen und ihnen entgegenzuwirken, deutlich verbessern.

Soterion bietet eine umfassende Palette von GRC-Lösungen an. Unsere geschäftsorientierten GRC-Lösungen verbessern die Akzeptanz und Verantwortlichkeit des Unternehmens und sorgen damit für mehr Risikobewusstsein.

Wenden Sie sich an [email protected], um eine Vorführung zu buchen oder wenn Sie weitere Informationen zu unseren Produkten wünschen.

Cookie	Dauer	Beschreibung
cookiegesetzinfo-kontrollfeld-analytik	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Analytik“.
cookiegesetzinfo-kontrollfeld-funktionell	11 Monate	Das Cookie wird durch die GDPR-Cookie-Zustimmung gesetzt, um die Zustimmung des Benutzers für die Cookies der Kategorie „Funktional“ aufzuzeichnen.
cookiegesetzinfo-kontrollfeld-notwendig	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Notwendig“.
cookiegesetzinfo-kontrollfeld-anderes	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Andere“.
cookiegesetzinfo-kontrollfeld-leistung	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Leistung“.
gesehen_cookie_richtlinie	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung oder Ablehnung des Nutzers zur Verwendung von Cookies, aber keine persönlichen Daten.

SAP-Sicherheitsrisiken und -Herausforderungen und wie man sie bewältigt

Das könnte Sie interessieren

Such[wort] eingeben

SAP-Sicherheitsrisiken und -Herausforderungen und wie man sie bewältigt

Das könnte Sie interessieren

SAP Security & GRC-Podcast – Technische Reihe (Folge 07): Einsatz von LSMW im SAP-Berechtigungsmanagement

Ihr SAP-Rollenkonzept war nie für RISE ausgelegt: die versteckten FUE-Kosten, die die meisten Unternehmen übersehen

SAP Access Risk Management: SoD-Risiko und FUE-Exposure – zwei Geschäftsrisiken mit derselben Ursache

Such[wort] eingeben