Drei Vorteile regelmäßiger SAP-Zugangsrisikobewertungen

9. Juli 2021 Von Dudley Cartwright

Für Unternehmen, die nicht über eine Zugangskontroll-/GRC-Lösung verfügen, bietet die regelmäßige Durchführung von SAP-Zugangsrisikobewertungen erhebliche Vorteile.

Soterion Dashboard

Die Angemessenheit einer SAP-Berechtigungslösung verschlechtert sich mit der Zeit, vor allem aufgrund des SAP-Berechtigungswachstums. Bei der schleichenden Ausweitung der Berechtigungen erhalten die Benutzer in einem bestimmten Zeitraum mehr Zugriffsrechte, als ihnen durch interne Positionswechsel entzogen werden. Dies geschieht auch, wenn sie einen einzigen Transaktionscode benötigen, ihnen aber eine Rolle mit vielen Transaktionscodes zugewiesen wird.

Technische Fehler bei der Rollenerstellung können auch dazu führen, dass die SAP-Berechtigungslösung Benutzern einen breiteren Zugang als erforderlich gewährt. Ein sehr einfaches Beispiel hierfür ist, dass S_TCODE in einer Rolle mit S_ALR* gepflegt wird.
Es ist wichtig zu beachten, dass nicht alle S_ALR* Anzeigetransaktionen sind.

Ein weiterer häufiger Fehler ist, dass Display-Rollen mit Verbuchungstransaktionscodes erstellt werden und die ACTVT-Werte nur für Display (03, 08 usw.) gepflegt werden. Diese Rollen funktionieren isoliert gut, aber sobald sie Benutzern zugewiesen werden, die auch andere Aktualisierungsrollen haben, führt die Kombination des S_TCODE-Werts aus der Rolle "Anzeigen" und der Aktualisierungs-ACTVT-Felder in den anderen Rollen des Benutzers dazu, dass der Benutzer einen weitaus breiteren Zugang hat als vorgesehen.

Es ist nicht nur unfair gegenüber dem SAP-Sicherheitsteam, sondern auch unpraktisch, dass es diese Art von Problemen aufspürt. Die Komplexität der SAP-Berechtigungen bedeutet nicht nur, dass diese Art von Fehlern relativ häufig vorkommt, sondern auch, dass die schiere Datenmenge es sehr schwierig macht, diese Probleme zu erkennen. Es ist wie die Suche nach einer Nadel im Heuhaufen.

Für viele Unternehmen ist das externe Audit der einzige Zeitpunkt im Jahr, an dem eine Bewertung des Zugriffsrisikos auf ihr SAP-System durchgeführt wird. Diese Organisationen haben während des größten Teils des Jahres kaum Einblick in ihre SAP-Zugriffsrisiken, was sie einem unnötigen Risiko aussetzt.

Soterion SAP Access Change Request Simulation

Bei einer Reihe von Anbietern, die ein Cloud-Angebot entwickelt haben, ist die Durchführung einer Bewertung des Zugangsrisikos einfach und leicht. Die Datenextraktion kann in der Regel in weniger als einer Stunde durchgeführt werden, was der einzige Aufwand ist, den das Unternehmen betreiben muss. Der Anbieter führt die Bewertung durch und sendet dem Unternehmen die Ergebnisse des Zugriffsrisikos zu.

Die Durchführung regelmäßigerer Risikobewertungen für den Zugang kann eine sicherere Methode sein, um sicherzustellen, dass die SAP-Berechtigungslösung den Benutzern im Laufe des Jahres keinen unangemessenen Zugang gewährt hat.

Nachfolgend finden Sie drei Vorteile einer regelmäßigen Risikobewertung des SAP-Zugangs:

Reduzieren Sie das SAP-Zugriffsrisiko: Durch die Durchführung von SAP-Zugangsrisikobewertungen sind Sie in der Lage, alle Rollen zu identifizieren, die Benutzern einen unangemessenen Zugang ermöglichen. Oft sind es nur eine Handvoll Rollen, die nicht korrekt gepflegt wurden, die für den Großteil der Zugriffsrisiken verantwortlich sind. In vielen Fällen lassen sich diese Rollen mit minimalem Aufwand beheben. Sie sind die "niedrig hängenden Früchte" und können mit minimalem Aufwand die Gesamtzahl der Zugriffsrisiken erheblich reduzieren.
Bessere Vorbereitung auf Audits: Die Durchführung einer Bewertung des Zugangsrisikos vor Ihrer externen Prüfung kann Ihnen die Möglichkeit geben, "Quick Wins" zu identifizieren, die vor der Prüfung in Angriff genommen werden können. Keine Organisation möchte einen ungünstigen Prüfungsbericht, so dass eine Reduzierung der Feststellungen vor der Prüfung durchaus attraktiv sein kann. Darüber hinaus könnte eine bessere Vorbereitung auf die Prüfung Kosteneinsparungen mit sich bringen. Wenn eine Autorisierungslösung den Nutzern einen so weitreichenden Zugang gewährt, dass die Prüfungsgesellschaft der Meinung ist, dass umfangreiche Prüfungsverfahren erforderlich sind, entstehen nicht nur zusätzliche Prüfungskosten, sondern auch ein zusätzlicher Aufwand bei den Mitarbeitern in Schlüsselpositionen, die sich auf die Prüfung vorbereiten müssen.
Verbesserte Verantwortlichkeit des Zugangsrisikos für das Unternehmen: Obwohl das Zugriffsrisiko ein Geschäftsrisiko ist, ist es unwahrscheinlich, dass die Geschäftsanwender ohne eine Form der Transparenz die Verantwortung übernehmen, d. h. man kann nicht für etwas verantwortlich sein, von dem man nichts weiß. Ohne regelmäßige Bewertungen des Zugriffsrisikos ist es unwahrscheinlich, dass die Geschäftsanwender wissen, wer Zugriff auf bestimmte SAP-Funktionen hat. Durch die Durchführung regelmäßiger Bewertungen verschafft die IT-Abteilung dem Unternehmen die nötige Transparenz, um die im SAP-System bestehenden Zugriffsrisiken zu verstehen. Dies wiederum ermöglicht es der IT-Abteilung, die Verantwortung auf die Geschäftsbereiche zu übertragen. Sichtbarkeit erhöht die Verantwortlichkeit.

Überlegen Sie, wie Ihre Daten von dem Anbieter gehandhabt werden, der die Zugriffsrisikobewertung durchführt, und stellen Sie sicher, dass der Anbieter sowohl nach ISO27001 als auch nach SOC zertifiziert ist. Anbieter solcher Dienstleistungen müssen nachweisen, dass sie die Kundendaten in Übereinstimmung mit den internen Anforderungen Ihres Unternehmens und den gesetzlichen Vorschriften behandeln.

Soterion SAP Access Risikobewertung

Mit Soterion kann eine SAP-Zugriffsrisikobewertung für die SAP-Umgebung des Unternehmens durchgeführt werden, indem entweder der Soterion-Standardregelsatz verwendet wird oder der Kunde seinen eigenen Regelsatz importieren oder anpassen kann. Die SAP-Zugangsrisikobewertung von Soterion umfasst:

Bewertung des SAP-Zugriffsrisikos: Eine Bewertung des Zugriffsrisikos wird auf Benutzer-, Sammelrollen- und Einzelrollenebene durchgeführt. Die Berichte zu den Zugriffsrisiken basieren auf den zugewiesenen (potenziellen) Zugriffsrechten und zeigen diese im Verhältnis zur tatsächlichen Transaktionsnutzung an. Das Get Clean-Modul von Soterion unterstützt Beratungsprojekte zur Risikobeseitigung.
Basis-Überprüfung: In dieser Bewertung werden die Einstellungen der SAP-Basiskonfiguration mit einer Reihe von Best Practices der Branche verglichen.

Soterion Zugang Risikobewertung Prozess

Anzeige der Ergebnisse der Risikobewertung für den Zugang zu Soterion

Soterion SOD Risk Detail - Business Friendly Reporting

Einer der wichtigsten Vorteile einer Soterion-Zugangsrisikobewertung besteht darin, dass die Ergebnisse in der Soterion-Webanwendung angezeigt werden. Dies ermöglicht eine schnellere Analyse der Ergebnisse und effektivere Abhilfemaßnahmen. Soterion hebt die Risiken mit dem höchsten Beitrag hervor und kennzeichnet die Benutzer und Rollen, die für die meisten Verstöße gegen das Zugangsrisiko verantwortlich sind.

Die geschäftsorientierte Berichtsfunktion von Soterion veranschaulicht außerdem jedes Risiko mit unterstützenden Geschäftsprozessflussdiagrammen, wodurch das Zugriffsrisiko mehr Kontext erhält und die technische GRC-Sprache in eine geschäftsfreundliche Sprache umgewandelt wird, um eine bessere Entscheidungsfindung zu gewährleisten.

Wenn Ihre Organisation an Ad-hoc-Bewertungen interessiert ist, wenden Sie sich bitte an uns - [email protected].

Cookie	Dauer	Beschreibung
cookiegesetzinfo-kontrollfeld-analytik	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Analytik“.
cookiegesetzinfo-kontrollfeld-funktionell	11 Monate	Das Cookie wird durch die GDPR-Cookie-Zustimmung gesetzt, um die Zustimmung des Benutzers für die Cookies der Kategorie „Funktional“ aufzuzeichnen.
cookiegesetzinfo-kontrollfeld-notwendig	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Notwendig“.
cookiegesetzinfo-kontrollfeld-anderes	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Andere“.
cookiegesetzinfo-kontrollfeld-leistung	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Leistung“.
gesehen_cookie_richtlinie	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung oder Ablehnung des Nutzers zur Verwendung von Cookies, aber keine persönlichen Daten.

Drei Vorteile regelmäßiger SAP-Zugangsrisikobewertungen

Soterion SAP Access Risikobewertung

Soterion Zugang Risikobewertung Prozess

Anzeige der Ergebnisse der Risikobewertung für den Zugang zu Soterion

Das könnte Sie interessieren

Such[wort] eingeben

Drei Vorteile regelmäßiger SAP-Zugangsrisikobewertungen

Soterion SAP Access Risikobewertung

Soterion Zugang Risikobewertung Prozess

Anzeige der Ergebnisse der Risikobewertung für den Zugang zu Soterion

Das könnte Sie interessieren

Ihr SAP-Rollenkonzept war nie für RISE ausgelegt: die versteckten FUE-Kosten, die die meisten Unternehmen übersehen

SAP Access Risk Management: SoD-Risiko und FUE-Exposure – zwei Geschäftsrisiken mit derselben Ursache

Die Bedeutung der Abstimmung der SAP-Zugriffssteuerung mit der FUE-Lizenzierung

Such[wort] eingeben