MAG 1506 Szene

SAP-Berechtigungen – Sicherheit braucht Überblick

2015
Geschrieben von E-3 Magazin

Deutsche Unternehmen erhöhen seit Jahren ihre Ausgaben für die IT-Sicherheit. Doch Angriffe auf ihr SAP-System bemerken viele Unternehmen nicht. Es kommt immer häufiger zu Unterschlagungsfällen und Datenraub. Nur die Spitze des Eisbergs gelangt an die Öffentlichkeit. Ein Schlüssel für mehr SAP-Sicherheit ist die saubere Vergabe und dauerhafte Prüfung der Benutzerberechtigungen.

Der Azubi durchläuft alle Abteilungen im Unternehmen, erhält immer neue SAP-Berechtigungen und verfügt letztlich über weitreichende Rechte. Dieses überspitzte Beispiel ist der Realität in manchen Unternehmen nicht so fern.

Ursache sind oft historisch gewachsene, immer komplexer gewordene SAP-Strukturen. Entstehende Sicherheitsrisiken bleiben meist über Jahre unentdeckt. Einem solchen Zustand wollte Nordwest Handel, ein Handelsunternehmen im Produktionsverbindungshandel mit 950 angeschlossenen mittelständischen Handelsunternehmen, vorbeugen.

Nordwest Handel bietet neben Warenbeschaffung und Lagerhaltung/Logistik auch Dienstleistungen für Finanzen, Logistik, IT und Vertrieb. Im SAP-System, das Mitte der 90er-Jahre eingeführt und stetig ausgebaut wurde, liegen geschäftskritische Daten zur Buchführung, Controlling sowie Kunden- und Lieferantenstammdaten.

Nutanix

Nordwest Handel beschloss, sein SAP-Berechtigungsmanagement von Grund auf zu modernisieren. Der administrative Aufwand für die Verwaltung sollte verringert werden. Durch eine verbesserte Dokumentation sollte die Transparenz über die Prozesse hinweg erhöht werden.

Stefan Lendzian, Bereichsleiter Informatik/Systembetreuung bei Nordwest Handel, sagt:

„SAP bietet im Standard nur sehr eingeschränkte Möglichkeiten, Rollen und Risiken komfortabel zu verwalten und zu dokumentieren.“

Zur Modernisierung bieten sich einem Unternehmen aus seiner Sicht grundsätzlich drei Wege:

1. den SAP-Standard bestmöglich ausnutzen, hierfür ggf. einen externen Spezialisten hinzuziehen, 2. eine Lösung einsetzen, die außerhalb von SAP entwickelt wurde, oder 3. eine in SAP vollintegrierte Lösung nutzen.

Nordwest Handel entschied sich für den dritten Weg, um sicher zu sein, dass die gewählte Anwendung stets auf dem aktuellsten SAP-Systemstand ist. Nach einer dreimonatigen Marktsondierung wählten die Verantwortlichen hierfür die Sast GRC Suite des Hamburger Unternehmens Akquinet aus.

Das Kürzel Sast steht für „System Audit und Security Toolkit“. Steffen Maltig, Projektleiter und Senior-Berater bei Akquinet, erklärt:

„Zu Beginn stellen wir zumeist fest, dass die SAP-Berechtigungen zu großzügig ausgelegt und damit kaum zu überblicken sind. Unser Ziel ist es, sie dauerhaft möglichst passgenau zu vergeben, ohne die Handlungsfähigkeit des Unternehmens einzuschränken.“

Die Wünsche des Unternehmens wurden mittels Fragebögen erhoben. Kernfragen waren: Welche Daten sind besonders schützenswert? Wer erhält Zugriff? Durch Auswertung dieser Daten sowie der Nutzungsstatistik wurden mithilfe eines „Rollenbaukastens“ bestehend aus 700 Vorlagen für jeden Arbeitsplatz neue Rollen ermittelt.

Ziel war ein übergreifendes Arbeitsplatzberechtigungsmodell, welches in allen Organisationseinheiten anwendbar war und die Dateneigentümerschaft berücksichtigt.

Unter Zuhilfenahme von Sast wurden die Arbeitsrollen direkt einer Risikoprüfung unterzogen. Dabei prüft das System, ob alle externen Richtlinien bei der Berechtigungsvergabe eingehalten werden und Funktionstrennungen sauber erfolgen.

Es sollten auch verschiedene Einkaufs- und Verkaufsorganisationen von Nordwest Handel seitens ihrer Datenzugriffe vollständig voneinander getrennt werden, damit übergreifende Schreib- und Lesezugriffe nicht mehr möglich sind.

Bei der Neumodellierung wurden da­rüber hinaus arbeitsplatzbezogene Sammelrollen eingeführt. Nach einer finalen Testphase mit Pilotnutzern, in der letzte Berechtigungslücken geschlossen wurden, führte Nordwest Handel das neue Berechtigungskonzept gemäß Zeit- und Budgetplanung unternehmensweit ein.

Den laufenden SAP-Betrieb sichert ein automatisierter Risikomanagement-Prozess innerhalb der Berechtigungsverwaltung. Mögliche Gefahren in Echtzeit können erkannt und gemeldet werden. Ein externer Prüfer bestätigte Nordwest Handel im Anschluss an das Projekt, dass die Sicherheit des SAP-Berechtigungsmanagements die Anforderungen uneingeschränkt erfüllt.

„Wir bieten unseren Kunden, Lieferanten und Mitarbeitern langfristig ein Maximum an Datenschutz und Vertraulichkeit. Im Alltag haben wir dennoch einen geringen Pflege- und Dokumentationsaufwand“

sagt Lendzian.

Über den Autor

E-3 Magazin

Information und Bildungsarbeit von und für die SAP-Community.

Hinterlassen Sie einen Kommentar