M 4.260 Berechtigungsverwaltung für SAP Systeme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Sicherheit der in einem SAP System verarbeiteten Geschäftsdaten wird sehr stark durch die eingestellten Berechtigungen für Benutzer und Administratoren bestimmt. Diese legen fest, welche Funktionen (im SAP Jargon auch Transaktionen genannt) von einem bestimmten Benutzer aufgerufen und damit, welche Daten eingesehen bzw. verändert werden können. Daher sind die konfigurierten Berechtigungen und deren Verwaltung ein sehr wichtiger Bestandteil der Systemsicherheit, vor allem vor dem Hintergrund möglicher Betrugshandlungen durch interne Mitarbeiter.

Das SAP Berechtigungssystem ist sehr flexibel, dadurch aber auch komplex in der Konfiguration. Im Gegensatz zu Betriebssystemen, in denen Berechtigungen direkt auf Objekten (z. B. Dateien) vergeben werden, arbeiten SAP Systeme nach dem Ausweisprinzip: Beim Zugriff auf Funktionen wird geprüft, ob der Benutzer Berechtigungen eines bestimmten Typs besitzt. Ist dies der Fall, wird geprüft, ob die eingetragenen Werte den Anforderungen entsprechen, die zum Ausführen der aufgerufenen Funktion notwendig sind. Die geprüften Berechtigungstypen und Werte werden dabei durch den Programmierer der Funktion bestimmt und können auch die Daten berücksichtigen, die beim aktuellen Aufruf an die Funktion übergeben wurden. Zusätzlich entscheidet zum Schluss der Programmierer einer Funktion, ob er eine eigentlich notwendige Berechtigungsprüfung implementiert oder nicht.

Für die Verwaltung von Berechtigungen sollten die folgenden Empfehlungen berücksichtigt werden. Die Liste ist an die lokalen Bedürfnisse und Anforderungen anzupassen und zu erweitern.

Schulung

Administratoren die für die Verwaltung von Benutzerkennungen, Rollen, Profilen oder Berechtigungen verantwortlich sind, müssen zwingend Schulungen zum SAP Berechtigungskonzept und zur Berechtigungsverwaltung (Vorgehen, Werkzeuge, richtige Verwendung) erhalten oder das entsprechende Verständnis nachweisen. Nur so wird erreicht, dass die Berechtigungsverwaltung versiert durchgeführt werden kann.

Trennen der Verantwortlichkeiten (Vier-Augen-Prinzip)

Das Verwaltungskonzept muss so ausgelegt sein, dass die Verantwortlichkeiten möglichst getrennt werden. Folgendes sollte dabei beachtet werden:

Durch die Trennung (sofern technisch richtig umgesetzt) wird erreicht, dass sich die Administratoren nicht selbst Berechtigungen zuordnen können und für sie auf diese Weise nur die ihnen zugeordneten Aufgaben ausführbar sind.

In kleineren Unternehmen oder Behörden kann es aufgrund eingeschränkter Personalverfügbarkeit vorkommen, dass keine Trennung vorgenommen werden kann und alle Aufgaben durch eine Person ausgeführt werden. Alle Daten im SAP System können dann durch den Administrator unbemerkt eingesehen und verändert werden. Generell ist dies als sicherheitskritisch zu bewerten, so dass zusätzliche Kontrollen notwendig sind. Gleiches gilt allgemein auch im Kontext wichtiger finanz- und bilanzrelevanter Prozesse sowie bei der Verarbeitung personenbezogener Daten, wo beispielsweise eine entsprechende Funktionstrennung vorhanden sein muss. Kann diese nicht erreicht werden, müssen geeignete Kontrollen auf organisatorischer Ebene definiert und deren Durchführung sichergestellt werden. Entsprechende Prüfungen auf das Vorhandensein von Kontrollen finden beispielsweise auch im Kontext von Sarbanes Oxley Act bezogenen Prüfungen statt.

Die von SAP vorgegebenen und ausgelieferten Rollen sind sorgfältig gegen die eigenen Anforderungen zu prüfen und anzupassen.

Hinweise auf SAP Dokumentationen zum Aufbau der Berechtigungsverwaltung und zu relevanten Berechtigungen finden sich in M 2.346 Nutzung der SAP Dokumentation.

Werkzeuge zur Berechtigungsverwaltung

Berechtigungen, Profile und Rollen können auch manuell verwaltet werden. Von diesem Vorgehen wird jedoch aus Sicherheitsgründen dringend abgeraten, da aufgrund der zu verwaltenden Objektmengen bei manueller Pflege immer Berechtigungsprobleme entstehen. Der Einsatz des Profilgenerators (Transaktion PFCG) wird daher dringend empfohlen. Insbesondere dürfen dann keine manuellen Veränderungen an den Profilen erfolgen.

Administratoren müssen sich mit den Mechanismen und Verfahren beim Einsatz des Profilgenerators vertraut machen, damit eine korrekte Berechtigungsvergabe erfolgt. So muss beispielsweise der Profilgenerator zunächst über die Transaktion SU25 initialisiert werden. Insbesondere die Verwendung und Pflege von Prüfkennzeichen (Transaktion SU24) muss bekannt sein. In Testläufen können fehlende Berechtigungen (diese sind beispielsweise über die Transaktion SU53 oder über Berechtigungstraces mit ST01 feststellbar) erkannt werden.

Neben den systeminternen Werkzeugen zur Berechtigungsverwaltung werden von Drittherstellern auch externe Werkzeuge zur Benutzer- und Berechtigungsverwaltung angeboten. Diese sind in der Regel mit einer komfortableren Benutzungsschnittstelle ausgestattet, da diese direkt auf dem Betriebssystem ablaufen. Ob solche Werkzeuge als Alternative zu den systeminternen Werkzeugen genutzt werden, ist jeweils im Einzelfall unter Kosten/Nutzen-Aspekten zu entscheiden.

Hinweise auf SAP Dokumentationen zur Berechtigungsverwaltung mit dem Profilgenerator finden sich in M 2.346 Nutzung der SAP Dokumentation.

Applikationsspezifische Berechtigungsverwaltung

Einige Produkte und Applikationen nutzen zusätzlich zum SAP Standardberechtigungskonzept auch noch eigene Berechtigungskonzepte und -verwaltungswerkzeuge (z. B. das SAP Customer Relationship Management, mySAP CRM oder das Modul Human Capital Management, HCM). Dies ist bei der Verwaltung auch zu berücksichtigen, da zusätzliche Verwaltungsschritte und -arbeiten notwendig sind. Insbesondere muss bedacht werden, dass das Produkt oder die Applikation nur dann sicher betrieben werden kann, wenn auch die applikationsspezifischen Berechtigungen über die applikationsspezifischen Verwaltungswerkzeuge sicher konfiguriert wurden. Generell ist dabei auch auf minimale Berechtigungen, Rollentrennung und auf Trennung von Aufgaben und Verantwortlichkeiten zu achten. So darf beispielsweise in einem CRM-System ein Warenbestellkorb nicht durch die gleiche Person zur Bestellung freigegeben werden, die den Warenkorb erzeugt hat.

Generell spielt auf Applikationsebene das Thema Geschäftsrisikomanagement eine wichtige Rolle: Bei der Vergabe von Berechtigungen definiert unter anderem auch das Risikomanagement die Kriterien für die Vergabe von Berechtigungen.

Ergänzende Kontrollfragen: