Berechtigungs- und Rollenkonzept sind Themen im SAP Umfeld, welchen nicht immer viel Beachtung geschenkt wird. Die Einführung und der sichere Betrieb von SAP-Lösungen in IT-Systemlandschaften erfordern die Etablierung funktionierender Zugriffsregelungen und Kontrollmechanismen um Geschäftsdaten im SAP-System wirksam zu schützen. Ein Berechtigungskonzept bildet hierbei die Grundlage für die technische Implementierung von Berechtigungen im SAP-System und berücksichtigt allgemeine und gesetzliche Normen (IKS, SOX, FDA etc.) sowie unternehmensspezifische Regeln mit dem Ziel der Risikominimierung.
Mit den korrekten Berechtigungen schützen Sie Ihre SAP Systeme vor unberechtigten Zugriffen der User. Hierfür braucht es jedoch eine sichere Zugriffsregelung und einen etablierten Kontrollmechanismus.
Bei der Definition von Richtlinien gilt es, die Komplexität der zugrundeliegenden SAP-Systemlandschaft ganzheitlich zu erfassen und auch strategische Ziele der IT-Organisation zu berücksichtigen. Neben fachlichen und prozessgetriebenen Anforderungen haben diese Rahmenbedingungen einen entscheidenden Einfluss auf die konzeptionelle Ausgestaltung und technische Implementierung eines Berechtigungskonzepts.
Kritische Berechtigungen sollten nur im Ausnahmefall (wenn nicht anders möglich) vergeben werden. Die Freigabe der beantragten Rechte muss somit auch in der Fachabteilung liegen, da nur diese beurteilen kann, ob die Berechtigungen für die Funktion des Mitarbeiters notwendig sind.
Vergebene Rechte müssen periodisch geprüft werden. Dadurch kann beispielsweise sichergestellt werden, dass bei einem Abteilungswechsel von einem Mitarbeiter die Berechtigungen ebenfalls angepasst werden.
Jede Änderung muss dokumentiert werden, damit eine Nachvollziehbarkeit gegeben ist.
Diese wird von der Ihrer Revision verlangt und spart Ihnen Zeit bei der Bereitstellung der gewünschten Dokumente.
Wie können Sie sich auf die Revision vorbereiten bzw. was ist zu tun?
- Wurde die Zuweisung der Benutzerprofile geprüft und eingegrenzt?
- Wurde die Zuweisung der kritischen Transaktionen (Berechtigungen) geprüft?
- Prüfung übergreifende Zugriffsberechtigungen und Funktionstrennung
- Freigabenachweise der vergebenen Berechtigungen (Vorgesetzter, Fachabteilung, etc.)?
- Abgleich HR-Austritt und Austritt im SAP
- Eintrittsprozess vorhanden & eingehalten?
- Austrittsprozess vorhanden & eingehalten?
- Einstellung der Systemparameter, höhere Sicherheit oder nach Best Practice von SAP?
- Transportprüfung (Transportwege, Tests, Freigabe)
- Umsetzung der letzten Revision durchgeführt?
Die Revision wird folgendermassen durchgeführt:
- Vorabanalyse der folgenden Dokumente: Berechtigungs-, Freigabe-, und Administrationskonzept
- Konzeptionelle Analyse der sicherheitskritischen Aspekte aus den gewonnenen Erkenntnissen
- Auswertungen aus SAP Reports werden ergänzt
- Pendente Themen werden im Detail am SAP-System geprüft
- Die gefundenen Schwachstellen werden bewertet und mit den SAP-Administratoren analysiert
- Vorschläge zur Verbesserung der SAP-Sicherheit werden unterbreitet, insbesondere zu den Themen Rollen- und Benutzeradministration
- Die Prüfergebnisse werden für den Auftraggeber dokumentiert und präsentiert
Gerne unterstützen wir Sie in der Vorbereitung auf eine anstehende IT-Revision und den daraus folgenden Verbesserungsmassnahmen aus dem Revisions-Bericht.
Im Hinblick auf die technische Implementierung und den fortlaufenden Betrieb sind die Themen Compliance, Wartbarkeit und Standardkonformität wichtige Qualitätsfaktoren um die Verwaltung von Berechtigungen im SAP-System nachhaltig zu gestalten.
Unsere Berater verfügen über langjährige Erfahrungen und Expertenwissen im Bereich SAP-Berechtigungen und unterstützen Sie zuverlässig bei der erfolgreichen Implementierung und dem sicheren Betrieb von Berechtigungs- konzepten für alle gängigen SAP-Module. Darüber hinaus bieten wir Ihnen mit unseren Services eine umfassende Dienstleistung entlang Ihrem SAP Lifecycle.
