Unternehmen, die SAP nutzen, speichern häufig vertrauliche und geschäftskritische Daten in ihren SAP-Umgebungen. Um potenzielle Schwachstellen rechtzeitig zu erkennen, ist es wichtig, den Sicherheitslevel regelmässig zu prüfen. Dies setzt umfassendes Wissen voraus und kann Unternehmen vor einige Herausforderungen stellen.
Berechtigungen in einem SAP-System steuern benutzerbezogen die Zugriffsmöglichkeiten auf die Geschäftsdaten. Bei der Berechtigungsvergabe ist neben Auflagen, gesetzlichen Vorschriften und unternehmenseigenen Vorgaben auch ein restriktiver Umgang nach dem strikten Minimalprinzip einzuhalten. Auch bei SAP steht immer mehr die Sicherheit und die Reduktion – oder im besten Fall gar die Beseitigung – von Risiken im Fokus. Denn durch die Berechtigungsvergabe über Rollen können sich kritische Berechtigungen oder Berechtigungskombinationen ergeben, die man bei der Rollenzuweisung nicht vorhergesehen hat. Daher ist eine periodische Überprüfung der aktiven Benutzer, der zugewiesenen Rollen und natürlich auch der Systemeinstellungen in Form eines Security-Checks ratsam.
SAP Security Check – Sicherheitslevel prüfen
Sicherheitslücken wie beispielsweise zu umfangreiche Tabellenzugriffe oder eine schwache Password Policy (falls kein SSO im Einsatz ist) können potenzielle Schwachstellen in einem SAP sein, die erst durch Auditoren aufgedeckt werden. Mit einem SAP Security Check können Systeme, Daten und Prozesse bereits vor einem Audit auf Sicherheitsmängel untersucht und beseitigt werden. Der Check bildet die Grundlage für ein lückenloses SAP-Sicherheitskonzept. Diese Punkte werden unter anderem analysiert:
- Überprüfen der Rollen auf Qualitäts- und Sicherheitsstandards, beispielsweise Änderungsrechte in Anzeigerollen
- Kritische Berechtigungskombinationen wie Segregation of Duties-Konflikten bei Usern, damit ein einzelner User nicht zu viele Prozesse durchspielen kann wie beispielsweise Erstellen und Genehmigen einer Bestellung
- Vergabe von Profilen SAP_ALL/SAP_NEW an User (auch technische User)
- Systemabänderbarkeit der Mandanten überprüfen
- Passworteinstellungen (ein Passwort sollte den empfohlenen Richtlinien entsprechen), als Alternative kann auch Single Sign-on eingeführt werden
- Nutzung und richtige Konfiguration des Security Audit Logs, damit alle wichtigen Aktivitäten im System geloggt werden
- Aktive Tabellenprotokollierung, um Änderungen zu überprüfen
- Tabellenschutz mittels Berechtigungen, damit nur wenige User auch Tabelleneinträge ändern/löschen können
- Überprüfung potenzieller Zugriffe auf sensible Daten aus dem Personalwesen (wie z. B. Lohndaten und andere persönliche Daten)
- Überprüfung der technischen User, damit sie auch nur die benötigten Berechtigungen zugewiesen haben
Nach dieser Analyse ist eine Bewertung der Risiken aus den eruierten potenziellen Schwachstellen unabdingbar. Aus der Gesamteinschätzung der Analyseergebnisse resultieren dann Empfehlungen zu weiteren Massnahmen zur Schwachstellenbereinigung.
Was bringt es?
Eine regelmässige Systemprüfung deckt allfällige Mängel zeitnah auf und ermöglicht eine effiziente Umsetzung von Massnahmen. Damit werden Risiken verringert und kostspielige Konsequenzen vermieden. Das nächste Audit kann dann entspannt angegangen werden. ■
