SAP-Zugriffsrisiken entdecken und in Zukunft vermeiden

23. November 2021
Von Nicolas Wrobel

Nicolas Wrobel ist bei EPI-USE Labs im Vertrieb tätig. Sein Schwerpunkt liegt im Account Management unserer Privacy & Security Lösungen (SAP-Berechtigungen sowie Cenoti - Verknüpfung zwischen SAP und Splunk).

#169338 - Europe-D Blog header, feature Image and CTA Image for first Soterion Blog

Über 145.000 Transaktionscodes, mehr als 600.000 SAP-Tabellen und knapp 4.000 Berechtigungsobjekte. Das sind nur ein paar Zahlen, welche die Komplexität rund um das Thema, SAP-Berechtigungskonzepte bzw. SAP-Zugriffsrisiken veranschaulichen. Wie gehen Sie mit dem Thema GRC für SAP um?

 

In Unternehmen erhalten Mitarbeitende schnell mehr Berechtigungen, als sie tatsächlich für ihre tägliche Arbeit brauchen. Ein Trainee wird angelernt und durchläuft viele verschiedene Stationen. In jeder neuen Abteilung erhält er zusätzliche Berechtigungen. Bei einem Abteilungswechsel werden diese allerdings häufig nicht mehr entzogen. Die Konsequenz: Dieser Trainee besitzt am Ende mehr Berechtigungen als der Abteilungsleiter, was ein enormes Risiko birgt.

Was bedeutet Zugriffsrisiko?

Risiko gilt es zu minimieren. Was bedeutet aber Zugriffsrisiko? Es beschreibt einen Schaden, der durch ein bestimmtes Verhalten der SAP-Benutzer angerichtet werden kann. Die nachfolgenden drei Risiken innerhalb der SAP-Systeme, möchte ich besonders hervorheben:

  1. Funktionstrennung (Segregation of Duty): Interessenskonflikte verhindern, sodass Mitarbeitende Geschäftsprozesse mit betrügerischer Absicht nicht komplett durchlaufen können
  2. Kritische Transaktionen: Beispielsweise SE16 zum Export von Excel-Tabellen
  3. Datenschutzrisiken: Mitarbeitende, die mehr Berechtigungen haben, als sie für ihre tägliche Arbeit brauchen

Diese oben genannten Risiken im SAP-Standard zu identifizeren, ist sehr zeitintensiv. Mithilfe von Soterion für SAP analysieren Sie das Zugriffsrisiko und können es anschließend bewältigen. Soterion, ist eine effiziente GRC-Lösung, um Benutzer mit erhöhtem Zugriffsrisiko in Ihrem System zu identifizieren. Das ist mit unserem Access Risk Manager möglich. Mit dieser Lösung erkennen, bewältigen und bereinigen Sie die Zugriffsrisiken in Ihrem System.

Warum sollten Sie Zugriffsrechte in Ihrem Unternehmen überprüfen?

Durch das Inkrafttreten der DSGVO haben datenschutzrechtliche Themen in Unternehmen enorm an Aufmerksamkeit gewonnen. Bei Nichteinhaltung drohen neben manuellen Anpassungen auch monetäre Strafen. Der Druck außerhalb der eigenen Organisation wächst stetig an. Vor allem größere Unternehmen stehen im Fokus von Wirtschaftsprüfern. Diese analysieren Ihr Berechtigungskonzept und ermitteln daraus bestehende Risiken.

 

Bei diesen Herausforderungen hilft Soterion Ihren SAP-Systemen von Gefahren zu bereinigen und potenzielle Risiken zu minimieren.

Risiko identifizieren

Bereits im Dashboard der Lösung – im unteren Screenshot 1 – erkennen Sie direkt die Unterscheidung zwischen potenziellen und tatsächlichen Risiken. Potenzielle Risiken zeigen bestehende Risiken anhand der vorhanden Rollenzuweisungen in Ihren SAP-Systemen auf. Das sind Zugänge, die allerdings nicht zwangsläufig genutzt werden. Das tatsächliche Risiko zeigt die Nutzer die ihre Rollenzuweisungen auch im täglichen Geschäft nutzen. Um die Sicherheit Ihrer Systeme zu maximieren, müssen Sie die Differenz zwischen potenziellen und tatsächlichen Risken schließen.

SAP-Zugriffsrisiken: Anaylse Dashboard

Screenshot 1

 

In Screenshot 2 sehen Sie die Risikostatistik auf Rollenebene. Hier wurde nach dem prozentualen Beitrag von Benutzerrisiken sortiert. Dadurch lassen sich sehr schnell die Rollen identifizieren, die das größte Risiko mit sich bringen. Diese Ansicht bietet sich hervorragend für schnelle Optimierungen Ihrer SAP-Sicherheit an. Eine Sortierung nach Zugriffsrisiko ist auch auf Benutzerebene möglich. Auch hier lassen sich schnelle Maßnahmen ablesen.

SAP-Zugriffsrisiken: RisikobewertungScreenshot 2

In einer Detailansicht, lassen sich Benutzer-Risiken genauer analysieren (siehe Screenshot 3 - SoD Ebene). Es wird im Detail erläutert, in welchem Zusammenhang die verschiedenen Transaktionscodes oder Rollen zu einem erhöhten Risiko beitragen.

Segregation of Duty-Analyse

Screenshot 3

 

Sie kommen direkt aus der geschäftsrelevanten Abteilung und haben kein Verständnis, was ein bestimmter T-code innerhalb einer bestimmten Rolle bedeutet? Kein Problem! Hierfür hat Soterion Workflows entwickelt, um die Zusammenhänge der Risiken innerhalb der geschäftsrelevanten Prozesse aufzuzeigen (siehe Screenshot 4).

 

SAP-Zugriffsrisiken analysierenScreenshot 4

 

Wie Sie Risiken bewältigen und Ihr System „sauber“ halten, erfahren Sie im Webinar "SAP-Berechtigungen: Transparenz über SAP-Zugriffsrisiken mit Soterionund in den nachfolgenden Blogartikeln:

Verschaffen Sie sich einen Überblick über Ihre Zugriffsrisiken in SAP. Wir bieten ein Assessment mit Ihren SAP-Daten an. Einfach, unverbindlich und kostenlos können wir Ihre SAP-Berechtigungen prüfen.

Assessment für SAP ZugriffsrisikenGRC von Soterion_CTA_2

 

 

Sofortige Updates erhalten


Einen Kommentar schreiben