Risiken erkennen und beseitigen: Berechtigungen im SAP-System

03.11.2014 09:24

Angesichts der aktuellen Diskussion zu den Themen Risikomanagement und Datensicherheit bietet es sich an, hinter die Berechtigungskulissen deutscher SAP-Anwender zu schauen.

Was die Notwendigkeit eines revisionskonformen und verwaltbaren Berechtigungssystems angeht, so besteht im Allgemeinen Konsens. Einerseits gibt es gesetzliche Vorschriften, die es einzuhalten gilt, andererseits ist unmittelbar einsichtig, dass ein gut strukturiertes Berechtigungskonzept die betrieblichen Risiken und den Aufwand für Verwaltung und Prüfung zu reduzieren vermag. Dies schlägt sich letztlich auch in den Kosten nieder.

Dem folgt die Realität aber nicht in allen Fällen oder eher selten. Berechtigungssysteme sind in vielen Fällen „gewachsen“ und orientieren sich häufig an Mitarbeitern oder historischen Arbeitsfeldern. Häufig werden Rechte beim Wechsel von Mitarbeitern zwischen verschiedenen Arbeitsgebieten nicht entzogen – zumal das Entziehen von Rechten häufig zu einem Politikum zu werden droht. Wenn nun eine eher laxe Vergabetechnik mit legeren Ausprägungen kritisch zu bezeichnender Berechtigungsobjekte zusammentrifft, dann ist auch mit einer hohen Zahl sich ergebender Risiken zu rechnen.

  • Szenario aus der Praxis
    Heinrich Müller (Name frei erfunden) ist Sachbearbeiter im Bereich Kundenservice für ein großes deutsches Unternehmen. Im produktiven SAP IS-U System wurde Herrn Müller die Rolle „Kundenbetreuer“ und alle damit notwendigen Systemberechtigungen zugeordnet. Herr Müller kennt sich gut im SAP-Umfeld aus und ist aus diesem Grund häufig Teammitglied in diversen SAP-Projekten. Im Laufe der Zeit sammelten sich so eine Reihe von zusätzlichen Zugriffsrechten auf seinem Stammsatz, da es nicht unüblich ist, dass nach Beendigung von Projekten die Projektrollen nicht entzogen werden.

    Technisch ist Herr Müller nun in der Lage, Kundenstammdaten zu ändern und z.B. Gutschriften zur Zahlung freizugeben. In der Praxis ist diese Situation Prüfern und Staatsanwälten nicht unbekannt und führt dazu, dass Mitarbeiter sich durch Änderung der Kundenkontonummer persönlich bereichern. Diese Aktivität kann ohne regelmäßige Kontrolle über viele Jahre hin unentdeckt bleiben und kommt in der Regel nur durch einen Zufall ans Tageslicht.

Ob Mitarbeiter kritische Rechte im SAP-System besitzen ist nicht immer transparent. Die Zugriffsberechtigungen in SAP-Systemen können, besonders wenn über Jahre „gewachsen“, recht unübersichtlich und für Prüfungen de facto unzugänglich werden. Die Ursache hierfür ist nicht nur in der latent hohen Komplexität der Berechtigungsausprägung zu suchen, sondern liegt häufiger an der organisatorischen Zuordnung der Verantwortlichkeiten im Unternehmen selbst. Unzureichende Werkzeuge zur Kontrolle gekoppelt mit geringen Ressourcenbudgets führen zu „gewachsenen“ Rechtestrukturen und Rechtevergaben. Die Komplexität lässt sich erklären mit dem immensen Wachstum der Systeme im Laufe der Jahre. SAP-Systeme, die vor 10 oder 20 Jahren installiert wurden sind - auch wenn die Rollen innerhalb von SAP regelmäßig überprüft werden – schwierig zu durchschauen hinsichtlich von Altlasten und Sicherheitsrisiken.

Ineffiziente Handhabungen

Falsche Berechtigungen bergen jedoch nicht nur ein Sicherheitsrisiko, sondern können auch die Effizienz von Geschäftsprozessen beeinträchtigen. Beispielsweise rufen Anwender sehr häufig Transaktionen im Editiermodus auf, um eine Information zu finden, auch wenn ein Lesemodus völlig ausreichend wäre. Damit blockieren sie den Datensatz, so dass andere Anwender oder Programme nicht zugreifen können. Dies kann Fehlermeldungen beim Helpdesk auslösen, was Zeit und Geld kostet. Auch kann durch unsachgemäße Nutzung kritischer Basistransaktionen ein großer Schaden für das Unternehmen durch Systemausfall entstehen. Ein klassisches Beispiel ist die Transaktione SM13, mit der Sperreinträge auf Tabellen gelöscht werden können. Eine unqualifizierte Löschung kann zu Inkonsistenzen auf der Datenbank führen. Dann muss das System von Spezialisten wieder bereinigt werden!

Die Firma West Trax hat sich darauf spezialisiert, SAP Systeme zu analysieren und Risiken in den Zugriffsrechten zu dokumentieren. Aus jahrzehntelanger Erfahrung mit der Analyse von SAP-Systemen kennt das Unternehmen die kritischen Funktionen und Wege, die eine Ist – Situation in eine revisionskonforme Soll-Situation wandeln. In den meisten Fällen reicht dem Anbieter zufolge, sich bei der Prüfung von Berechtigungen auf drei Schwerpunkte zu konzentrieren:

  • die Rolleninhalte
  • die Vergabe der Rollen an Anwender
  • und die Nutzung der vergebenen Rechte durch die Anwender.

Basierend auf der Nutzung lässt sich ein Berechtigungskonzept in den meisten Fällen vom Umfang her drastisch reduzieren und Umgestaltungsprojekte ressourcenoptimiert in wenigen Monaten abschließen. Die Auswirkungen auf das Tagesgeschäft können durch einen nutzungsbasierten Ansatz minimal gehalten werden.

Wenig Bewusstsein

Hinsichtlich des organisatorischen Aspekts wird offenbar, dass Berechtigungen, und im speziellen SAP-Berechtigungen, im Sicherheitsbewusstsein vieler Unternehmen nicht sehr weit oben angesiedelt sind. Nur so wäre zu erklären, warum Herr Müller überhaupt Zugang zu kritischen Daten hat. Die Wartung und Vergabe wird nach durchaus wohldefinierten, jedoch fragmentarische dokumentierten, Abläufen durchgeführt. Schwerwiegender als die unzureichende Dokumentation ist jedoch, dass die mit diesen Aufgaben verbundenen Tätigkeiten häufig als „Zusatzlast“ neben der „eigentlichen“ Aufgabe von Mitarbeitern durchgeführt werden. Dies hat naturgemäß zur Folge, dass die Vergabe von Rechten noch akzeptable Ergebnisse liefert, jedoch keinerlei Zeit für eine fachgerechte Wartung der Rollen zur Verfügung steht. Eine „Verwilderung“ der Berechtigungen ist so nicht zu vermeiden und an eine Anpassung an aktuelle Unternehmensbelange gar nicht erst zu denken.

Tatsache ist jedoch: bei Prüfungen des Inhalts von Rollen wird offenbar, dass als kritisch bezeichnete Transaktionen regelmäßig in inadäquaten Rollen auftauchen. Abhängig von der Funktion dieser Rollen kann dies dazu führen, dass kritische Transaktionen sozusagen „strukturell“ bedingt an alle Anwender vergeben werden (z.B. über eine „Personalabrechnungs-“- Rolle). Die Konsequente Trennung von Verantwortlichkeiten, um das „Vier-Augen-Prinzip“ zu wahren, ist selten zu finden. Obgleich in Internet einschlägige Beschreibungen zum Thema „Manipulation in SAP leicht gemacht“ zu finden sind, werden Objekte wie S_DEVELOP oder S_TABU_DIS nicht selten sehr weitreichend ausgeprägt. Die zunehmende Zahl an Softwareprodukten, die Datentransfer mit SAP betreiben, ist ein weiterer Grund, sich intensiv mit der Ausprägung der vergebenen Berechtigungsobjekte des Moduls BC zu beschäftigen (beispielsweise S_RFC).

Den häufig gefundenen Mängeln hinsichtlich von Risiken durch zu weitreichende Berechtigungen im SAP steht in der Regel eine, zumindest auf den ersten Blick, meist ordnungsgemäße Nutzung gegenüber. In der Mehrzahl der vom Anbieter Westrax geprüften Systeme nutzten nur zwischen 10 – 30 % der mit kritischen Rechten und Kombinationen ausgestatten Mitarbeiter diese Rechte. Dies bedeutet, dass eine drastische Reduktion des sich aus Berechtigungen ergebenden Risikos durch Entzug von Rechten zügig umgesetzt werden könnte, wenn es die Rollenstruktur zulässt.

Alexander Stendal, Diana Bohr
Quelle: http://www.it-director.de

Zurück