Blog: hakin9 Magazin: Herkulesaufgabe SAP-Berechtigungen?

Hakin9  Ausgabe 11/2012

Dynamisches

Berechtigungsmanagement

für SAP – Risikokontrolle

mit Soterion for SAP

 

Mario Linkies

 

Die SAP©-Systeme umfassen eine enorme Funktionsfülle, mit denen Unternehmen und Organisationen ihre Arbeitsabläufe digital durchführen. Mitarbeiter benötigen zur Aufgabenbewältigung Zugang zu Daten, Aktivitäten, Funktionen und Systemen. Dieser Zugang erfolgt über Berechtigungen.

 

Die Berechtigungen werden in der Regel über Zugriffskomponenten wie Rollen und andere Elemente an die einzelnen SAP-Benutzer vergeben. In den verschiedenen SAP-Systemen gibt es dabei weit über 120.000 Transaktionen und Funktionen, die entweder komplexe Aufgaben wie Stammdatenpflege repräsentieren, oder einzelne Aktivitäten wie Datenanlage, -änderung, -anzeige usw. definieren. Die Transaktionen, Berichte, Services, Aktivitäten, Daten, organisatorischen Einheiten und anderen Berechtigungselemente müssen effektiv gruppiert und in sehr unterschiedlichen Konstellationen an die Benutzer verteilt werden. Dies bedeutet eine intime Kenntnis der fachlichen Aufgaben, Prozesse, Verantwortlichkeiten. Berechtigungen spiegeln die Aufgabenverteilung in den Fachabteilungen wider. Das Berechtigungssystem wird damit zum wichtigsten Funktionsverteilungs-instrument im Unternehmen. Das Berechtigungssystem hat auch eine einschränkende und kontrollierende Komponente. Berechtigungen müssen reduziert, eliminiert, aufgeteilt, oder temporär vergeben werden können. Neben der Berechtigungs-vergabe ist es wichtig, Benutzer von Funktionen zu trennen, die kritisch oder in Kombination unerwünscht risikoreich sind. Damit avanciert das Berechtigungssystem zur wichtigsten Komponenten im Internen Kontrollsystem (IKS) einer Organisation. Der Sättigungsgrad des Einsatzes bestimmt hierbei die Priorität im gesamten Risikokontrollmanagement  des Unternehmens. Rechte-vergabe und Risikokontrolle sind demnach die beiden bestimmenden Merkmale des Berechtigungssystems. Aus technischer Sicht gibt es zahlreiche Berechtigungskomponenten, die in Kombination die Gesamtrechte eines Benutzers ausmachen. Berechtigungsrollen sind dabei die wichtigste Komponente, da hierbei wesentliche Funktionen und organisatorische Zuordnungen definiert werden. Neben den Rollen gibt es Berechtigungsobjekte, die einzelne Felder und Elemente innerhalb der SAP-Systeme schützen. Weitere Komponenten der Berechtigungsstruktur sind in unterschiedlichen Konzepten geregelt, die in einem Berechtigungskonzept für jedes Unternehmen klar definiert werden müssen. Dazu gehört beispielsweise die Verwendung von Benutzergruppen, Berechtigungs-gruppen, Feldgruppen, Tabellenberechtigungen, Rechtevergabe im Berichtswesen (Reporting), Queries und modul-spezifische Elemente wie Strukturelle Berechtigungen im SAP HCM (HR). Des Weiteren ist das Berechtigungswesen in den SAP-Einzelsystemen wie Business Warehouse (BW), Customer Relationship Management  (CRM) oder Enterprise Portal (EP) nicht einheitlich gelöst und bietet eine Vielzahl von Möglichkeiten, Berechti-gungen direkt und indirekt zu steuern. Hierbei ist es in jedem Fall wichtig, konzeptionell saubere Definitionen der eigenen Vorstellungen zu doku-mentieren, damit nach klaren Regeln strukturiert gehandelt werden kann. Die Berechtigungen eines Benutzern treten immer in ihrer Gesamtheit auf und müssen demzufolge auch als Gesamtheit betrachtet werden. Das bedeutet, dass zugeordnete Rechte potentiell ein Risiko darstellen können, auch wenn diese Rechte noch nicht genutzt wurden.

 

Status quo

 

Das Berechtigungssystem ist eine fachliche, aber auch eine sehr technische Komponente der SAP-Systeme. Unternehmen setzen in der Regel auf Expansion. Das bedeutet auch für Benutzerrechte, dass diese über einen Zeitraum von Jahren wachsen und sich die potentielle Gefahr, die von deren unbefugter Nutzung ausgeht, ständig erhöht. Kleine Organisationen mit wenigen Hundert Anwendern sind durchaus in der Lage, mit den von SAP zur Verfügung gestellten Bordmitteln eine halbwegs solide Berechtigungsadministration durchzuführen. Für mittlere und größere Unternehmen stellt das schon eine Herausforderung ohne Risikokontrolle dar. Bei einigen Tausend Mitarbeitern mit SAP-Zugang steigen die Anforderungen an Identitätsprüfungen, Aufgabenverteilung, Risikokontrolle enorm an. Unsere Erfahrungen zeigen dabei eine Zunahme der Risikobelastung, je größer das Unternehmen und je globaler es aufgestellt ist. Ausnahmen bestätigen wie immer die Regel. Bei einer Bewertung von über 200 inter-nationalen Unternehmen jeder Größe und jeder Branche hatte jede Organisation ein eigenes Berechtigungskonzept entwickelt. Standards werden weder von SAP© selbst, noch von den meisten Beratungsorganisationen vorgegeben und haben sich auch nicht etabliert. Die Gründe für die unterschiedlichen Entwicklungen liegen auch im ursprünglich  technischen Fokus des Berechtigungs-wesens, dass die Mitarbeit der Fachbereiche nur zögernd einschließt. 60 Prozent der Unternehmen haben nach unserer Studie kein oder veraltete Berechtigungskonzepte. 50 Prozent aller Fälle haben ihre Fachbereiche nicht in den Prozess der Berechtigungs-verwaltung eingebunden. 80% aller gesichteten Fälle haben keinerlei Risikodatenbank (Risk Repository) zur Risikoanalyse und kontinuierlichen Prüfung in Freigabeprozessen (User Provisioning). Sensible Daten und funktionale Trennungsrisiken (Segregation of Duties) finden nicht genügend Beachtung. Lösungsanbieter und Berater gehen oft auch sehr individuelle Wege. Berichte von Wirtschaftsprüfern und EGRC-Lösungen zeigen in den meisten Fällen nur die Risiken an und identifizieren, wer mit welchen Risiken ausgestattet ist. Sie geben aber keine Hinweise, wie mit diesen Sicherheitslücken und Risiken verfahren werden soll. Risiko-minimierung ist dabei eine komplexe Aufgabe und kann in ungeordneter Ausführung selbst zu Störungen im geschäftlichen Ablauf führen. Die Mitarbeiter und Manager mit echter und Alibiverantwortung für Risikokontrolle haben oft nicht die Zeit, Mittel, oder Erfahrungen zur Verfügung, um die Verantwortung tatsächlich im Betrieb wahrzunehmen. Die Verantwortung als Daten-, Prozess-, Systemeigner oder Abteilungsleiter ist auch im Hinblick auf Risikokontrolle nicht durchgängig definiert. Die Berechtigungen wachsen historisch. Benutzer beantragen meistens fehlende Funktionen, kommunizieren aber selten, wenn sie etwas nicht mehr benötigen. Da die Benutzerrechte in den Stammsätzen über die Jahre anwachsen, ergibt sich eine unnötige Komplexität der Berechtigungs-kombinationen. Unprofessionelle Konzepte führen dazu, dass die gleichen Berechtigungen in unterschiedlichen, uneinheitlichen Rollen zu finden sind. Transparenz und übersichtliche Administrierbarkeit sind dabei Fehlanzeige. Die Folge ist, dass aller vier bis fünf Jahre ein Redesign des Berechtigungssystems erfolgt, oder die Kunden leben einfach mit den wachsenden Berechtigungen bis zum ernsthaften Zwischenfall oder einem Weckruf durch verantwortungsvolle Wirtschaftsprüfer, die den überproportionalen  Zuwachs der Risiken eindringlich anmahnen.

 

Grafik 1. Lebenszyklus für Berechtigungen

 

Es ist an der Zeit, Standards im wichtigen Bereich der SAP-Berechtigungen festzulegen und im Design klare Wege zur Effizienz-optimierung zu gehen.

 

 

Berechtigungsmethodik

 

Um Ziele wie umfassende Risikokontrolle und effektives Berechtigungs- und Benutzermanagement in SAP-Systemen zu erreichen, sollten zwei grundsätzliche Fragen im Unternehmen durch die Führungsebene beantwortet werden: Möchte man das Berechtigungs-system und Risikomanagement substantiell verbessern? In welchem Zeitraum möchte man dieses Ziel erreichen? Die Beantwortung beider Fragen setzt eine Methodik voraus, die neben der Lösungskomponente auch wichtige Daten liefert, um Entscheidungsträger im Vorfeld eines SAP-Sicherheitsprojektes von der Notwendigkeit zu überzeugen und das Bewusstsein für das Ausmaß der ansteh-enden Aufgaben zu stärken. Unsere Methodik beinhaltet deshalb eine Analysephase, die wichtige Informationen auf Basis von historischen und aktuellen Daten liefert, um sowohl den Ist-Zustand richtig einzuschätzen, als auch Anforderungen im Vorfeld der Tätigung von wesentlichen Investitionen darzustellen.

 

Grafik 2. Phasenmodell der LINKIES. Security Intelligence Methodology

Grafik 2. Phasenmodell der LINKIES. Security Intelligence Methodology

 

Das Phasenmodell ist Teil der Security Intelligence Methodik, die fünf weitere strategische Elemente beinhaltet. Dazu gehören das Berechtigungsrollenkonzept, das Risiko- und Kontrollmanagement, das Organisationsmanagement, Dynamische Änderungs-kontrolle und die generellen Einflussfaktoren. Die Elemente stehen in starker Wechselwirkung miteinander, können aber teilweise auch optional Einsatz finden. Zu den Einflussfaktoren gehören die richtige IT-Werkzeugauswahl ebenso, wie die Unterstützung durch die Unternehmensleitung und das umfassende Berechtigungskonzept. Je nach Anforderungsportfolio und Priorität, die sich auch an Unternehmenskulturen ausrichtet, ergeben sich Lösungsoptionen, die in der Grobkonzeption  (Concept) evaluiert werden. Innerhalb des Vorprojektes, das aus Analyse und Grobkonzeption besteht, wird die Entscheidung pro (oder contra) SAP-Berechtigungsprojekt und Umfang festgelegt und zeitlich geplant. In die Zeit des Vorprojektes fallen auch allgemeine Workshops und spezielle Schul-ungen, wie sie u.a. auch das Bildungsunternehmen qSkills aus Nürnberg anbietet. Das richtige Rollenkonzept ist die grundlegende Voraussetzung, dynamisch Berechtigungen zuordnen oder wegnehmen zu können. Dabei gehen wir vom Baukastenprinzip aus. Berechtigungsbauteile werden jeweils auf dem kleinsten Nenner definiert und können dann flexibel zugeordnet werden. In der Praxis bedeutet das Einzelrollen auf Aufgabenebene. Der Initialaufwand lässt sich mit der Entscheidung für die richtige Softwareunterstützung minimieren. Es gibt einige wenige Anbieter, die über ein gutes Grundgerüst an Standardberechtigungsrollen verfügen, wie das zum Beispiel bei der EGRC-Lösung Securinfo for SAP der Fall ist. Größere Rollen führen immer zu überflüssi gen Berecht-igungen und sind deshalb zu vermeiden. Die Baukastenlösung bei den Rollen geht aber noch einen Schritt weiter. Mathematisch und praktisch ist es erwiesen,  dass eine Trennung von Funktions- und Organisationsdaten in den Berechtigungen zu einem optimalen Berechtigungs-management führt. Wir favorisieren daher konzeptionell ein Berechtigungsdesign mit Funktionsrollen und Organisations-rollen. Die Kombination beider Rollen führt zur vollständigen Berechtigung. Dieses Konzept ist ausgereift und optimal, erfordert jedoch eine unterstützende Automatisierung durch die entsprechende Softwarelösung.

 

Grafik 3. Baukastenprinzip für das Rollenkonzept

Grafik 3. Baukastenprinzip für das Rollenkonzept

 

Ein wichtiger Aspekt der Einflussfaktoren ist die Informationsbereitstellung. Intelligente Entscheidungen können nur auf Basis von ausreichenden Informationen getroffen werden. Benutzer und Teamverantwortliche zu fragen, welche Berechtigungen für den ein-zelnen Mitarbeiter benötigt werden, führt nie zum Ziel. Nur über eine entsprechende Analyse mit Hilfe von Analysewerkzeugen lassen sich vollständige und relevante Informationen bereitstellen, um die Definition von Berechtigungen und deren Vergabe an die Benutzer zu steuern. Die Benutzer können dabei entweder direkt, oder über den indirekten Weg eines Elements der Organisationsstruktur ihre Rechte erhalten. Unternehmen sollten darauf achten, dass ernstzunehmende EGRC-Lösungen immer Inhalte und Methodiken liefern. Fertige Berechtigungsrollen, Risikodatenbanken für Funktionstrennungsrisiken und Workflowfunktionalität sind Beispiele dafür.

 

Grafik 4. Strategische Elemente der LINKIES. Security Intelligence Methodology

 

Grafik 4. Strategische Elemente der LINKIES. Security Intelligence Methodology

 

 

Dynamisches Berechtigungs- und Risikomanagement mit Soterion for SAP

 

In der LINKIES. EGRC-Studie 2011 und 2012 hat sich die IT-Lösung Soterion for SAP als Gewinner in der Kategorie “Supporting Tools“ etablieren können. Die Software unterstützt in ihrem Ansatz und Leistungsfähigkeit unsere ganzheitliche Methodik und hat bei unserer Bewertung den besten Kosten-Nutzen-Koeffizienten erreicht. Die Lösung baut auf der Soterion Roadmap auf, die das Ziel hat, auf Basis einer grafischen, numerischen und verbalen Darstellung des historischen Verlaufs von Berechtigungsnutzungen und der Ausweisung von dazugehörigen Funktionstrennungsrisiken eine umfassende Analyse der tatsächlichen Berechtigungsbedingungen und –Risikokontrollanforderungen zu unterstützen, damit überflüssige, sprich ungenutzte Benutzerrechte entfernt und somit Risiken reduziert werden können. Dabei kommt das Reverse Business Engineering (RBE) zur Anwendung, das automatisch das Benutzerverhalten im Funktionsspektrum SAP darstellt. Die Analyse soll dabei den tatsächlichen Status für alle Entscheidung-sträger plausibel aufzeigen, um den Entscheidungsprozess zu unterstützen (SoD Analysis / Health Check).

 

Grafik 5. Soterion Roadmap

 

Grafik 5. Soterion Roadmap

 

Auf Basis der Informationen, welcher Benutzer in einem bestimmten Zeitraum welche Berechtigungen wie oft genutzt hat, können Rückschlüsse auf potentielle sowie reale Risiken gezogen und Fachbereichen zugeordnet werden. Eine Simulation der Reduktions-ergebnisse von überflüssigen Berechtigungen liefert wichtige Hinweise, ob die bestehenden Berechtigungsrollen bereinigt werden können, oder ob ein komplett neues Konzept mit neuen Berechtigungskomponenten erarbeitet werden muss. Die Darstellung ist entweder global, auf eine Gruppierung,  oder auf den einzelnen Benutzer bezogen aufzurufen. Unsere Erfahrungen zeigen, dass sich mit diesen Informationen zwischen 80 und 90 Prozent der an die Benutzer verteilten Berechtigungen entfernen lassen.

 

Grafik 6. Soterion for SAP – Darstellung potentielle und tatsächliche Funktionstrennungsrisiken

 

Grafik 6. Soterion for SAP – Darstellung potentielle und tatsächliche Funktionstrennungsrisiken

 

In gleicher Weise reduzieren sich die potentiellen Risiken (gegenüber den realen Risiken), ohne dass eine aufwendige Risikoanalyse notwendig ist. Das ist eine drastische Verbesserung des Sicherheitsniveaus. Übrig bleiben die tatsächlich genutzten Rechte. Diese gilt es in einem weiteren Arbeitsschritt auf Risiken zu prüfen und eine Anpassung der tatsächlichen Risiken für das betreffende Unter-nehmen durchzuführen, nur mit dem Vorteil eines drastisch reduzierten Bewertungsumfangs. Soterion for SAP bringt eine völlig neue Transparenz in die Berechtigungslandschaft. Das Berichtswesen zeigt zum Beispiel allgemeine und detaillierte Reports mit überflüssigen Rollen, SoD-Listen, kritischen Transaktionen, Risiken geordnet nach Wertigkeit und Themenzuordnung.

 

Grafik 7. Soterion for SAP – Darstellung der Nutzung und Nutzungsfrequenz von Berechtigungen

 

Grafik 7. Soterion for SAP – Darstellung der Nutzung und Nutzungsfrequenz von Berechtigungen

 

Die Frequenz der Benutzung von Funktionen in den SAP-Systemen ist kritisch für die Bewertung, Freigabe, Berechtigungsoptimierung,  Risikokontrolle und Lizenzkostenoptimierung. Mit Hilfe der Darstellungen lassen sich Bedrohungen reduzieren, ohne das die Benutzer Einschränkungen im Regelbetrieb erfahren. Auch für das Rollendesign sind diese Informationen wesentlich, da hier Gruppierungsnotwendigkeiten und –optionen aufgezeigt werden. Die Arbeit wird durch Prioritätslisten optimiert, so dass je nach Thema, Aufwand oder Bereich Einzelgebiete bearbeitet werden können. Ein Beispiel ist die Liste der Benutzer mit den Funktions-trennungsrisiken. Die bereits angesprochene Simulation wird in der Bereinigungsprojektion sichtbar (Clean-up Projection Graph).  Kunden können nun auf Basis realer Analyseergebnisse entscheiden, ob eine Berechtigungsbereinigung sukzessive durchführbar  ist, oder ob ein Projekt für ein neues Berechtigungsdesign notwendig wird. Intelligente Entscheidungen werden so Realität, und Schätzungen in diesem kritischen Bereich der Sicherheit gehören der Vergangenheit an. 

 

Grafik 8. Soterion for SAP – Darstellung der Bereinigungsprojektion

 

Grafik 8. Soterion for SAP – Darstellung der Bereinigungsprojektion

 

Die dynamische Kontrolle wird erweitert durch Simulationszuordnungen bei der Berechtigungsvergabe. Der Allocation Simulator erlaubt die Zuordnung von neuen Berechtigungen und die Darstellung eventueller Risiken, die sich aus der Neuzuordnung ergeben. 

 

Grafik 9. Soterion for SAP – Darstellung des Allocation Simulators

 

Grafik 9. Soterion for SAP – Darstellung des Allocation Simulators

 

Die zügig erreichbaren Resultate mit messbaren Quick Wins und einer strategischen Sicherstellung eines hohen nachweisbaren Sicherheitsniveaus mit transparenten Berechtigungen und einem stark reduzierten Bedrohungspotential sind eine echte Alternative zu herkömmlichen Methoden und sogenannten GRC-Lösungen. Dynamisches Anpassen von Berechtigungen unter Beachtung der Risikokontrolle in täglich stattfindenden Änderungsprozessen ist auf Grundlage der richtigen Informationen und mit einem geeigneten Rollenbau-kasten mit Unterstützung von Soterion for SAP Realität.

 

Grafik 10. Soterion for SAP – Darstellung der Risikoentwicklung durch Bereinigungsaktivitäten

 

Grafik 10. Soterion for SAP – Darstellung der Risikoentwicklung durch Bereinigungsaktivitäten

 

 

Über LINKIES. Management Consulting

 

LINKIES. Unternehmensberatung GmbH ist ein Gruppenunternehmen der international tätigen LINKIES. Management Consulting. Das Beratungshaus mit Hauptsitz in Leipzig, Deutschland fokussiert seine Dienstleistungen auf die Schwerpunktthemen SAP & Information Security, Enterprise Risk Management & Corporate Governance, Regulatory Compliance & Legal Advisory und Environmental Marketing Services. Einem eigens entwickelten ganzheitlichen Ansatz folgend bietet das Unternehmen strategische und umfassende Lösungen für IT- und prozessgestütztes Risikomanagement, Sicherheit und Berechtigungen für SAP-Systeme, Compliance, Identity Management und betriebliche Geschäfts- und Sicherheitsprozessoptimierung. Zusätzliches Augenmerk wird aufgrund der aktuellen Situation und Kundenanforderungen auf die Themen SAP-Sicherheit und Berechtigungsmanagement, Krisenmanagement, Insolvenzrisiko- und Rechtsberatung, sowie Umwelt- und Gesundheitsschutz gelegt. Die Berater verfügen über umfangreiche internationale Projekterfahrungen in Europa, Amerika, Asien und Ozeanien. LINKIES. Unternehmensberatung fördert aktiv angemessenes Risikomanagement als Leistungsindikator und als wichtige Anforderung für Wertebildung, –erhalt und Gewähr-leistung von unternehmerischer Sicherheit.

 

Mario Linkies

wurde 1963 in Leipzig geboren. Er hat an der Humboldt-Universität zu Berlin Finanz- und Bankwirtschaft sowie Außenhandel studiert. Mario Linkies ist Unternehmer, Unternehmensberater und Autor. Er leitet die internationale Beratungsgruppe LINKIES. Management Consulting und hat mehrere Fachbücher zum Thema Risikomanagement veröffentlicht, die in deutscher, englischer und japanischer Sprache erschienen sind. Er lebt in Leipzig, Deutschland und Oakville, Kanada.

 

Bücher von Mario Linkies zum Thema SAP-Sicherheit, Berechtigungen und Risikomanagement:

 

Sicherheit und Berechtigungen in SAP-Systemen, SAP Press, Bonn, 2006, ISBN 978-3-89842-670-1

SAP Security and Authorizations, SAP Press, New York, 2006, ISBN 978-1-59229-062-8

Sicherheit und Risikomanagement für SAP-Systeme, SAP Press, Bonn, 2010, ISBN 978-3-8362-1421-6

SAP Security and Risk Management, SAP Press, Boston, 2010, ISBN 978-1-59229-355-1

[ zurück]
Nächster news
We use cookies to give you the best online experience. By using our website you agree to our use of cookies in accordance with our cookie policy. Learn more here.