Skip to main content

Kritische Berechtigungskombinationen in SAP

SAP ist in vielen Unternehmen zum zentralen und unentbehrlichen IT-System geworden. Finanzbuchhaltung, Kundendaten, Produktionsplanung und -steuerung – In SAP werden die wichtigsten und wertvollsten Unternehmensdaten verarbeitet. Der Wert dieser Daten und die Möglichkeiten ihrer Verarbeitung erzeugen aber auch ein großes Schutzbedürfnis.

So ist es wenig überraschend, dass es für SAP-Systeme umfangreiche Empfehlungen und Vorgaben gibt, die den Zugriff auf die verwalteten Daten betreffen. Verschiedene Rechtsnormen wie der deutsche Corporate Governance Kodex (KonTraG) oder das Bilanzrechtsmodernisierungsgesetz (BilMoG) fordern im Rahmen ihrer Anforderungen an die Internen Kontrollsysteme (IKS) der Unternehmen auch eine Stärkung des Berechtigungsmanagements.

In der Praxis führen diese rechtlichen Anforderungen u.a. zu Vergabegrundsätzen wie sie auch im Prüfungsleitfaden der DSAG formuliert sind:

Need-to-know Prinzip

Berechtigungen eines Benutzers [dürfen] nur diejenigen Sichten und Funktionen für die Daten freigeben, die er zur Erfüllung der Tätigkeiten an seinem Arbeitsplatz benötigt

Segregation of Duties

Funktionen, die zu einer unerwünschten Kummulierung der Rechte führen würden, [dürfen] nicht an die gleiche Person vergeben werden […]. Dieses Prinzip der Funktionstrennung hilft, Missbrauch und betrügerische Handlungen zu verhindern.

Die Verhinderung dieser "unerwünschten Kumulierung der Rechte" wird üblicherweise über die Definition "kritische" Berechtigungskombinationen erreicht. Mit Hilfe von umfangreichen Tabellen (sogenannter SoD Matrizen), werden die Kombinationen der einzelnen Berechtigungen für SAP Transaktionen hinsichtlich ihrer SoD Verträglichkeit bewertet. Hierbei können Unternehmen sowohl eigene SoD-Matrizen entwickeln, als auch auf verschiedene Good-Practice Vorlagen z.B. des SAP Developers Network zurückgreifen.

Basierend auf den so definierten SoD-Matrizen muss im Rahmen des Berechtigungsmanagements die Vergabe von kritischen Berechtigungskombinationen erkannt und gesteuert werden.

Unser Prinzip: Transparenz und Flexibilität

Die Transparenz eines Unternehmens ist die Grundlage für Vertrauen und gute Zusammenarbeit. Wir liefern immer flexible und anpassungsfähige Lösungen für ein sinnvolles Miteinander. Auf Nachfrage zeigen wir Ihnen ganz genau was wir für Sie leisten.

logoicon sintegrity web

Die praktische Herausforderung – SoD Prüfungen in SAP

Zur Erfüllung verschiedenster Compliance-Anforderungen ist somit die Prüfung und Einhaltung von SoD-Vorgaben eine zwingende Voraussetzung.

Dabei wird eine toxische Berechtigung bzw. die daraus resultierende SoD-Verletzung meist auf der Ebene granularer/atomarer Einzelrechte für bestimmte SAP-Transaktionen definiert. Da SAP aber diese Privilegien innerhalb seines Berechtigungsmanagements in so genannten Business-Rollen bündelt, kann ein entsprechendes Transaktionsrecht über die Mitgliedschaft in unterschiedlichsten Business-Rollen an Benutzer vergeben werden.

TG ASoballa Sintegrity Grafik 03 900

Eine Prüfung auf bestehende und entstehende SoD-Verstöße kann daher sehr komplex sein und durch verschiedene Ursachen erforderlich werden:
  • Neue Vergabe von Berechtigungen an einen Benutzer
    Bei Erweiterung der Berechtigungen eines Benutzers ist zu prüfen, ob durch die neuen Rechte toxische Berechtigungskombinationen im Sinne der SoD entstehen.
  • Veränderungen in der SoD-Matrix
    Bei Veränderungen in den SoD-Definitionen müssen die bestehenden Berechtigungen aller Benutzer auf Verträglichkeit mit diesen veränderten Definitionen überprüft werden.
  • Veränderung in den SAP Berechtigungsobjekten / Business Rollen
    Bei Veränderungen in der Zusammensetzung von Business-Rollen ist zu prüfen, ob für die Mitglieder der betroffenen Business-Rollen ein SoD-Konflikt durch die neue Rollendefinition entsteht.

Die o.g. Auslöser für eine erforderliche SoD-Prüfung sind im Betriebsalltag von SAP vielfach bis permanent anzutreffen – Ständig erfolgt die Neuzuweisung von Berechtigungen an Benutzer, SAP-Rollen unterliegen einer regelmäßigen Überarbeitung u.a. durch veränderte Zuständigkeiten in den einzelnen Fachbereichen und selbst die Definitionen der SoD-Matrizen können sich über einen längeren Zeitraum wandeln.

Die praktische Umsetzung dieser Prüfung wird dabei von der reinen Menge der SoD-relevanten Einzelberechtigungen und Ihrer Verwendung in hierarchischen Berechtigungsstrukturen erschwert:
Um bei der Zuweisung einer neuen Business Rolle an einen Benutzer die möglichen SoD-Konflikte zu prüfen, müssen möglicherweise mehrere tausend Berechtigungsobjekte gegeneinander geprüft und bewertet werden. Diese Berechnung muss mit möglichst minimaler Rechenzeit erfolgen, um den Betriebsfluss nicht über Gebühr zu verzögern.

Bei Veränderung einer Business-Rolle sind die Auswirkungen sogar noch weitreichender, da hier nicht nur ein Benutzer in seiner Berechtigungsstruktur zu überprüfen ist, sondern im Extremfall alle Benutzer des SAP-Systems. Eine solche Prüfung kann mit bisherigen Mitteln nur über Nacht durchgeführt werden. Aber selbst dieses Zeitfenster ist für verschiedene SoD-Prüfungssysteme aufgrund des hohen Prüfungsaufwands oft nicht einzuhalten.

SoD-Prüfung mit sintegrity

Die sintegrity von der tbq-IT GmbH ermöglicht hier die effiziente und sichere SoD-Prüfung von SAP ERP. Es werden dabei direkt die Benutzerdaten mit ihren Berechtigungsprofilen, sowie die SAP-Rollenstruktur aus der jeweiligen SAP Instanz gelesen und der Ist-Stand anhand der beigesteuerten SoD-Matrizen bewertet.

TG ASoballa Sintegrity Grafik 01 900

sintegrity der tbq-IT und BETA Systems - Garancy IAM

Das Konzept einer "Segregation of Duties" findet sich auf allen Ebenen des Berechtigungsmanagements wieder:

Unternehmensweite Identity & Access Management Systeme wie Garancy IAM ermöglichen ebenfalls die Erkennung und Berücksichtigung / Verhinderung toxischer Berechtigungskombinationen. Dabei konzentriert sich das IAM-System allerdings auf die SoD-Einhaltung systemübergreifender Berechtigungsrollen in ihrer Zuordnung zu den verwalteten Personen. Analog zur beschriebenen SoD-Prüfung in SAP überwacht Garancy IAM dabei sowohl die SoD-Konformität innerhalb der IAM-eigenen Rollen-Berechtigungsstrukturen, als auch die SoD-Konformität aller Berechtigungen einer Person. Das IAM System berücksichtigt dabei in seiner SoD-Prüfung die verschiedenen Hierarchieebenen der Berechtigungsrollen bis hinunter zu den Berechtigungsobjekten der jeweilig angeschlossenen IT-Systeme. Diese, im IAM System „Berechtigungsgruppen“ genannten Bausteine entsprechen für SAP ERP den o.g. Business Rollen.

Das IAM-System verlässt sich dabei auf die Administration des jeweils angeschlossenen Zielsystems, dass die bereitgestellten Berechtigungsgruppen (für SAP ERP die Business Rollen) in sich SoD-konfliktfrei sind. Da das IAM-System außerdem die SoD-Matrizen von SAP nicht kennt und auch über die jeweils in Business Rollen enthaltenen Einzelrechte keine umfangreichen Informationen besitzt, kann das IAM-Systeme nur Aussagen zur SoD-Kompatibilität der verwalteten Berechtigungsgruppen untereinander treffen, sofern diese im IAM-System als toxische Berechtigungskombination hinterlegt sind („SAP Business Rolle A darf nicht mit SAP Business Rolle B kombiniert werden.“). Eine weitergehende Prüfung, ob die "low level" SoD-Definitionen eingehalten werden, kann das IAM-System nicht leisten.

An dieser Stelle ergänzen sich Garancy IAM und sintegrity der tbq-IT: Durch Verwendung beider Systeme wird eine vollständige SoD-Prüfung‚ "von der Person bis zum Einzelrecht" gewährleistet. Kunden können durch die parallele Nutzung der Systeme die Vollständigkeit der SoD-Einhaltung einem Prüfer nachweisen. Bei Bedarf können ferner in Berechtigungsanträgen des IAM-Systems Abfragen zur SoD-Konformität beantragter SAP-Berechtigungen realisiert werden. In kundenindividuellen Workflows können auf diese Weise potentielle SoD-Konflikte in SAP erkannt und dargestellt werden, noch bevor die Anträge genehmigt wurden. Im Zusammenspiel der beiden Systeme erhält der Kunde somit eine feingranulare SoD-Prüfung, die SoD-Konflikte noch vor ihrem Entstehen erkennt und in den Antragsverfahren behandeln lässt.