valerybrozhinsky - stock.adobe.c
Zugriffsrechte von Benutzern in SAP-Systemen steuern
Über Berechtigungen können Administratoren steuern, welche Rechte Benutzer bei der Arbeit mit SAP-Systemen haben. Dabei gilt es, einige Grundlagen und Tools zu beachten.
Das Steuern der Zugriffsrechte spielt in SAP eine wichtige Rolle. Die Benutzer greifen mit ihren Rechten auf die Daten im SAP-System zu und können personenbezogene Informationen lesen sowie relevante Einstellungen vornehmen.
Da SAP-Systeme in den meisten Fällen komplex sind, laufen Berechtigungsstrukturen schnell aus dem Ruder, wenn zuvor kein richtiges Konzept erstellt wird. Es gibt verschiedene Vorlagen, die beim Aufbau von Berechtigungskonzepten helfen, allerdings sind diese nicht allgemeingültig. SAP-Systeme unterscheiden sich und es ist in den meisten Fällen notwendig, die Berechtigungen genau zu definieren.
Im Rahmen der Berechtigungen sollten Konzepte auf drei Ebenen erstellt werden:
- Berechtigungen von Rollen müssen dokumentiert und konzeptioniert werden.
- Anwender müssen Berechtigungen und Rollen entsprechend ihrem Aufgabenbereich erhalten.
- Für die SAP-Umgebung muss ein Sicherheitskonzept erstellt werden, das eng mit dem Rollenkonzept zusammenhängt.
Häufig nutzen Unternehmen für die Dokumentation der Rollen Excel-Tabellen, in denen Berechtigungen, Verantwortliche und weitere Infos enthalten sind. Das Berechtigungskonzept selbst lässt sich als normales Dokument festhalten, in dem alle notwendigen Informationen enthalten sind. Das Sicherheitskonzept des SAP-Systems schützt wiederum vor Angriffen von außen, aber auch vor versehentlichen oder absichtlichen Angriffen von innen. Ohne umfassendes Sicherheitskonzept für Rollen und Berechtigungen ist ein Sicherheitskonzept der ganzen Umgebung schwer umsetzbar.
Berechtigungskonzept ist die Grundlage
Das Berechtigungskonzept, auf dessen Basis Berechtigungen gesteuert und dokumentiert werden, spielt eine entscheidende Rolle. Zudem schützt es Unternehmen vor rechtlichen Problemen. Falsch gesetzte Berechtigungen können darin resultieren, dass Benutzer versehentlich oder mit voller Absicht Daten löschen, die nicht gelöscht werden dürfen, oder dass Benutzer auf personenbezogene Daten zugreifen, für die sie nicht berechtigt sind.
Ein Berechtigungskonzept stellt sicher, dass sich SAP-Systeme einfacher administrieren lassen und neue Mitarbeiter schnell und sicher notwendige Zugriffe erhalten, ohne die Erfordernis nachträglicher Anpassungen.
Die klare Steuerung von Berechtigungen ist kein Zeichen von Misstrauen gegenüber Anwendern. Es ist für Benutzer und für die Organisation immer am besten, wenn genau die Rechte Rollen zugestanden werden, die für die Arbeit notwendig sind. Durch Rollen erhalten Anwender die Berechtigungen, die sie entsprechend ihrer Aufgabe benötigen.
Das schützt auch Anwender, da versehentliche Fehler reduziert oder komplett vermieden werden können. Gleichzeitig schützt ein Berechtigungsmodell Vorgesetzte und Inhaber von Unternehmen vor Schäden durch falsch gepflegte Daten.
Vor dem Aufbau eines Berechtigungskonzept müssen die Ziele des Konzeptes klar definiert sein. Zu den Zielen gehören zum Beispiel regulatorische Auflagen und rechtliche Rahmenbedingungen. Wichtig ist daneben das Festlegen der Namenskonventionen. Bereits frühzeitig muss klar sein, wie Benutzernamen und Rollen aufgebaut sein müssen. Hinzu kommt die Notwendigkeit, Verantwortliche für das Berechtigungskonzept zu benennen und klar zu kommunizieren.
Ablauf eines Berechtigungsdesigns
Um das richtige Berechtigungsdesign zu finden, ist der erste Schritt die Erstellung eines Konzeptes. Vor dem Konzept sollten keine Berechtigungen verteilt werden. Für die Vorbereitung der Umsetzung von Berechtigungen sollten Verantwortliche die SAP-Seite Berechtigungsvorschlagsdaten bearbeiten (Kundensystem) studieren.
Im Rahmen des Designs werden auch die Funktionsrollen entworfen. Dabei werden Mitarbeiter in Gruppen eingeteilt und Transaktionen festgelegt, die von dieser Gruppe umgesetzt werden können. Ist das Design vorbereitet, sollte der entsprechende Fachbereich mit eingebunden werden, um Probleme rechtzeitig zu erkennen und bereits frühzeitig im Design zu beheben. Nachdem die Rollen definiert sind, sollten diese mit Tools und Simulationsmöglichkeiten ausgiebig getestet werden.
Sind die Simulationen erfolgreich, erhalten Anwender ihre Berechtigungen. Hatten die Anwender im Vorfeld bereits andere Rollen oder Berechtigungen, sollte es über einen bestimmten Zeitraum hinweg möglich sein, die alten Berechtigungen wieder zu aktivieren, wenn es Probleme mit den neuen Berechtigungen gibt. Das vermeidet Ausfälle und nimmt den Druck von den Verantwortlichen.
Tools für Benutzerverwaltung und Rechtevergabe
Zu einem Konzept gehört die Dokumentation der Prozesse. Dabei muss beschrieben werden, wie Anwender und neue Benutzer die Rechte erhalten, die sie brauchen und wie die Konfiguration der Benutzer erfolgt. Hier kommen Identity Management Tools zum Einsatz, deren Abläufe und Funktionen ebenfalls aufgezeichnet werden sollten. Zudem muss man dokumentieren, ob das Vier-Augen-Prinzip oder andere Sicherheitsanforderungen für einzelne Rollen notwendig sind und wie die Abläufe der Umsetzung erfolgen.
Mit SAP Access Control lassen sich die Berechtigungen steuern und das GRC-Paket (Governance, Risk, Compliance) von SAP ermöglicht, Rollen nach Gesichtspunkten von Sicherheit und Datenschutz zu erstellen.
Akquinet bietet mit dem System Audit und Security Toolkit eine Lösung an, das Unternehmen bei der Verwaltung von Berechtigungen und deren Planung unterstützt. Auch CheckAud von IBS Schreiber ist eine Option, da es auf Basis von SAP-Standards Prüfungen der Berechtigungen durchführt.
Die Tools steuern, welche Benutzer berechtigt sind, die einzelnen Rollen und deren Zugehörigkeit zu bearbeiten. Dabei kann es unterschiedliche Benutzer geben, die wiederum Zugriff auf unterschiedliche Rollen erhalten.
Mit GRC-in-a-Box von Wikima4 erhalten Unternehmen verschiedene Module, die bei Lizenzierung und Kostenrechnungen unterstützen. Das Tool ist flexibel anpassbar. Das gilt auch für Xiting Auhorization Management Suite (XAMS). Die Anwendung findet Schwachstellen und hilft beim Design des Berechtigungskonzeptes.
Eine Analyse des Berechtigungskonzeptes kann mit apm atlantis von valantic erfolgen. Das Tool hilft bei der Berechtigungsplanung und beim Erkennen falsch gesetzter Berechtigungen.
Sammel- und Einzelrollen nutzen
In SAP-Systemen gibt es schließlich die Möglichkeit, mit Sammelrollen und Einzelrollen zu arbeiten. Sammelrollen sind eine Struktur für Arbeitsplätze in bestimmten Abteilungen, zum Beispiel für den Einkauf. Die Berechtigungen und Transaktionen werden wiederum Einzelrollen zugewiesen. Die Einzelrollen werden dazu den Sammelrollen zugeordnet.
Da sich Einzelrollen mehreren Sammelrollen zuordnen lassen, bietet diese Struktur flexible und einfache Zuordnungsmöglichkeiten. Hier ist es zum Beispiel sinnvoll, mit einer Tabellenkalkulation zu arbeiten, und so die Einzelrollen den Sammelrollen zuzuordnen. Informationen dazu finden sich auf den SAP-Seiten Sammelrolle anlegen und Einzelrollen in Sammelrollen zusammenfassen.