SAP® bietet eine ungeahnte Vielfalt, das System auf die Bedürfnisse des Unternehmens sicher anzupassen. Genau darin liegt aber auch das Problem: Viele Möglichkeiten der Administration führen im Ergebnis leider auch immer wieder zu sicherheitskritischen Einstellungen.
Ist Ihnen bewusst, dass die SAP® im Auslieferungszustand etwa 2,2 Millionen voreingestellte Feldwerte ausliefert? Kein Wunder, dass die Komplexität des SAP®-Berechtigungskonzeptes auch heute – einige Jahre nach Umstellung auf den Profilgenerator – immer wieder Diskussionsstoff zwischen den Auditoren und den Administratoren für Berechtigungen bietet.
Zum Standardrepertoire des Revisors gehört, das Änderungsbelegobjekt S_SCD0 zu überprüfen, damit kein User Änderungsbelege aus dem System löschen kann. Ein weiterer »Klassiker« in der Prüfung ist die Kombination »Kreditorenstammsatz anlegen/ändern« und »Zahlung anweisen«. Zu Recht, denn es gibt weitere Methoden, den Kreditor für eigene Zwecke des Mitarbeiters zu beeinflussen. Auch welche letztendlich die hochkritischen Zahlungswege sind, ist unklar: Nur solche aus dem Modul FI oder auch aus Modul MM? Und was ist beispielsweise mit Daueraufträgen oder Zahlungsvorerfassungen? All dies sind Beispiele, die von vornherein in der Konzeption des Berechtigungskonzeptes bedacht werden müssen.
Die Berechtigungsthematik ist für die beteiligten Mitarbeiter in den Projekten nicht wirklich transparent. Berechtigungen sind administrative Dinge, die oftmals erst am Ende der Projekte erstellt werden. Die meisten Fehler im Berechtigungskonzept entstehen dabei durch modulübergreifende Einstellungen. Denn häufig werden in den Projekten unterschiedliche Teams für unterschiedliche Module beauftragt.
Wir stützen unsere Prüfung auf eine breite Auswahl von sicherheitskritischen Berechtigungen, die sogenannte »Blacklist« – auch als kritische Kombinationen zur Sicherstellung der »Segregation of Duties/Funktionstrennungen«. Diese »Blacklist« haben wir in den verschiedensten Projekten und Branchen erarbeitet und setzen sie im Rahmen von Prüfungen und Qualitätssicherungen ein. Unsere Kunden unterstützen wir auch bei der Softwareauswahl vollautomatischer Prüfprogramme. Trainings- und Workshop-Erfahrungen runden unser Profil ab.
Unser Wissen geben wir nicht nur mit den eigentlichen Prüfungsergebnissen, sondern auch in den gemeinsamen Prüfungen weiter. Dabei erarbeiten wir mit Ihnen Konzepte auf Basis der Standardwerkzeuge (Einsatz von batchgesteuerten Varianten oder des Security-Audit-Logs), die Ihre wertvolle Auditarbeit durch eine kontinuierliche Auseinandersetzung (»Control Continuous Monitoring«) mit dem System fördern. Ein Einsatz der zur Verfügung stehenden Sicherheitsleitfäden der SAP® (mit geschütztem Marketplace-User über service.sap.com/securityguide) oder des Prüfleitfadens der DSAG sind für uns selbstverständlich.