Bundesamt für Sicherheit in der Informationstechnik

M 2.342 Planung von SAP Berechtigungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Erklärung der wichtigsten Begriffe

Berechtigungen in einem SAP System steuern die Zugriffsmöglichkeiten seiner Benutzer. Die Sicherheit der Geschäftsdaten hängt daher direkt von den eingestellten Berechtigungen ab. Aus diesem Grund muss die Vergabe von Berechtigungen sorgfältig geplant und durchgeführt werden, um die gewünschte Sicherheit zu erreichen.

Die Funktionen eines SAP Systems (z. B. Programme oder Reports, generell Applikationen im SAP System) werden über Transaktionen aufgerufen, die dabei unterschiedliche Operationen oder Aktivitäten (z. B. Schreiben, Lesen, Löschen) auf Daten ausführen können. Die über Transaktionen gestarteten Applikationen prüfen beim Aufruf, ob der aufrufende Benutzer über die notwendigen Berechtigungen verfügt, die angeforderte Operation auf den durch die Applikation angesprochenen Daten auszuführen.

Der Prüfmechanismus baut auf so genannten Berechtigungsobjekten auf, die Autorisierungsfelder besitzen. Eine konkrete Berechtigung kann als Ausprägung eines Berechtigungsobjektes mit ausgefüllten Autorisierungsfeldern verstanden werden. Beim Start einer Transaktion prüft der SAP Kern zunächst, ob der Benutzer die Berechtigung zum Start der Transaktion besitzt. Nach dem Start kann die Transaktion auch weitere Berechtigungsprüfungen durchführen. Geprüft wird, ob der zugreifende Benutzer eine Berechtigung besitzt, die vom benötigten Berechtigungsobjekt abgeleitet ist. Ist dies der Fall, werden die Autorisierungsfelder der Berechtigung daraufhin geprüft, ob sie die benötigten Werte oder Wertekombinationen enthalten. Eine Transaktion kann dabei auf mehrere Berechtigungen prüfen. Welche dies sind, wird im Programm-Code festgelegt. Beim Start einer Transaktion wird vom SAP Kern immer auf das Berechtigungsobjekt S_TCODE geprüft. Beim Start von Applikationen wird auf das Berechtigungsobjekt S_PROGRAM geprüft. Die eigentliche Prüfung erfolgt also immer durch den Kern des SAP Systems, auch wenn diese durch den Programm-Code der Transaktion angestoßen wird.

Aus Applikationssicht sind insbesondere diejenigen Autorisierungsfelder von Berechtigungsobjekten wichtig, die als so genannte Organisationsebenen ausgeprägt werden müssen. Sie berechtigen dann eine Rolle, eine bestimmte Transaktion, beispielsweise für den angegeben Buchungskreis (oftmals eine zusammenhängende Geschäftseinheit eines Unternehmens, z. B. Tochterunternehmen) durchzuführen.

Berechtigungen werden Benutzern dadurch zugeordnet, dass ihnen so genannte Rollen zugeordnet werden. Rollen geben an, welche Transaktionen durch den Benutzer ausgeführt werden sollen, dem eine Rolle zugeordnet wurde. Da jede Transaktion auf bestimmte, durch den Programm-Code festgelegte Berechtigungsobjekte prüft, kann für jede Rolle ein Berechtigungsprofil (d. h. Menge von Berechtigungen) abgeleitet werden, in dem alle Berechtigungsobjekte enthalten sind, die zur Ausführung der Transaktionen generell benötigt werden. Der Prozess, das Berechtigungsprofil für eine Rolle und die darin enthaltenen Transaktionen zu erstellen, wird über den Profilgenerator (Transaktion PFCG) automatisiert.

Über Prüfkennzeichen für Transaktionen kann gesteuert werden, für welche Berechtigungsobjekte, auf die eine Transaktion prüft, der SAP Kern tatsächlich eine Prüfung ausführt. Über die Prüfkennzeichen können folglich Berechtigungsobjekte beim Aufruf einer Transaktion von der Prüfung ausgeschlossen werden. In diesem Fall wird durch den Profilgenerator auch keine Berechtigung im generierten Berechtigungsprofil erzeugt. Die Prüfkennzeichen werden über die Transaktion SU24 gepflegt, hier werden auch für die einzelnen Autorisierungsfelder der Berechtigungsobjekte die Werte gepflegt, die durch den Profilgenerator in die generierten Berechtigungen der Profile eingetragen werden. Es handelt sich dabei um Vorschlagswerte. Die Profile, die durch den Profilgenerator erzeugt werden, müssen unter Umständen noch manuell nachbearbeitet werden.

Planungsschritte bei der Vergabe von Berechtigungen

Die Vergabe von Berechtigungen in einem SAP System ist also ein mehrstufiger Prozess. Zunächst müssen die benötigten Rollen definiert werden. Wichtig ist dabei, dass die Rollen letztendlich Arbeitsplätze oder Positionen im Unternehmen oder der Behörde beschreiben. Sie sollten nicht auf einzelne Mitarbeiter bezogen sein, sonst wird die Anzahl an Rollen unübersichtlich und unbeherrschbar. Ein gutes Berechtigungskonzept steht und fällt damit, ob die definierten Rollen sorgfältig spezifiziert wurden.

Sind die Rollen definiert, müssen die zugehörigen Berechtigungsprofile durch den Profilgenerator erzeugt werden. Der Umfang der erzeugten Berechtigungen in den Rollenprofilen wird durch die Konfiguration der Prüfkennzeichen beeinflusst. Auch dies muss sorgfältig geplant werden, da abgeschaltete Prüfungen immer auch einen gewissen Grad an Sicherheitsverlust bedeuten. Die erzeugten Profile und enthaltenen Berechtigungen sind zu prüfen und gegebenenfalls anzupassen.

Abschließend werden die Berechtigungen Benutzern dadurch zugewiesen, dass einem Benutzer eine Rolle zugeordnet und der so genannte Benutzerabgleich angestoßen wird. Dadurch werden im Benutzerstammsatz die im Berechtigungsprofil der Rolle enthaltenen Berechtigungen gespeichert.

Berechtigungskonzept

Das Berechtigungskonzept für ein SAP System muss in zwei Ausprägungen erstellt werden: für den ABAP -Stack und für den Java-Stack. Es gilt dabei zu beachten, dass sich das Berechtigungssystem des Java-Stacks fundamental von dem des ABAP-Stacks unterscheidet. Konzeptionell sind jedoch die gleichen Fragestellungen zu betrachten. Dies sind unter anderem:

  • Welche Rollen werden benötigt?
  • Welche Rolle darf welche Funktionen des SAP Systems aufrufen (z. B. Transaktionen, Programme oder Reports)?
  • Welche Rolle darf auf welche Daten des SAP Systems zugreifen?
  • Welche administrativen Rollen mit welchen Berechtigungen werden benötigt, um das geplante Administrationskonzept umzusetzen?
  • Nutzen Applikationen neben dem SAP Standardberechtigungssystem noch weitere Berechtigungen? Diese sind entsprechend im Konzept zu berücksichtigen und zu planen.
  • Welche Prozesse für die Berechtigungsverwaltung sind mit den zugehörigen Verantwortlichkeiten zu definieren (z. B. Beantragung, Genehmigung, Anlegen, Verändern, Löschen)?
  • Sind Funktionstrennungsaspekte im Berechtigungskonzept ausreichend beachtet? Hier spielen insbesondere auch rechtliche Anforderungen eine Rolle.
  • Wird beim Änderungsmanagement auch das Risikopotential betrachtet, welches durch eine Berechtigungshäufung entstehen kann?

Es ist darauf zu achten, dass für alle anfallenden Vorgänge im Kontext von Berechtigungen Prozesse definiert werden und die Prozesse vollständig spezifiziert sind. Zusätzlich sind die jeweiligen Verantwortlichkeiten vollständig festzulegen. So wird verhindert, dass sich durch unklare Verantwortlichkeiten oder unvollständig definierte Prozesse Sicherheitslücken einschleichen.

Die Definition der Rollen und der zugeordneten Berechtigungen muss sich einerseits an den Erfordernissen der Institution orientieren, andererseits müssen hier auch die Anforderungen einbezogen werden, die sich aus den rechtlichen Rahmenbedingungen ergeben, wie beispielsweise dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontrAG), der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) oder dem Bundesdatenschutzgesetz ( BDSG ). Eine ausführliche Planung ist daher unumgänglich. Je detaillierter die Erfordernisse der Rollen bekannt sind, desto besser können später die Berechtigungen vergeben werden. Dabei ist auf die notwendige Trennung zwischen Rollen zu achten. Es ist empfehlenswert, die Rollen, und damit die Berechtigungen, an die interne Organisationshierarchie und die darin existierenden Positionen und Stellen anzupassen. So kann beispielsweise erreicht werden, dass bei Positionswechseln von Mitarbeitern deren alte Berechtigungen nicht mehr verfügbar sind.

Wichtig ist außerdem, dass im Unternehmen oder in der Behörde Verantwortliche für Informationen und Prozesse ernannt werden (Informationseigentümer bzw. Verfahrensverantwortliche), die einen bestimmten Datenbestand der Organisation verantworten. Beispielsweise ist der Leiter der Finanzabteilung (Chief Financial Officer, CFO ) für den Finanz- und Controllingbereich verantwortlich. Die Verantwortlichen aller Bereiche sind unbedingt in die Planung der benötigten Rollen, Berechtigungen und Prozesse einzubeziehen, da nur sie die dazu notwendigen Kenntnisse auf fachlicher Ebene besitzen. Administratoren sind in der Regel nicht in der Lage, die Rollen und Berechtigungen auf Applikationsebene alleine zu planen.

Im Rahmen der Berechtigungsplanung ist auch Folgendes festzulegen:

  • Welche Berechtigungen sind als kritisch zu betrachten (d. h. erlauben kritische Operationen im SAP System unter administrativen, rechtlichen oder betriebswirtschaftlichen Aspekten)?
  • Welche Rollen dürfen welche kritischen Berechtigungen, Profile oder Rollen erhalten?
  • Welche Rollen dürfen welche Werte für kritische Berechtigungsfelder erhalten?

Weitere Hinweise zur Definition von kritischen Berechtigungen finden sich in M 4.261 Sicherer Umgang mit kritischen SAP Berechtigungen .

Im Detail unterscheiden sich die Konzepte für den ABAP- und Java-Stack sehr. Für den ABAP-Stack muss die Berechtigungsverwaltung über den Profilgenerator und nicht manuell erfolgen. Generell muss von der manuellen Verwaltung dringend abgeraten werden, da dies häufig zu Fehlkonfigurationen der Berechtigungen führt. Durch den Profilgenerator wird sichergestellt, dass die Benutzer nur die Berechtigungen erhalten, die zum Ausführen derjenigen Transaktionen notwendig sind, die ihnen über die Rollen zugeordnet wurden. Daher ist wichtig, dass insbesondere die Konzepte, Prozesse und Abläufe auf die Verwendung des Profilgenerators abgestimmt sind.

Für den JAVA-Stack besteht hingegen keine Wahlmöglichkeit, da der Berechtigungsmechanismus der Spezifikation der Java 2 Enterprise Edition (J2EE) genutzt werden muss. Es ist dabei zu beachten, dass die "User Management Engine" (UME) über diesen Standard hinausgehende Optionen anbietet.

Weitere Informationen finden sich in M 4.260 Berechtigungsverwaltung für SAP Systeme , in M 4.262 Konfiguration zusätzlicher SAP Berechtigungsprüfungen sowie in M 4.268 Sichere Konfiguration der SAP Java-Stack Berechtigungen .

Hinweise auf SAP Dokumentationen, die bei der Planung des Berechtigungskonzeptes genutzt werden können, finden sich in M 2.346 Nutzung der SAP Dokumentation .

Planen der Berechtigungsverwaltung

Die Verwaltung der Berechtigung muss geplant und das gewünschte Verwaltungskonzept muss definiert werden. Im Wesentlichen ist dabei zu berücksichtigen, welche Aufgaben in der Berechtigungsverwaltung durch wen erledigt werden. Hier empfiehlt sich ein rollenbasierter Ansatz (siehe auch M 4.260 Berechtigungsverwaltung für SAP Systeme ), so dass den definierten Rollen später konkrete Benutzer und damit Personen zugeordnet werden können. Dabei ist zu beachten, dass unvereinbare Rollen (Funktionstrennung) nicht derselben Person zugeordnet werden. Da in einer Organisation auch für die Berechtigungsverwaltung schon eine Vielzahl an Rollen impliziert sind, müssen diese entsprechend abgebildet werden.

So gibt es beispielsweise in der Regel keine einzelne Administrator-Rolle, vielmehr sind Rollen wie Benutzer-Administrator, Rollen-Administrator, Berechtigungs-Administrator, Entwickler, Help-Desk-Mitarbeiter oder Transport-Manager zu betrachten. Folglich sind die von SAP vordefinierten Rollen in der Regel nicht ohne Anpassungen zu benutzen.

Prüffragen:

  • Sind die Rollen und Berechtigungen im SAP System adäquat geplant worden?

  • Werden die vom Profilgenerator erzeugten Profile und enthaltenen Berechtigungen im SAP System geprüft und gegebenenfalls angepasst?

  • Wird das Berechtigungskonzept in den beiden ABAP -Stack und Java-Stack gleichwertig umgesetzt?

  • Wird darauf geachtet, dass für alle anfallenden Vorgänge im Kontext von SAP-Berechtigungen Prozesse definiert und vollständig spezifiziert werden?

  • Ist die Verwaltung der Berechtigungen im SAP System mit allen Prozessen geplant und wurden die Verantwortlichkeiten vollständig definiert?

Stand: 13. EL Stand 2013