Bundesamt für Sicherheit in der Informationstechnik

M 4.260 Berechtigungsverwaltung für SAP Systeme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Sicherheit der in einem SAP System verarbeiteten Geschäftsdaten wird sehr stark durch die eingestellten Berechtigungen für Benutzer und Administratoren bestimmt. Diese legen fest, welche Funktionen (im SAP Jargon auch Transaktionen genannt) von einem bestimmten Benutzer aufgerufen und damit, welche Daten eingesehen bzw. verändert werden können. Daher sind die konfigurierten Berechtigungen und deren Verwaltung ein sehr wichtiger Bestandteil der Systemsicherheit, vor allem vor dem Hintergrund möglicher Betrugshandlungen durch interne Mitarbeiter.

Das SAP Berechtigungssystem ist sehr flexibel, dadurch aber auch komplex in der Konfiguration. Im Gegensatz zu Betriebssystemen, in denen Berechtigungen direkt auf Objekten (z. B. Dateien) vergeben werden, arbeiten SAP Systeme nach dem Ausweisprinzip: Beim Zugriff auf Funktionen wird geprüft, ob der Benutzer Berechtigungen eines bestimmten Typs besitzt. Ist dies der Fall, wird geprüft, ob die eingetragenen Werte den Anforderungen entsprechen, die zum Ausführen der aufgerufenen Funktion notwendig sind. Die geprüften Berechtigungstypen und Werte werden dabei durch den Programmierer der Funktion bestimmt und können auch die Daten berücksichtigen, die beim aktuellen Aufruf an die Funktion übergeben wurden. Zusätzlich entscheidet zum Schluss der Programmierer einer Funktion, ob er eine eigentlich notwendige Berechtigungsprüfung implementiert oder nicht.

Für die Verwaltung von Berechtigungen sollten die folgenden Empfehlungen berücksichtigt werden. Die Liste ist an die lokalen Bedürfnisse und Anforderungen anzupassen und zu erweitern.

Schulung

Administratoren die für die Verwaltung von Benutzerkennungen, Rollen, Profilen oder Berechtigungen verantwortlich sind, müssen zwingend Schulungen zum SAP Berechtigungskonzept und zur Berechtigungsverwaltung (Vorgehen, Werkzeuge, richtige Verwendung) erhalten oder das entsprechende Verständnis nachweisen. Nur so wird erreicht, dass die Berechtigungsverwaltung versiert durchgeführt werden kann.

Trennen der Verantwortlichkeiten (Vier-Augen-Prinzip)

Das Verwaltungskonzept muss so ausgelegt sein, dass die Verantwortlichkeiten möglichst getrennt werden. Folgendes sollte dabei beachtet werden:

  • Es sollte ein Benutzeradministrator vorgesehen werden. Dieser sollte Benutzerkennungen anlegen, verändern und Rollen zuordnen können. Das Anlegen oder Verändern von Rollen oder Profilen darf dem Administrator nicht erlaubt sein. SAP bietet hierzu die Vorlage SAP_ADM_US an.
  • Es sollte ein Rollenadministrator vorgesehen werden, der Rollen anlegen und verändern kann, der jedoch keine Benutzer oder Profile anlegen oder verändern darf. SAP bietet hierzu die Vorlage SAP_ADM_AU an.
  • Es sollte ein Profiladministrator vorgesehen werden. Dieser darf für vorhandene Rollen Profile generieren, die keine kritischen Systemberechtigungen enthalten (etwa S_USER*), da diese zur Benutzer- und Rollenverwaltung berechtigen. SAP bietet hierzu die Vorlage SAP_ADM_PR an.
  • Diese Administratoren sind der Gruppe SUPER zuzuordnen.
  • Es sollte ein Administrator-Administrator definiert werden. Dieser verwaltet die Benutzer-, Rollen-, und Profil-Administratoren. Der Administrator-Administrator sollte dem Profil S_A.SYSTEM zugeordnet werden, das zur Verwaltung von Benutzern in der Gruppe SUPER benötigt wird. Der Administrator-Administrator sollte nur im Vier-Augen-Prinzip genutzt werden. Er kann beispielsweise durch den Benutzer-Administrator gesperrt und bei Bedarf für die Dauer der Nutzung entsperrt werden.

Durch die Trennung (sofern technisch richtig umgesetzt) wird erreicht, dass sich die Administratoren nicht selbst Berechtigungen zuordnen können und für sie auf diese Weise nur die ihnen zugeordneten Aufgaben ausführbar sind.

In kleineren Unternehmen oder Behörden kann es aufgrund eingeschränkter Personalverfügbarkeit vorkommen, dass keine Trennung vorgenommen werden kann und alle Aufgaben durch eine Person ausgeführt werden. Alle Daten im SAP System können dann durch den Administrator unbemerkt eingesehen und verändert werden. Generell ist dies als sicherheitskritisch zu bewerten, so dass zusätzliche Kontrollen notwendig sind. Gleiches gilt allgemein auch im Kontext wichtiger finanz- und bilanzrelevanter Prozesse sowie bei der Verarbeitung personenbezogener Daten, wo beispielsweise eine entsprechende Funktionstrennung vorhanden sein muss. Kann diese nicht erreicht werden, müssen geeignete Kontrollen auf organisatorischer Ebene definiert und deren Durchführung sichergestellt werden. Entsprechende Prüfungen auf das Vorhandensein von Kontrollen finden beispielsweise auch im Kontext von Sarbanes Oxley Act bezogenen Prüfungen statt.

Die von SAP vorgegebenen und ausgelieferten Rollen sind sorgfältig gegen die eigenen Anforderungen zu prüfen und anzupassen.

Hinweise auf SAP Dokumentationen zum Aufbau der Berechtigungsverwaltung und zu relevanten Berechtigungen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Werkzeuge zur Berechtigungsverwaltung

Berechtigungen, Profile und Rollen können auch manuell verwaltet werden. Von diesem Vorgehen wird jedoch aus Sicherheitsgründen dringend abgeraten, da aufgrund der zu verwaltenden Objektmengen bei manueller Pflege immer Berechtigungsprobleme entstehen. Der Einsatz des Profilgenerators (Transaktion PFCG) wird daher dringend empfohlen. Insbesondere dürfen dann keine manuellen Veränderungen an den Profilen erfolgen.

Administratoren müssen sich mit den Mechanismen und Verfahren beim Einsatz des Profilgenerators vertraut machen, damit eine korrekte Berechtigungsvergabe erfolgt. So muss beispielsweise der Profilgenerator zunächst über die Transaktion SU25 initialisiert werden. Insbesondere die Verwendung und Pflege von Prüfkennzeichen (Transaktion SU24) muss bekannt sein. In Testläufen können fehlende Berechtigungen (diese sind beispielsweise über die Transaktion SU53 oder über Berechtigungstraces mit ST01 feststellbar) erkannt werden.

Neben den systeminternen Werkzeugen zur Berechtigungsverwaltung werden von Drittherstellern auch externe Werkzeuge zur Benutzer- und Berechtigungsverwaltung angeboten. Diese sind in der Regel mit einer komfortableren Benutzungsschnittstelle ausgestattet, da diese direkt auf dem Betriebssystem ablaufen. Ob solche Werkzeuge als Alternative zu den systeminternen Werkzeugen genutzt werden, ist jeweils im Einzelfall unter Kosten/Nutzen-Aspekten zu entscheiden.

Hinweise auf SAP Dokumentationen zur Berechtigungsverwaltung mit dem Profilgenerator finden sich in M 2.346 Nutzung der SAP Dokumentation .

Applikationsspezifische Berechtigungsverwaltung

Einige Produkte und Applikationen nutzen zusätzlich zum SAP Standardberechtigungskonzept auch noch eigene Berechtigungskonzepte und -verwaltungswerkzeuge (z. B. das SAP Customer Relationship Management, mySAP CRM oder das Modul Human Capital Management, HCM). Dies ist bei der Verwaltung auch zu berücksichtigen, da zusätzliche Verwaltungsschritte und -arbeiten notwendig sind. Insbesondere muss bedacht werden, dass das Produkt oder die Applikation nur dann sicher betrieben werden kann, wenn auch die applikationsspezifischen Berechtigungen über die applikationsspezifischen Verwaltungswerkzeuge sicher konfiguriert wurden. Generell ist dabei auch auf minimale Berechtigungen, Rollentrennung und auf Trennung von Aufgaben und Verantwortlichkeiten zu achten. So darf beispielsweise in einem CRM-System ein Warenbestellkorb nicht durch die gleiche Person zur Bestellung freigegeben werden, die den Warenkorb erzeugt hat.

Generell spielt auf Applikationsebene das Thema Geschäftsrisikomanagement eine wichtige Rolle: Bei der Vergabe von Berechtigungen definiert unter anderem auch das Risikomanagement die Kriterien für die Vergabe von Berechtigungen.

Prüffragen:

  • Existiert ein Rollenkonzept zur Verwaltung des SAP -Systems?

  • Wurden die von SAP vorgegebenen und ausgelieferten Rollen gegen die eigenen Anforderungen geprüft und angepasst?

  • Sind die SAP Administratoren mit den Mechanismen und Verfahren beim Einsatz des SAP Profilgenerators vertraut?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK