- 5. März 2017

SAP Security Check

RFC Sicherheit

Warum sollten wir überhaupt einen individuellen SAP Security Check durchführen lassen?

Ihr SAP-Berechtigungskonzept soll die Sicherheit und den Schutz der Daten vor unberechtigtem Zugriff und Missbrauch gewährleisten. Die technische Komplexität von SAP-Systemen und die laufenden Anpassungen der Unternehmensprozesse führen oft zu unbekannten Sicherheitslücken. Zusätzlich bietet die zunehmende digitale Vernetzung mit Geschäftspartnern weitere Angriffspunkte auf Ihr SAP-System. Durch den SAP Security Check erhalten Sie einen Überblick über die Sicherheitssituation Ihrer SAP-Systeme. Dabei werden potenzielle Risiken identifiziert, welche den sicheren Betrieb Ihrer IT-Landschaft gefährden können.

Ihre Ausgangssituation

Die laufenden Veränderungen Ihrer IT-Systeme führen zu unerkannten Sicherheitslücken und Ihre Wirtschaftsprüfer zeigen Ihnen regelmäßig im Abschlussbericht Missstände im Berechtigungskonzept auf. Die gesetzlichen Anforderungen (zum Beispiel EU-Richtlinien) zur Absicherung Ihrer Geschäftsprozesse und Ihrer IT-Systeme sind noch nicht umgesetzt und die zunehmende Vernetzung mit Geschäftspartnern stellt neue Herausforderungen an Ihr Sicherheitssystem dar. Die an Ihren SAP-Systemen vorgenommenen sicherheitsrelevanten Systemeinstellungen und Berechtigungsvorgaben sind unzureichend dokumentiert, was in vielen Fällen dazu führt, dass die Systemeinstellungen ungeprüft weitreichende kritische Zugriffe zulassen.

Wir helfen Ihnen, die IT-Sicherheit zu verbessern
Fachbereichsleiter Tobias Harmes

Für Rat und Hilfe bei der Entwicklung Ihrer IT-Sicherheitsstrategie bieten wir Ihnen unsere kompetenten Berater an: Security-Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail harmes@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Kritische SAP Berechtigungen, Profile und Rollen identifizieren

Berechtigungen, die im Sinne der Sicherheit oder aus rechtlicher oder betriebswirtschaftlicher Sicht kritische Operationen erlauben, werden von SAP “kritische Berechtigung“ genannt. Die Vergabe von kritischen Berechtigungen muss deshalb generell mit besonderer Sorgfalt erfolgen und ist daher im Vorfeld zu planen. Technische und organisatorisch Maßnahmen sowie Prozesse müssen dann sicherstellen, dass das gewünschte Sicherheitsniveau umgesetzt wird. Die Identifikation kritischer SAP Berechtigungen für den Einsatz eines SAP Systems muss daher auf jeden Fall durchgeführt werden. Neben Berechtigungen lassen sich auch kritische Profile und Rollen identifizieren, die bereits im Auslieferungszustand enthalten sind. Alle Profile, die auf “_ALL“ enden, sind als kritisch anzusehen, da damit in der Regel alle Berechtigungen erteilt werden, die für einen Teilbereich im System, einer Applikation oder eines Moduls relevant sind. Alle Rollen, die die Zeichenkette “ADM“ enthalten, sind als kritisch anzusehen, da diese in der Regel administrative Rollen bezeichnen.

Bei der Identifikation kritischer SAP Berechtigungen, Profile und Rollen ist zu bedenken, dass SAP für Namen zwar ein Konzept vorschlägt, dies aber durch Applikationen oder eigene Entwicklungen nicht immer berücksichtigt wird. Daher können auch kritische Berechtigungen, Profile und Rollen bestehen, die nicht in das von SAP definierte Namensschema passen.

Manuell ist die Identifikation kritischer SAP Berechtigungen insgesamt schwierig. Es sind jedoch Werkzeuge verfügbar, die automatisiert auf kritische Berechtigungen prüfen. Dabei sind die kritischen SAP Berechtigungen in der Regel durch spezielle Prüfsoftware vordefiniert.

Sind die kritischen Berechtigungen, Profile und Rollen identifiziert, so sollten diese gemäß der Berechtigungsplanung angepasst werden. Im Anschluss ist zu prüfen, ob das gewünschte Systemverhalten erreicht wurde oder ob es zu Fehlfunktionen kommt. Dieser Anpassungsprozess kann bei stärkeren Veränderungen unter Umständen aufwendig sein und sollte nicht am Produktivsystem durchgeführt werden.

Mehr Sicherheit mit weniger Aufwand

Interne Mitarbeiter verfügen häufig nicht über das umfassende Know-How, um alle relevanten Sicherheitsrisiken zu kennen. Unsere Security Experten sind jedoch genau darauf spezialisiert. Wir ermitteln anhand einer standardisierten Vorgehensweise Ihre aktuelle Sicherheitssituation. Anhand der Analyseergebnisse zeigen wir Ihnen, an welchen Stellen sich die Sicherheit Ihrer SAP-Systeme verbessern lässt und zeigen Ihnen mögliche Lösungsansätze auf. Konzentrieren Sie Ihre internen Ressourcen auf Ihr Kerngeschäft, während unsere Experten bei Ihnen vor Ort eine individuell abgestimmte Prüfung an Ihrem SAP-System durchführen, um Ihren Sicherheitsstatus zu ermitteln.

SAP Security Check – Unsere standardisierte Vorgehensweise (4-Schritte-Modell)

sap_security_check_process_desciption

  1. Briefing: Sie melden bei uns Interesse am SAP Security Check an. Ein Berater meldet sich bei Ihnen und bespricht die Details der Prüfung. Sie haben die Gelegenheit, individuelle Fragen zu klären und den Fokus des Sicherheitschecks festzulegen.
  2. Datenextraktion: Damit Ihr System nicht durch unsere Prüfung beeinträchtigt wird, exportieren wir manuell oder mithilfe eines Datenexport-Tools die relevanten Daten.
  3. Analyse: Unsere Sicherheitsexperten analysieren die Daten, bewerten die Ergebnisse und erstellen Ihren Report.
  4. Ergebnisse: Wir besprechen die Ergebnisse vom SAP Security Check mit Ihnen. Sollten Sicherheitsdefizite entdeckt worden sein, geben wir Handlungsempfehlungen, wie Sie die Mängel beheben können. Optional können Sie unsere Experten mit der kurzfristigen Lösung Ihrer Sicherheitsrisiken beauftragen.

Ihr Nutzen und Ihre Vorteile vom RZ10 SAP Security Check

  • Ihre Sicherheitsrisiken werden transparent
  • Schnelle Beurteilung Ihres aktuellen SAP-Sicherheitsstatus
  • Detaillierte Analyse und Dokumentation
  • Einfaches Ampelsystem ermöglicht Überblick über die Ergebnisse
  • Sie können für jedes Risiko das Gefahrenpotential für Ihr Unternehmen beurteilen und priorisieren
  • Knowhow Transfer und Handlungsempfehlungen
  • Sie kommunizieren intern mühelos mit dem transparenten und leicht verständlichen Abschlussbericht
  • Sie können die relevanten Sicherheitslücken mit unseren Maßnahmen schließen
  • Optional: Beseitigung von Sicherheitsdefiziten durch RZ10-Experten

Durch unseren standardisierten Ansatz sind wir in der Lage, die Sicherheit Ihrer SAP-Systeme systematisch und schnell zu beurteilen. Sie müssen kein Berechtigungs-Expertenwissen aufbauen. Aufgrund der gelieferten qualifizierten Dokumentation und des Knowhow-Transfers sind Sie in der Lage, die Sicherheit Ihres SAP-Systems einzuschätzen und wissen, welche konkreten Maßnahmen zu ergreifen sind.




Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.