rz10.de – alles zu SAP Basis & Security https://rz10.de Wir bieten Know-How und Lösungen von SAP Basis und Security Experten für alle, die genau dort Unterstützung suchen oder sich verbessern wollen. Thu, 18 Apr 2019 15:34:08 +0000 de-DE hourly 1 https://wordpress.org/?v=5.0.3 FAQ: SoD & Funktionstrennung im SAP https://rz10.de/sap-grc/faq-sod-funktionstrennung-im-sap/ https://rz10.de/sap-grc/faq-sod-funktionstrennung-im-sap/#respond Thu, 18 Apr 2019 15:00:11 +0000 https://rz10.de/?p=18600 Wenn IT-Prüfer und Auditoren ihren Abschluss-Bericht vorlegen, gibt es regelmäßig lange Gesichter. Weil schon wieder so viele SoD-Konflikte gefunden worden sind. Doch ein Teil des Frustes entsteht auch, weil niemand so richtig weiß, was eigentlich SoDs sind oder wie man damit umgehen sollte. Der Beitrag geht auf die häufigsten Fragen zu diesem Begriff ein. … […]

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Wenn IT-Prüfer und Auditoren ihren Abschluss-Bericht vorlegen, gibt es regelmäßig lange Gesichter. Weil schon wieder so viele SoD-Konflikte gefunden worden sind. Doch ein Teil des Frustes entsteht auch, weil niemand so richtig weiß, was eigentlich SoDs sind oder wie man damit umgehen sollte. Der Beitrag geht auf die häufigsten Fragen zu diesem Begriff ein.

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Was heißt SoD eigentlich?

Oft fällt der Begriff SoD oder SoD-Konflikt. Das ist die Abkürzung von Segregation of Duties und das wiederum heißt Funktionstrennung. Ein SoD-Konflikt ist daher ein Funktionstrennungskonflikt, also die Feststellung, dass anscheinend die Funktionstrennung hier nicht eingehalten wird.

Wofür benötigt man SoD noch mal?

Eine SoD oder Funktionstrennung verhindert, dass eine Person allein die Möglichkeit hat, eine kompletten Geschäftsprozess in betrügerischer Absicht zu durchlaufen. Das lässt sich an einem Beispiel verdeutlichen.

Herr Müller arbeitet in der Buchhaltung der Firma XY. Dort betreut er die Kundendaten und kann Rechnungen sowohl schreiben, als auch ändern oder stornieren. Außerdem verarbeitet er den eingehenden und ausgehenden Zahlungsverkehr auf Kunden- und Lieferantenseite.

Das Problem: Herr Müller hat so viele Rechte, dass er mit krimineller Energie unkompliziert Geld von der Firma XY stehlen kann. Das funktioniert, indem er eingehende Zahlungen auf private Konten einzahlt, die vorher als Firmenkonten ausgegeben wurden, und die zugehörigen Rechnungen löscht. Der Kunde wird nichts merken, da sein Rechnungsbetrag auf dem vermeintlichen Konto bei der Firma XY eingegangen ist. Die Firma XY wird das zunächst auch nicht bemerken, da Herr Müller alle zugehörigen Daten und Rechnungen löschen konnte.

In der Praxis kommt es leider immer wieder zu solchen oder ähnlichen Fällen, welche den Unternehmen hohe Betrugsverluste bescheren. Solch ein Risiko ließe sich vermeiden, wenn die einzelnen Schritte innerhalb des Buchhaltungsprozesses klar durch Rollenverteilung getrennt werden. Herr Müller sollte also keine Rechnungen schreiben und diese auch ändern oder stornieren können. Um so etwas aufzudecken, gibt es Listen mit Funktionstrennungskonflikten.

Wer ist für SoD / Funktionstrennung verantwortlich und zuständig?

Bei vielen SAP Systemanalysen und Prüfungen erlebe ich es, dass die Teilnehmer in Workshops beim Thema Funktionstrennung genervt die Augen rollen. „Dafür ist …“ zuständig. Und das kann dann wahlweise die Revision, die IT, die Anwendungsbetreuung oder der Fachbereich sein. Wer hat recht? Aus meiner Sicht alle!

Optimalerweise fühlt sich der Fachbereich bzw. der Verantwortliche für den jeweiligen Bereich (z.B. Finanzen, Logistik, etc.) dafür verantwortlich. Das bedeutet jedoch nicht, dass diese Person alles selbst machen muss oder kann. Auf Konflikte oder Probleme diesbezüglich weist oft ein Auditor im Rahmen einer IT-Prüfung für ein Jahresabschluss hin. Das kann ein interner Mitarbeiter aus der Revision oder ein externer Wirtschaftsprüfer sein. Sowohl bei der proaktiven Erkennung als auch bei der Bearbeitung von vorliegenden Feststellungen hat es sich bewährt, dass sowohl Fachbereich, Applikationsbetreuung als auch IT eine Aufgabenteilung machen. So kann der Fachbereich am besten entscheiden, welche Personen welche Aufgaben innerhalb eines Geschäftsprozesses übernehmen können. Und vor allem, welche Personen bestimmte Prozessschritte auf keinen Fall durchführen dürfen.

Die IT kann dagegen Tools bereitstellen und Schulungen durchführen in der systematischen Analyse von kritischen Funktionstrennungskonflikten. Die Applikationsbetreuung kann Hilfestellung geben in der Abarbeitung von gefundenen Konflikten.

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit dem Autor Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Autoren Expert Session

Muss jeder Funktionstrennungskonflikt bereinigt werden?

Nein. Viele Prüfungen erzeugen große Mengen von Feststellungen hinsichtlich Funktionstrennungskonflikten. Zu jedem gefundenen Konflikt gehört aber auch die Bewertung des Risikos. Wenn an einem Außenstandort nur ein Buchhalter arbeitet, ist eine Trennung von Stammdaten- und Buchungstätigkeiten manchmal nicht möglich. In solchen Situationen kann das Risiko auch akzeptiert werden („Wir haben das Risiko verstanden, machen aber nichts.“) oder kompensiert werden („Wir haben das Risiko verstanden und wir erzeugen als kompensierende Maßnahme eine Belegliste am Ende des Monats zur Prüfung durch einen dritten.“).

Eine weitere Variante ist die Nutzung eines Super-User-Management oder Privileged Access Management. Ich können haben Anwender im Tagesgeschäft normale Berechtigungen und nur wenn es eine besondere Situation (z.B. Jahresabschluss) erfordert, bekommt der Anwender für einen genau überwachten Zeitraum erhöhte Berechtigungen. So kann das Risiko aus den Berechtigungen minimiert werden.

Welche SoD-Konflikte/Funktionstrennungskonflikte gibt es?

Die Liste an potenziellen SoD-Konflikten ist schier endlos. Das bedeutet aber nicht, dass für jedes Unternehmen jeder mögliche Konflikt gleich kritisch ist. Funktionstrennungskonflikte werden oft beschrieben mit den beiden Seiten des Konflikts. Jeder Seite für sich ist ein an sich nicht kritischer Geschäftsprozessschritt – aber wenn eine Person beide Seiten darf, dann ergibt sich daraus eventuell ein Risiko. Jedes Jahr wird die Liste an möglichen Funktionstrennungskonflikten etwas länger – weil jemand einen neuen Weg gefunden hat auf kreative Art und Weise aus dem System Geld zu schöpfen.

Hier ein paar Beispiele für Funktionstrennungskonflikte, die auf viele Unternehmen mit typischen ERP-Prozessen zutreffen:

  1. Hauptbuchstammdaten pflegen und Buchungen im Hauptbuch vornehmen
  2. Zahlungsrelevante Daten zum Lieferanten pflegen und Buchung Lieferantenrechnung
  3. (Fiktiven) Lieferanten pflegen und Bestellung pflegen und Wareneingang anlegen, ändern, buchen

Die Funktionstrennungskonflikte ergeben sich meistens durch das, was der jeweilige Anwender im System machen _könnte_ – nicht durch das was er tagtäglich macht. Mitarbeiter, die im Laufe der Karriere durch drei Abteilungen gegangen sind ohne ihre alten Berechtigungen im SAP zu verlieren sind oft wandelnde Funktionstrennungskonflikte. Und das oft auch ohne, dass sie es selbst wissen.

Wie finde ich heraus, ob Mitarbeiter einen SoD-Konflikt/Funktionstrennungskonflikt haben?

Vor einigen Jahren war der einzige Weg das herauszufinden den Business-Champion, den Keyuser und FI-Druiden zu fragen. Heutzutage gibt es durch die hohe Integration der Geschäftsprozesse kaum eine Möglichkeit durch den Blick auf das Arbeitsumfeld zu sagen, ob eine jeweilige Person einen Funktionstrennungskonflikt hat. Deshalb verwenden Prüfer und Revisionen in den letzten Jahren verstärkt Werkzeuge, die durch automatisierte Prüfläufe gegen große Regelwerk Funktionstrennungskonflikte aufdecken. Um zu vermeiden, dass man durch Prüfungen „kalt erwischt wird“, gehen immer mehr Unternehmen dazu über, selbst die Prüfung durch geeignete Tools regelmäßig durchzuführen. Durch so ein SoD-Tool können Schwachstellen innerhalb der Rollenverteilung aufgedeckt und korrigiert werden.

Wie funktioniert ein SAP SoD-Prüfwerkzeug?

Ein effektives SoD- Prüfwerkzeug unterstützt ein Unternehmen dabei, Richtlinien und Kontrollen innerhalb der Governance-, Risk Management- und Compliance-Programme durchzuführen. Diese Tools können in das SAP installiert werden oder von außerhalb das SAP zugreifen. Sie haben in der Regel große Regeldatenbanken, die viele bekannte Funktionstrennungskonflikte in technischen Details ausdrücken. Ein Prozessschritt wie „Beleg buchen“ wird dann zur Transaktion FB01 mit entsprechenden Berechtigungsobjektwerten und Aktivitäten. Diese Regelwerke können dann in frei konfigurierbaren Abstand auf Benutzer und Berechtigungen angewendet werden. Als Ergebnis wird eine Liste von Konflikten erzeugt – also Feststellungen wo bei einer Rolle oder einem Benutzer eine kritsche Kombination von Funktionen festgestellt worden ist. Diese Liste muss dann in Zusammenarbeit zwischen Fachbereich, Applikationsbetreuung und IT abgearbeitet werden.

Wie das funktionieren kann, habe ich im Beitrag SoD-Troubleshooting exemplarisch beschrieben.

Welche Schwierigkeiten gibt es bei der Implementierung von SAP SoD-Prüfwerkzeugen?

Bei der Implementierung von SAP SoD-Prüfwerkzeugen ist Effizienz einer der größten Stolpersteine. Sind viele manuelle Prozesse im Spiel, kann SoD zu einem kostspieligen und schwerfälligen Unterfangen werden. Bei großen Unternehmen mit mehreren Standorten kann die Einbindung von SAP SoD-Tools durchaus schwierig werden. Hierbei ist es wichtig, dass die SAP SoD-Tools ideal auf die Prozessabläufe in den Finanzabteilungen abgestimmt sind und es ein klar definiertes Verständnis der beteiligten Rollen gibt.

Fazit

Alle Abteilungen müssen bei dem Thema Funktionstrennung zusammenarbeiten. Die Implementierung eines SAP SoD-Tools ist aus Gründen der Compliance sinnvoll und steuert einiges zur Gesamtsicherheit innerhalb der Unternehmenslandschaft bei. Notfall- / Super-User-Management Prozesse können helfen, auch schwierige Ausgangslagen regelkonform und sicher abzubilden.

Weitere Informationen

https://rz10.de/sap-grc/sod-troubleshooting-funktionstrennungskonflikte-in-sap/

https://rz10.de/sap-berechtigungen/segregation-of-duties-mit-der-sap-transaktion-suim/

 

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
https://rz10.de/sap-grc/faq-sod-funktionstrennung-im-sap/feed/ 0
Easy Content Service für SAP Access Control [OnDemand-Webinar] https://rz10.de/webinar/easy-content-service-webinar/ Wed, 17 Apr 2019 11:00:11 +0000 https://mindsquare.de/?post_type=webinare&p=51260 Björn Schille spricht in diesem Webinar über die Herausforderungen bei der Prüfung von SAP Systemen und das Potenzial des Easy Content Service für SAP Access Control für die regelmäßige Aktualisierung von Prüfregelwerken.

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Die stetigen Änderungsanforderungen an das SAP Access Control Regelwerk sind für viele Unternehmen einen Herausforderung. IBS Schreiber stellt daher den aktuellen Prüfkatalog auch für Kunden von SAP Access Control zur Verfügung. Das Ganze nennt sich ECS – Easy Content Service for SAP Access Control. Der Prüfkatalog kann über eine Konvertierung nach belieben auch für SAP Access Control generiert werden. Wie es funktioniert erklärt Björn Schille in dem Webinar.

Björn Schille

Der Dozent:
Björn Schille ist als Produktmanager der IBS Schreiber GmbH u.a. verantwortlich für die Entwicklung bedarfsgerechter Lösungen zu verschiedenen Themen in der IT- und SAP-Sicherheit. Als SAP-zertifizierter HCM-Berater verfügt Björn Schille über langjährige Prüfungs- und Projekterfahrung im Bereich SAP-Sicherheit und SAP Datenschutz, welche er in unsere Managed Security Services, den ECS for SAP Access Control sowie in verschiedene Revisionsseminare einfließen lässt.

 

Wann ist dieses Webinar für Sie geeignet?

  • Wenn Sie bereits Werkzeuge zur Prüfung von SAP Berechtigungen einsetzen
  • Wenn Sie mehr wissen wollen, wie man Prüfregelwerke im SAP Access Control inhaltlich aktuell halten kann
  • Wenn Sie einen Einblick in den Aufbau und die Entwicklung von Prüfregelwerken bekommen wollen

Wie kann ich mich anmelden?

Ganz einfach das Formular rechts ausfüllen, einen Termin auswählen, der Ihnen passt und anmelden. Obwohl es sich um ein aufgezeichnetes Webinar handelt, können Sie trotzdem im Chat gerne Fragen stellen. Diese werden wir dann im Anschluss des Webinars beantworten.

Sie haben vorab noch Fragen?

Ihre Ansprechpartnerin:

Sarah Fritzenkötter

Sarah Fritzenkötter
Inbound Sales Manager
Mail: fritzenkoetter@rz10.de
Telefon:  0211 9462 8572 25

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
ST03N-Exporter: Genutzte Transaktionen in Excel exportieren https://rz10.de/angebot/st03n-excel-exporter/ Mon, 15 Apr 2019 18:23:50 +0000 https://rz10.de/?post_type=solutions&p=18392 Exportieren Sie die tatsächlich genutzten Transaktionen Ihrer SAP-Benutzer mit dem ST03N-Exporter bequem in eine Excel-Datei. Die tatsächlich aufgerufenen Transaktionen bilden meist die Grundlage für den Aufbau neuer Berechtigungsrollen oder für eine Reduzierung unnötiger Überberechtigung Transaktionsnutzungshistorie in der ST03N Der Systemlastmonitor (Transaktion ST03N) speichert die Transaktionen, die jeder Benutzer des SAP Systems aufgerufen habt. So kann […]

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Exportieren Sie die tatsächlich genutzten Transaktionen Ihrer SAP-Benutzer mit dem ST03N-Exporter bequem in eine Excel-Datei. Die tatsächlich aufgerufenen Transaktionen bilden meist die Grundlage für den Aufbau neuer Berechtigungsrollen oder für eine Reduzierung unnötiger Überberechtigung

Transaktionsnutzungshistorie in der ST03N

Der Systemlastmonitor (Transaktion ST03N) speichert die Transaktionen, die jeder Benutzer des SAP Systems aufgerufen habt. So kann für jeden User ermittelt werden, welche Transaktionen er genutzt hat. Auch von der Transaktion ausgehend kann ermittelt werden, welche Benutzer diese verwendet haben. Wie lange diese Daten zurückreichen, können Sie selbst einstellen. Während die Voreinstellung in der Regel 3 Monate sind, empfehlen wir eine Aufbewahrungszeit von 13 Monaten einzustellen. Dadurch sind auch periodische Aktivitäten, die nur einmal jährlich ausgeführt werden, in der Historie zu sehen. Wie Sie die Aufbewahrungsdauer hochsetzen können zeigen wir Ihnen in diesem Blogbeitrag.

Auswertung und Verwendung der Transaktionsnutzungshistorie

Häufig bildet eine Auswertung der genutzten Transaktionen von SAP Benutzern die Grundlage für einen Abbau von unnötiger Überberechtigung, die eine der häufigsten Feststellungen bei der IT-Revision ist. Nach der Ermittlung der genutzten Transaktionen der Benutzer können anschließend die nicht genutzten Transaktionen aus den Rollen entfernt werden.

Die Auswertung dieser Daten ist mit SAP Standardwerkzeugen jedoch umständlich und besonders für eine größere Zahl von Nutzern über einen längeren Zeitraum sehr aufwändig, denn der Export der Daten ist nur einzeln monatsweise möglich. Den manuellen Weg der Auswertung haben wir hier für Sie beschrieben und auch per Video dargestellt. Transaktionen, die in jedem Monat verwendet wurden, werden mehrfach dargestellt. Zudem stellt die Aufbereitung der gewonnenen Daten in Excel häufig einen lästigen Aufwand dar, den Sie durch die Nutzung des ST03N-Exporters einsparen können.

Funktionen des ST03N-Exporters

Folgende Funktionen bietet das Werkzeug jeweils für eine frei wählbare Menge von Benutzern:

  • Auswertung der genutzten Transaktionen incl. Beschreibungstext der Transaktion
  • Auswertung der aufgerufenen Reports
  • Auswertung der SAP Favoriten

Die Daten können auf Wunsch auch anonymisiert ausgewertet werden, indem Sie die Benutzer nicht mit exportieren. Durch diese Möglichkeit der anonymisierten Darstellung kann auch die Compliance mit den Anforderungen des Betriebsrates gewahrt werden, was mit den Mitteln des SAP Standard nicht in der Form möglich ist.

Im Folgenden sehen Sie das Einstiegsbild des Werkzeugs mit den angebotenen Auswahlmöglichkeiten. So kann neben dem User (unten, mit Mehrfachauswahl) auch der Zeitraum, der ausgewertet werden soll, eingeschränkt werden. Die maximal auswertbare Zeit wird bestimmt durch die Aufbewahrungsdauer der ST03N, die Sie anpassen können.

Auswahlbildschirm des ST03N-Exporters

Das Tool wird als Transportauftrag zum Import in Ihr System bereitgestellt. Es befindet sich in einem eigenen Namensraum.

Sparen Sie manuellen Aufwand

Durch die Nutzung des Workload Exporters sparen Sie erheblich Aufwand für den manuellen Export der Daten aus der ST03N sowie die Aufbereitung in Excel. Im SAP Standard muss die Auswertung für jeden Monat einzeln durchgeführt und anschließend konsolidiert und um Duplikate bereinigt werden. Ein erheblicher manueller Aufwand – sparen Sie diesen ein, indem Sie der ST03N-Exporter nutzen.

Lösung anfragen

Haben Sie Interesse am ST03N-Exporter? Jetzt Kontakt aufnehmen und Angebot oder weitere Informationen anfordern

 

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
SNOTE konfigurieren für digital signierte SAP Hinweise https://rz10.de/sap-basis/digital-signierte-sap-hinweise-einbauen/ https://rz10.de/sap-basis/digital-signierte-sap-hinweise-einbauen/#respond Mon, 15 Apr 2019 06:00:17 +0000 https://rz10.de/?p=12315 SAP wird ab 01.01.2020 alle SAP Hinweise (SAP Notes) im SAP Support Launchpad nur noch digital signiert bereitstellen. Prüfen Sie nun, ob Ihr System diese verarbeiten kann, denn nur so können Sie weiterhin SAP Notes einbauen! SAP möchte mit dieser Maßnahme die Sicherheit beim Einspielen der Updates erhöhen. Bei nicht signierten SAP Hinweisen besteht die […]

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
SAP wird ab 01.01.2020 alle SAP Hinweise (SAP Notes) im SAP Support Launchpad nur noch digital signiert bereitstellen. Prüfen Sie nun, ob Ihr System diese verarbeiten kann, denn nur so können Sie weiterhin SAP Notes einbauen! SAP möchte mit dieser Maßnahme die Sicherheit beim Einspielen der Updates erhöhen.

Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihr SAP System übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System, weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung darstellt.

Warn-Hinweis im SAP Support Launchpad

Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und einen User mit den notwendigen Berechtigungen angelegt haben, müssen Sie die Note 2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen.

Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis, der ins System eingespielt werden soll, unverändert vorliegt.

Voraussetzungen um digital signierte SAP Hinweise zu nutzen

Um ihr SAP System für digital signierte Hinweise vorzubereiten müssen zuerst einige Voraussetzungen erfüllt sein:

Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann nicht möglich.

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit Spezialist Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Online Expert Session

Der umsetzende Benutzer benötigt außerdem einige Berechtigungen, um die notwendigen manuellen Vor- und Nacharbeiten des Hinweises am System ausführen zu können:

  • Berechtigung für die Transaktion SLG1
  • Leseberechtigung für Berechtigungsobjekt S_APPL_LOG
  • Berechtigung zum Schreiben und Löschen von Daten aus dem Anwendungsverzeichnis
  • Upgrade der SAPCAR-Version auf Ihrem System auf die Version 7.20 oder höher
  • SAP Basis Version 700 oder höher, für ältere Versionen muss der Hinweis manuell eingepflegt werden

Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des Hinweises 2408073 beginnen.

Umsetzung SAP Hinweis Nummer 2408073

Wenn Sie alle die vorher beschriebenen Voraussetzungen erfüllt haben, können Sie beginnen, Ihr System auf die Verarbeitung digital signierter Hinweise vorzubereiten. Hierzu muss der SAP Hinweis mit der Nummer 2408073 eingespielt werden.

Dieser besteht aus einigen Schritten zur manuellen Vorarbeit, einigen automatisch ausführbaren Aktivitäten sowie Schritten zur Nacharbeit des Hinweises.

Der Hinweis sowie eine genaue Beschreibung kann unter dem folgenden Link gefunden werden:

https://launchpad.support.sap.com/#/notes/2408073

Es wird empfohlen, den Dateinamen nach dem Download nicht zu verändern.

Der Hinweis 2408073 hat die Dateiendung „.sar“ und wird zunächst mit SAPCAR entpackt. Darin befindet sich ein zip-Archiv. Die darin befindliche Textdatei kann mit der Transaktion SNOTE über den Hinweis-Upload in den Note Assistant geladen werden.

Nach Abschluss dieser Schritte können Sie mit dem Einbau des Hinweises beginnen. Die einzelnen Schritte sind in im Hinweis selbst enthalten sowie in einem dem Hinweis angehängten Dokument ausführlich beschrieben. Deshalb werden im Folgenden nur einige besonders zu beachtende Punkte hervorgehoben.

Beim Anlegen und Klick auf Speichern des „CWBDS“ Objektes erscheint ggf. eine Meldung, die dazu auffordert ein Objekt aus dem zulässigen Namensraum zu wählen. Hier kann der Cursor im Objekt-Feld platziert und mit Enter bestätigt werden, dann erfolgt die Abfrage nach einem Transportauftrag.

Bei dem Anlegen der Nachrichtentexte in der „SCWN“ Nachrichtenklasse ist es normal, dass nach dem Speichern der Änderungen mehrmals (so oft wie Nachrichten angelegt wurden) die Frage nach dem Transportauftrag bestätigt werden muss.

Zusätzlich ist beim Anlegen der Nachrichtentexte zu beachten, dass die im Tutorial, welches dem Hinweis angehängt ist, bereitgestellten Texte auf Englisch vorhanden sind. Wenn Sie auf einem deutschen System arbeiten, sollten Sie die Texte beim Einpflegen entsprechend in die deutsche Sprache übersetzen. Die englischen Texte können anschließend im selben Fenster als Übersetzungen eingefügt werden. Hierzu wählen Sie „Springen -> Übersetzen“.

Fazit

Es ist ein unter Hackern beliebter Ansatz, Updates, die in der Regel Fehler beheben oder die Sicherheit erhöhen sollen, zum Einschleusen von Schadcode in das System zu nutzen. Dazu wird das Update so verändert, dass neben der gewünschten Korrektur noch weitere, schädliche Veränderungen am System vorgenommen werden. Daher ist es sehr zu begrüßen, dass die SAP nun zum 1. Januar 2020 Maßnahmen ergreift, um dies mittels einer digitalen Signatur für die SAP Hinweise zu verhindern.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor Jonas Krüger ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Basis

Weiterführende Quellen:

Note Assistant https://support.sap.com/en/my-support/knowledge-base/note-assistant.html

Enable Note Assistant to Support Digitally Signed SAP Notes https://blogs.sap.com/2017/09/12/enable-note-assistant-to-support-digitally-signed-sap-notes/

SAP Support-Backbone Update – rechtzeitig Solution Manager aktualisieren und umstellen https://rz10.de/sap-solution-manager/sap-support-backbone-update-rechtzeitig-solution-manager-aktualisieren-und-umstellen/

Update 15.04.2019: Aktualisierung Stichtag, Bilder und Quellen. 

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
https://rz10.de/sap-basis/digital-signierte-sap-hinweise-einbauen/feed/ 0
SAP Identity Management – Jetzt und in Zukunft https://rz10.de/sap-identity-management/sap-identity-management-jetzt-und-in-zukunft/ https://rz10.de/sap-identity-management/sap-identity-management-jetzt-und-in-zukunft/#respond Fri, 12 Apr 2019 10:00:52 +0000 https://rz10.de/?p=18261 Ich spreche mit Steffen Schatto, Head of IDM Services bei der Firma Xiting, über seine Praxiserfahrungen beim Einsatz des Produktes SAP Identity Management. Ist es jetzt und in Zukunft sinnvoll für Unternehmen? Und was wünschen sich bestehende Kunden? … als Podcast Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast … auf YouTube YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms Feedback? harmes@rz10.de Was […]

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Ich spreche mit Steffen Schatto, Head of IDM Services bei der Firma Xiting, über seine Praxiserfahrungen beim Einsatz des Produktes SAP Identity Management. Ist es jetzt und in Zukunft sinnvoll für Unternehmen? Und was wünschen sich bestehende Kunden?

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Was ist SAP Identity Management und wofür wird es benötigt?

Das SAP IdM kann an vielen Stellen nützlich sein. Die CUA (Central User Administration / Zentrale Benutzerverwaltung) kann durch das SAP IdM abgelöst werden, denn zusätzlich zur CUA bietet das IdM mehr Möglichkeiten zur Abbildung von Workflows und zur Anbindung von weiteren Anwendungen. Diese können sowohl SAP als auch Non-SAP sein. Weiterhin können ganze User-Lifecycle abgebildet werden. Das bedeutet, dass Einstiegs- und Ausstiegsprozesse oder Positionswechsel zentral verwaltet werden können. Eine CUA wird nicht benötigt, um das SAP Identity Management einzuführen.

SAP Identity Management Best Practice – Wie ein IDM-Projekt erfolgreich wird

 SAP Identity Management - Xiting Best Practice - Wie ein IDM-Projekt erfolgreich wird [PDF]

Was ist der Unterschied zwischen CUA und SAP IDM?

Die Praxis zeigt, dass viele Firmen nicht auf ein IdM zurückgreifen. Zum einen liegt das daran, dass eine reguläre CUA in diesen Fällen oft ausreicht. Mit der CUA können die Benutzer für alle angehängten SAP-Systeme gepflegt werden. Dabei kann sowohl Massendatenpflege betrieben werden, als auch Berechtigungen zentral vergeben werden. Mit der CUA können allerdings keine Workflows realisiert werden und es können auch keine Non-SAP-Systeme wie zum Beispiel Active Directory angehängt werden.

Ein Vorteil des SAP IDM ist aber die Sicherheit. Ein Problem in vielen Unternehmen ist, dass Berechtigungen und Benutzerkonten bei Austritten von Mitarbeitern aus dem Unternehmen nicht zwingend gelöscht werden. Eben dann, wenn diese administrativen Prozesse manuell getätigt werden, können schnell Fehler entstehen. Falls diese Nutzerkonten dann noch Zugriffsrechte und Berechtigungen haben, kann dieser Umstand in einigen Branchen zu Audit Findings führen. Will man solche Sicherheitsschwierigkeiten umgehen, kann das IdM helfen und diese Prozesse automatisieren. Zusammengefasst bedeutet das: SAP IDM bietet eine flexiblere und dynamischere Anwendung als eine reguläre zentrale Benutzerverwaltung und schließt potenzielle Sicherheitslücken.

Ein klassischer Workflow für Eintritts- und Austrittsprozesse

Das SAP Identity Management ist ein zentrales Tool, in dem alle Mitarbeiterprozesse ablaufen. Ein Beispiel: In eine Firma tritt ein neuer Mitarbeiter ein. Die Personalabteilung weiß in der Regel zuerst davon und trägt die neue Identität ins HCM ein. Hier werden direkt bestimmte Attribute für den neuen Mitarbeiter festgelegt. Das wird wiederum automatisch ins IdM übertragen und bestimmte Prozesse können aufgebaut werden. Der neue Mitarbeiter erhält Accounts und Berechtigungen zugewiesen. Das geht über die Funktionsweise einer zentralen Benutzerverwaltung hinaus. Das Ziel ist, dass der neue Mitarbeiter an seinem ersten Tag alle individuellen Berechtigungen und Zugangsdaten hat und direkt mit der Arbeit starten kann. Fast wichtiger ist jedoch der Sicherheitsaspekt, der beim Austritt eines Mitarbeiters zustande kommt. Mit einem IdM können mit dem Austrittsdatum alle Zugänge und Berechtigungen des ehemaligen Mitarbeiters zentral abgeschaltet werden, sodass ein Zugriff von außen nicht möglich ist.

Wie aufwendig ist die Installation eines Identity Managements und was kann es?

Das kommt drauf an! Die Größe des Unternehmens ist dabei nicht unbedingt ausschlaggebend. Für gewöhnlich nehmen Unternehmen ab einer Größe von 1.000 Mitarbeitern das SAP Identity Management in Anspruch. Aber auch kleinere Firmen, die bestimmten Compliance-Anforderungen unterliegen, können diese mit dem IdM abdecken.
Das IdM ist jedoch sehr komplex, sodass der Aufwand der Umsetzung davon abhängt, welche Komponenten das Unternehmen benötigt.
Einerseits kann das IdM als Ablösung der CUA fungieren. Nach und nach können dann relevante Workflows eingebaut werden. Außerdem kann das SAP IdM auch zur Rezertifizierung genutzt werden. Ein Beispiel hierfür wäre, wenn der Vorgesetze alle sechs Monate die Berechtigungen seines Teams überprüfen und erneut bestätigen muss. Zusätzlich kann das IdM auch die SAP Cloud oder sogar Non-SAP-Anwendungen einbinden, mit denen man z.B. automatisch E-Mail-Konten generieren kann. Der Aufwand für die Einrichtung eines SAP Identity Managements ergibt sich also aus den konkreten Anforderungen des Kunden.

Standard oder Individuell? SAP Identity Management im Customizing

Das SAP Identity Management wird immer in der Standardversion implementiert. Im Vorhinein werden dann wesentliche Fragen mit dem Kunden erörtert: Will der Kunde beispielsweise Single-Sign-On oder diverse Passwörter?
Der eigentliche Source Code des IdM-Systems wird nicht angepasst, höchstens durch zusätzliche Connectoren erweitert. Das System wird nach dem Standard installiert und die individuellen Prozesse werden dann individuell angepasst. Das zeigt sich exemplarisch in der Verteilung von diversen Rollen. Vom Praktikanten bis zum Geschäftsführer werden unterschiedliche Gültigkeiten und Berechtigungen verteilt. So wird das SAP Identity Management als Serienprodukt an die spezifischen Wünsche des Kunden angepasst.

Die Technik hinter SAP Identity Management

SAP IdM ist ursprünglich ein zugekauftes Produkt, das SAP 2007 aufgekauft hat. Die SAP entwickelte das IdM weiter, sodass man aktuell beim IdM Release 8.0 ist.
Was benötigt man, damit das SAP IdM funktioniert? Einen Applikationsserver JAVA. Dort laufen die verschiedenen Komponenten wie das User-interface oder Services, die zur Entwicklungsumgebung verbinden. Zusätzlich wird eine eigene Datenbank benötigt. Dafür bietet die SAP derzeit Unterstützung: MSSQL, Oracle, DB2 und SAP ASE an. SAP HANA DB wird derzeit nur als Ziel für die Provisionierung unterstützt. Eigene Server werden für das SAP IdM je nach Größe des Systems auch benötigt.

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit dem Autor Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Autoren Expert Session

Lizenzen und Kosten

Das Lizenzmodell stellt sich nach Managed Users auf. Das heißt es wird pro verwalteten User im IdM gezahlt. Die Lizenz stellt SAP im Rahmen der Wartung kostenfrei zur Verfügung.

Wie zukunftsfähig ist SAP IDM?

Die reine Technologie bewertet unser Experte Steffen Schatto als zukunftsfähig. Das On-Premise-Identity Management-System kann insofern erweitert werden, sodass auch Cloud-Systeme provisioniert werden können.
In der Produktverfügbarkeitsmatrix der SAP steht derzeit, dass das SAP Identity Management nur bis 2023 supportet wird.  Da kommt auf Kundenseite die Frage: Wie viel Sinn macht es jetzt noch ein SAP IdM einzuführen? Da muss in erster Linie die SAP Antworten liefern. Steffen glaubt, dass es bei über 1.000 aktuell laufenden On-Premise-Installationen des SAP Idenity Managements eher unrealistisch ist, dass diese bis 2023 in eine Cloud migrieren oder auf ein anderes Tool gewechselt wird. Dafür ist das SAP IdM zu komplex, um es von A nach B zu schieben. Außerdem sieht Steffen derzeit kein Alternativprodukt in der SAP-Cloud, welches On-Premise-IdM ablösen könnte. Die Frage ist hierbei vielmehr, ob bestimmte Daten und Prozesse aus Datenschutzgründen On-Premise bleiben werden? Zukunftsfähiger wäre eine Hybridlösung aus SAP Identity Management On-Premise und dem Cloud Identity Provisioning Service durchsetzen.

Aus Sicht der Kunden wäre es sinnvoll, dass die Mainstream-Wartung über 2023 hinaus verlängert wird oder dass SAP die Kunden informiert, inwiefern es mit dem Produkt weitergeht. Steffens Einschätzung ist, dass die On-Premise-Lösungen möglicherweise etwas vernachlässigt werden. Die großen Unternehmen, die das SAP IDM nutzen, haben Tausende von Nutzern und Hunderte angeschlossene Systeme. Gerade bei dieser großen Menge an Daten wird eine Migration in einen Cloud-basierten Service bis 2023 nicht möglich sein. Auf Kundenseite führt das zu großer Verunsicherung. Es gibt derzeit noch keine sichere Aussage, dass das IDM nach 2023 weiterentwickelt wird.

Was fehlt dem SAP Identity Management derzeit noch?

Nachholbedarf gibt es unter anderem beim Stichpunkt User Interface. Die Standardlösung wird webdynpro-basiert geliefert. Es gibt standardmäßig keine Fiori-Applikation. Diese und weitere Features wurden aber von den einzelnen Dienstleistern auf Vertriebsseite entwickelt und können mittlerweile angeboten werden. An der User Experience könnte SAP selbst also noch arbeiten.

SAP IDM in der Praxis

Wollen Unternehmen das SAP IDM installieren, stellt sich zunächst die Frage: Was brauche ich? Hier kann die Beratungsfirma beantworten, was technisch möglich wäre. Welche Lösungen für das Unternehmen jedoch sinnvoll sind, ergibt sich immer individuell. Vergleichbar ist das mit dem Bau eines Hauses. Wie viele Zimmer – wie viel Platz brauche ich? Welche Baurichtlinien muss ich eventuell einhalten?

Augenscheinlich einfache Prozesse innerhalb des Unternehmens können hierbei für Herausforderungen sorgen. Ein Beispiel: Es soll ein Freigabeworkflow für Berechtigungen implementiert werden. Der Manager des Benutzers soll diesen freigeben. Doch an welcher Stelle ist hinterlegt, wer der Manager ist? Gibt es ein Organigramm auf Papier oder ist diese Information im HCM hinterlegt? Gibt es einen Stellvertreter oder sogar keinen direkten Vorgesetzten? Wie ist die Hierarchie, wenn der Manager selbst eine Berechtigungsfreigabe braucht?
Solche internen Prozesse und Abläufe müssen im Vorhinein geklärt werden. Wird ein SAP IDM installiert, sollten Unternehmensprozesse klar strukturiert sein. In der Praxis zeigt sich, dass durch diese Bestandsaufnahme Prozesse sogar verschlankt werden können.

Kostenloses Whitepaper:

Fazit

Insbesondere die Automatisierung der Ein- und Austrittsprozesse erleichtert das Tagesgeschäft enorm. Unter der Devise „Ich drücke auf einen Knopf und es läuft“ melden sich Kunden oftmals zufrieden zurück. Obwohl die Implementierung einen gewissen Aufwand erfordert, ist der Benefit für das Unternehmen sehr hoch.

SAP Identity Management anfragen: https://rz10.de/angebot/sap-identity-management-solution/

SAP Identity Management Informationen: https://rz10.de/knowhow/sap-netweaver-identity-management/

Weitere Artikel: https://rz10.de/category/sap-berechtigungen/sap-identity-management/

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
https://rz10.de/sap-identity-management/sap-identity-management-jetzt-und-in-zukunft/feed/ 0
E-Book: 480 Seiten SAP Berechtigungen und Security zum kostenlosen Download – Ausgabe 2019 https://rz10.de/sap-berechtigungen/e-book-sap-berechtigungen/ https://rz10.de/sap-berechtigungen/e-book-sap-berechtigungen/#respond Tue, 09 Apr 2019 16:00:47 +0000 https://rz10.de/?p=3812 Als Dankeschön für unsere treuen Leserinnen und Leser haben wir nach 2017 nun erneut alle Fachbeiträge zum Thema SAP Berechtigungen und Security als neues E-Book zum kostenlosen Download bereitgestellt. Damit gibt es die Erfahrungen und Hilfestellungen unserer Experten-Autoren zum Thema SAP Berechtigungen und Security zum praktischen Offline-Download. Wir glauben an die Idee, dass das Teilen von Wissen […]

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Als Dankeschön für unsere treuen Leserinnen und Leser haben wir nach 2017 nun erneut alle Fachbeiträge zum Thema SAP Berechtigungen und Security als neues E-Book zum kostenlosen Download bereitgestellt. Damit gibt es die Erfahrungen und Hilfestellungen unserer Experten-Autoren zum Thema SAP Berechtigungen und Security zum praktischen Offline-Download.

Wir glauben an die Idee, dass das Teilen von Wissen die SAP Community stärkt und uns mehr Zeit gibt, bessere Lösungen im Zusammenhang mit SAP zu schaffen. Und wir damit auch unser Dienstleistungs- und Software-Angebot stetig verbessern und auf aktuelle Herausforderungen und Fragestellungen zuschneiden können.

Damit wir unsere Erfahrungen und das Wissen aus Projekten und Kundensituationen auch weitergeben können, entstehen jede Woche neue Fachartikel auf RZ10.de. SAP Berechtigungen sind dort ein großer Schwerpunkt – eben weil das einer unsere Kernthemen in der Beratung ist. Wir – das sind alle Autoren auf rz10.de, haben mehr als 120 Artikel zum Thema SAP Berechtigungen zusammen mit SAP Security, SAP GRC und Identity Management noch mal in einem fast 500 Seiten starken PDF-Dokument zum Download zusammengetragen. Damit ist das E-Book fast doppelt so groß wie die Ausgabe von 2017.

E-Book SAP Berechtigungen und Security

Über 120 Fachartikel aus rund sieben Jahren auf fast 500 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Was das E-Book nützlich für Sie? Wir freuen uns über ein Feedback – ob Lob oder Kritik an info@rz10.de.

Blick ins Inhaltsverzeichnis:

Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Berechtigungen und Security. Profitieren Sie von unserem Know-How und laden Sie sich das Expertenwissen unserer Autoren als komplettes E-Book herunter. Viel Spaß damit! 🙂

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
https://rz10.de/sap-berechtigungen/e-book-sap-berechtigungen/feed/ 0
Härtung von SAP Systemen (SAP Hardening) https://rz10.de/angebot/haertung-von-sap-systemen/ Mon, 08 Apr 2019 14:00:26 +0000 https://rz10.de/?post_type=solutions&p=18085 Sie sind zuständig für die Informationssicherheit in Ihrem Unternehmen, beziehungsweise sind Entwickler oder Administrator und wollen Ihre SAP Systeme nach dem aktuellen Stand absichern? Sie möchten Ihre Daten und Ihre SAP Systeme vor Gefährdungen schützen und wünschen sich eine effektive Unterstützung von Experten? Dann sind Sie bei uns richtig!  Härtung von SAP Systemen Bei der […]

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Sie sind zuständig für die Informationssicherheit in Ihrem Unternehmen, beziehungsweise sind Entwickler oder Administrator und wollen Ihre SAP Systeme nach dem aktuellen Stand absichern? Sie möchten Ihre Daten und Ihre SAP Systeme vor Gefährdungen schützen und wünschen sich eine effektive Unterstützung von Experten? Dann sind Sie bei uns richtig! 

Härtung von SAP Systemen

Bei der Härtung oder auch Hardening von SAP Systemen werden Dienste entfernt und ersetzt, die für die Systemfunktion nicht notwendig sind oder nicht genügend Sicherheit bieten. Die Grundlage dafür sind in der Regel Empfehlungen der Hersteller, zum Beispiel Security Guides von SAP, ORACLE, etc. und Empfehlungen von Organisationen wie dem BSI und der DSAG.

Einer Härtung kann, muss aber nicht, ein Pentest (Penetration Test) voraus gehen. Ohne ein Pentest wird zur Härtung ein Best-Practice-Katalog angewendet. Mit vorliegendem Pentest-Ergebnis kann dieser Katalog ggf. um zusätzliche kundenindividuelle Absicherungsmaßnahmen ergänzt werden.

Rechtliche Grundlagen

Neben den Anforderungen der Datenschutzgrundverordnung (DSGVO) ist auch die neue Regelung zum IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für viele Unternehmen ein Anlass, für die korrekte und vor allem sichere Konfiguration ihres SAP Systems zu sorgen. Im Grundschutzkatalog beschreibt der Baustein APP.4.2, dass ein SAP-ERP-System sicher installiert, konfiguriert und betrieben werden muss.

Wir sichern Ihre SAP Systeme und Datenbanken!

Die Security Guides der Hersteller und die Empfehlungen von BSI, SAP und der DSAG umfassen viele hundert Seiten Dokumentation und garantieren trotzdem nicht Vollständigkeit – insbesondere bei der Frage: gibt es durch die Konfigurationsänderung eine Betriebsunterbrechung?

Hier können wir unterstützen. Wir verwenden bewährte Kataloge zur Absicherung von Systemen, die wir Aufgrund von Erfahrung auch unterteilen in ihrer Auswirkung auf den Betrieb. So können wir selbst in großen Landschaften schnell das Sicherheitsniveau erhöhen – egal ob SAP ERP 6.0, SAP HANA DB oder SAP S/4 HANA im Einsatz ist.

Unsere Absicherungskatalog umfasst Empfehlungen für Sicherheitsparameter und Verschlüsselung unter anderem für die nachfolgenden Produkte:

  • SAP ABAP Stack
  • SAP JAVA Stack
  • SAP Web Dispatcher
  • TMS – Transport Management System
  • HANA DB
  • ORACLE DB

Zu Beginn werden mit der IT die Systeme für die Härtung ausgewählt und gegebenenfalls Ausnahmen abgestimmt. Dann wenden wir unseren Security-Katalog an und schlagen die notwendigen Konfigurationsänderungen vor. Dabei begleiten wir die Umsetzung oder übernehmen diese für Sie komplett. Unsere Berater können dabei sowohl vor Ort als Remote unterstützen.

Hinweis: Während Security-Themen wie zum Beispiel Verschlüsselung durch SNC und HTTPS/SSL typischerweise enthalten sind, erfolgt typischerweise keine Betrachtung von Berechtigungen innerhalb des Systems. Es geht also bei der Härtung um die allgemeine SAP Security, nicht um innere SAP Berechtigungen. Dafür kann optional auch eine Lösung angeboten werden.

Ihre Vorteile auf einem Blick

Unsere Berater verfügen über ausgewiesene Expertise in der Unterstützung von Unternehmen bei der Aufdeckung von Sicherheitsrisiken Ihres SAP Umfeldes, der Identifizierung gefährlicher Schwachstellen und der Durchführung von Maßnahmen zur Risikoreduzierung.

  • Gewährleistung einer hohen Sicherheit Ihrer SAP Umgebungen
  • Systemabsicherung gemäß BSI, SAP und DSAG Leitfäden
  • Minimierung der Ausfallrisiken durch Konfigurationsänderungen

Interesse? Fordern Sie einen Rückruf über “Angebot anfragen” an – kostenlos und unverbindlich!

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Was ist SIEM und brauche ich es für SAP? https://rz10.de/sap-grc/was-ist-siem/ https://rz10.de/sap-grc/was-ist-siem/#respond Fri, 05 Apr 2019 13:00:42 +0000 https://rz10.de/?p=17735 Mit meiner Kollegin Sophie Piumelli spreche ich diesmal über SIEM – Security Information and Event Management. Wofür kann das im SAP Basis & Security Umfeld nützlich sein, wer braucht es? … als Podcast Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast … auf YouTube YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms Feedback? harmes@rz10.de Was ist SIEM? SIEM (Security Information and Event Management) vereint […]

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Mit meiner Kollegin Sophie Piumelli spreche ich diesmal über SIEM – Security Information and Event Management. Wofür kann das im SAP Basis & Security Umfeld nützlich sein, wer braucht es?

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Was ist SIEM?

SIEM (Security Information and Event Management) vereint die Konzepte Security Information Management (SIM) sowie Security Event Management (SEM), um Echtzeitanalysen von Sicherheitsalarmen anzubieten. In der Regel ist damit eine Software gemeint, die diese Funktion als Server mit eine Reporting-Oberfläche realisiert. Durch das Sammeln, Korrelieren und Auswerten von Logdaten, Meldungen, Alarmen und Logfiles verschiedener Geräte, werden Angriffe, außergewöhnliche Muster oder gefährliche Trends sichtbar. Damit dient es der Sicherheit der IT Umgebungen von Unternehmen und Organisationen.

Ziele des SIEM

SIEM bietet einen Überblick über sicherheitsrelevante Ereignisse in IT Umgebungen und hilft gesetzliche Vorgaben, Richtlinien und Compliance Regularien der IT Sicherheit zu erfüllen. Echtzeit Reaktion auf Bedrohungen und nachträgliche Nachweise von Sicherheitsereignissen sind möglich. Des Weiteren erlauben automatisierte Berichte und Alarmierungen Reaktionen auf unterschiedliche Bedrohungen.

SIEM erfüllt zwei Hauptziele:

  1. Berichte über sicherheitsrelevante Vorfälle und Ereignisse wie erfolgreiche sowie fehlgeschlagene Anmeldungen, Malware-Aktivitäten und andere mögliche bösartige Aktivitäten bereitzustellen
  2. Benachrichtigungen senden, wenn die Analyse zeigt, dass eine Aktivität gegen vorgegebene Regelsätze läuft und somit auf ein mögliches Sicherheitsproblem hinweist.

Die Funktionsweise von SIEM

Mit der Bündelung von Daten an einer zentralen Stelle und durch Analysemuster und Trends können kritische Aktivitäten frühzeitig erkannt werden. Das Sammeln und die Interpretation der Daten erfolgen in Echtzeit und die gewonnenen Informationen werden unveränderbar gespeichert. Firewalls, Server, Router, IDS, IPS und ähnliche Anwendungen sind hierfür gängige Quellen für SIEM. Für das Sammeln der Daten sind in der Regel Software Agenten zuständig, die die Informationen an eine zentrale Station weiterleiten. Diese Station ist dazu verpflichtet, die Daten für die Speicherung zu sichern, normalisieren, strukturieren und auszuwerten. Die Analysen bedienen sich an Regeln, Korrelationsmodellen, maschinelles Lernen und Künstliche Intelligenz, um Beziehungen zwischen den Einträgen zu generieren und Auffälligkeiten zu erkennen. Es wird im Gegensatz zu anderen Security-Maßnahmen der Angriff nicht im Vorfeld abgewährt, die Auswirkungen und die Ausweitung kann aber durch zum Beispiel Alarmierung reduziert werden.

SIEM mit SAP Übersicht

Typische SIEM Funktionen

Datenanreicherung in Echtzeit: Die Protokollverwaltung sammelt in Echtzeit Daten aus vielen Quellen, einschließlich Netzwerk, Sicherheit, Servern, Datenbanken und Anwendungen, und bietet die Möglichkeit, überwachte Daten zu konsolidieren, um das Verpassen wichtiger Ereignisse zu vermeiden.

Korrelation: Sucht nach gemeinsamen Attributen und verknüpft Ereignisse zu sinnvollen Bündeln. Diese Technologie bietet die Möglichkeit, eine Vielzahl von Korrelationstechniken zur

Integration verschiedener Quellen durchzuführen, um Daten in nützliche Informationen umzuwandeln. Die Korrelation ist typischerweise eine Funktion des Security Event Management Teils einer vollständigen SIEM-Lösung.

Alarmierung: Die automatisierte Analyse von korrelierten Ereignissen
Dashboards: Tools können Ereignisdaten in Informationscharts umwandeln, um das Sehen von Mustern zu erleichtern oder Aktivitäten zu identifizieren, die kein Standardmuster bilden.

Compliance: Anwendungen können eingesetzt werden, um die Erfassung von Compliance Daten zu automatisieren und Berichte zu erstellen, die sich an bestehende Sicherheits-, Governance- und Auditprozesse anpassen.

Speicherung: Einsatz der Langzeitspeicherung historischer Daten, um die Korrelation von Daten im Zeitablauf zu erleichtern und die für Compliance-Anforderungen erforderliche Aufbewahrung zu gewährleisten. Die langfristige Aufbewahrung von Protokolldaten ist bei forensischen Untersuchungen von entscheidender Bedeutung, da es unwahrscheinlich ist, dass die Entdeckung eines Netzwerkbruchs zum Zeitpunkt des Auftretens des Bruchs erfolgt.

Forensische Analyse: Die Möglichkeit, protokollübergreifend auf verschiedenen Knoten und Zeiträumen zu suchen, basierend auf bestimmten Kriterien. Dies mindert die Notwendigkeit, Protokollinformationen in Ihrem Kopf zu sammeln oder Tausende und Abertausende von Protokollen durchsuchen zu müssen.

Nutzen für Unternehmen

Durch den Einsatz eines entsprechenden Tools erhofft man sich in der Regel folgenden Nutzen:

  • Datenannahme von unterschiedlichen Arten von Logdateien
  • Hilfestellungen und Ermöglichen von Forensik für Sicherheitsereignisse
  • schnelle Erkennung von Bedrohungen
  • schnelle Reaktion auf Ereignisse mit Sicherheitsrelevanz
  • Einhaltung von gesetzlichen Vorgaben und Compliance Regularien
  • Einsparung von Ressourcen im IT Security Umfeld durch Automatisierung
  • Speicherung aller sicherheitsrelevanten Ereignisse
harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit dem Autor Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Autoren Expert Session

Fazit

SIEM Lösungen können dafür sorgen, dass Administratoren schnell über außerordentliche Ereignisse informiert werden und es unterstützt beim Reporting, bei der Forensik und beim Einhalten von Compliance Vorschriften. Bei der Auswahl eines SIEM Tools ist es wichtig darauf zu achten, dass es in der Lage ist, alle relevanten Datenquellen in der Unternehmensinfrastruktur zu integrieren – insbesondere SAP. Außerdem gilt es sicher zu stellen, dass genug Leistung vorhanden ist, um die Daten in Echtzeit aufbereiten zu können. Unter Berücksichtigung dieser Punkte bietet SIEM viele Vorteile für die Sicherheit der IT Landschaften von Unternehmen.

Splunk als übergreifendes SIEM Tool auch für SAP: https://rz10.de/sap-grc/splunk-als-uebergreifendes-siem-tool-auch-fuer-sap/

SAP Enterprise Threat Detection (ETD): https://rz10.de/sap-grc/sap-enterprise-threat-detection/

In zehn Schritten zum SIEM: https://www.computerwoche.de/a/in-zehn-schritten-zum-siem,3070652 

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
https://rz10.de/sap-grc/was-ist-siem/feed/ 0
Mit Beispiel-Download: SAP Access Control über externe Regelwerke inhaltlich aktuell halten https://rz10.de/sap-grc/sap-access-control-regelwerke-aktuell-halten/ https://rz10.de/sap-grc/sap-access-control-regelwerke-aktuell-halten/#respond Fri, 05 Apr 2019 07:00:22 +0000 https://rz10.de/?p=17992 Die Qualität der Prüfung mit SAP Access Control steht und fällt mit der Qualität des Regelwerks. Viele Kunden wissen nicht, dass sie mit veralteten und unvollständigen Standard-Regelwerken im SAP Access Control prüfen. Der Beitrag zeigt es an einem Beispiel, wie man das Regelwerk ergänzen kann. So ein eingerichtetes SAP Access Control ist eine feine Sache. […]

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Die Qualität der Prüfung mit SAP Access Control steht und fällt mit der Qualität des Regelwerks. Viele Kunden wissen nicht, dass sie mit veralteten und unvollständigen Standard-Regelwerken im SAP Access Control prüfen. Der Beitrag zeigt es an einem Beispiel, wie man das Regelwerk ergänzen kann.

So ein eingerichtetes SAP Access Control ist eine feine Sache. Auf Knopfdruck kann ich mir eine Auswertung mit Benutzern erzeugen, deren Berechtigungen gemäß Regelwerk als kritisch einzuschätzen sind. Die Qualität des Ergebnisses steht und fällt daher eben auch mit der Qualität und Vollständigkeit des Regelwerkes.

SAP liefert mit der Software einen fertigen Regelkatalog aus. Dieser wird bei der Installation und Einrichtung i.d.R. aktiviert. Optimalerweise (und spätestens nach den ersten Prüfläufen in der Produktion) wird dieses Regelwerk auf die jeweilige Kundenlandschaft angepasst.

Neben der initialen Anpassung gibt es jedoch viele weitere Auslöser, die eine Regelwerkanpassung erforderlich machen: Neue gesetzliche Anforderungen wie zum Beispiel die Datenschutzgrundverordnung (DSGVO), neue SAP Produkte wie S/4HANA, Updates/Upgrade wie EHP8 oder SAP Modulspezifika zum Beispiel aus der Einführung von HCM oder neuen Industrial Solutions.

Das bedeutet, dass mit der Zeit Anforderungen an die SAP Security und tatsächlicher Prüfbereich immer weiter auseinanderdriften – und es dann doch wieder erst knallt, wenn ein Prüfer mit einem anderen, viel aktuelleren Prüfwerkzeug kommt. Und das ist dann oft eine eiskalte Dusche für alle Beteiligten. Genau das haben wir viele Jahre lang erlebt als Auditoren, die unser hauseigenes Werkzeug CheckAud for SAP Systems einsetzen.

Wir investieren bei IBS Schreiber sehr viel Zeit und Energie in unser Regelwerk – das macht die Software CheckAud for SAP Systems als Prüfinstrument so erfolgreich. Und eben wegen dem Problem der stetigen Änderungsanforderungen der SAP Access Control Regelwerke stellen wir unsere aktuellen Prüfkataloge auch für Kunden von SAP Access Control zur Verfügung. Das Ganze nennt sich ECS – Easy Content Service for SAP Access Control. Der Prüfkatalog von uns kann über eine Konvertierung nach belieben auch für SAP Access Control generiert werden.

Natürlich muss auch ein über den Easy Content Service bereitgestelltes Regelwerk angepasst werden. Denn es gibt kundenspezifisches Customizing, das beachtet werden muss. Hier zeigt sich eine weitere Stärke, die Nutzung von Platzhaltern und die dynamische Ermittlung von korrekten Prüfwerten. Gerade im S/4HANA Umfeld funktionieren klassische Prüfregeln nicht, weil technisch gesehen die genutzten Fiori-Applikationen immer wieder neue eindeutige Identifikationsnummern bekommen. Ein starres Regelwerk ohne Anpassung würde hier voll ins Leere laufen.

Beispiel Regelwerk für SAP Access Control zum Download

Wie einfach es ist, ein SAP Access Control Regelwerk von außen zu erweitern zeigt folgende Anleitung. Wir haben dafür speziell für die Leser von rz10.de folgende exemplarische Abfragen als kostenlosen Download bereitgestellt:

Segment Gesetzeskritische Berechtigungen

  1. Änderungsbelege löschen
  2. Löschen von Tabellenänderungsprotokollen
  3. ABAP-Programme debuggen mit Replace

Segment Funktionstrennungen

  1. Hauptbuchstammdaten pflegen UND Buchungen im Hauptbuch vornehmen
  2. Zahlungsrelevante Daten zum Lieferanten pflegen UND Buchung Lieferantenrechnung
  3. Fiktiven Lieferanten pflegen UND Bestellung pflegen UND Wareneingang anlegen, ändern, buchen
Beispiel Regelwerk für SAP Access Control zum Download

6 Abfragen, die 3 gesetzeskritische Berechtigungen sowie 3 Funktionstrennungen prüfen, direkt für den Import in SAP Access Control

Dieser Download beinhaltet allgemeingültige Abfragen für ein ERP 6.0 basierendes System, die kundenspezifisches Customizing nicht berücksichtigen. Kundenspezifische Anpassungen werden bei der Vollversion durchgeführt.

Anleitung Einbindung Beispiel Regelwerk in SAP Access Control

Folgende Schritte müssen durchgeführt werden, um das Regelwerk einzubinden.

Schritt 1: Upload zu SAP Access Control / Transaktion GRAC_UPLOAD_RULES

  • Entpacken Sie die Datei „ECS_for_RZ10.zip“ in ein beliebiges Verzeichnis
  • In der Transaktion GRAC_UPLOAD_RULES wählen Sie die Dateien entsprechend aus:

  • In den Optionen muss „Anhängen“ ausgewählt sein
  • Klicken Sie auf   um die Regeln hochzuladen

Schritt 2: Generierung der Regeln – Transaktion GRAC_GENERATE_RULES

  • Geben Sie in der Transaktion GRAC_GENERATE_RULES den Namensraum EC* ein:

  • Klicken Sie auf   um die Regeln zu generieren
  • Sie erhalten die Meldung „Regeln erfolgreich generiert”

Schritt 3: Regeln in SAP Access Control aufrufen

  • Die Regeln sind nun in SAP Access Control verfügbar:

Die Anleitung zeigt, dass neue Regelwerke innerhalb von wenigen Minuten in das eigene SAP GRC Access Control Regelwerk integriert werden können.

Wenn die Aktualisierung des SAP Access Control Regelwerkes für Sie ein Thema ist, haben wir hier das richtige RZ10.de Partnerprodukt: ECS – Easy Content Service für SAP Access Control

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
https://rz10.de/sap-grc/sap-access-control-regelwerke-aktuell-halten/feed/ 0
SAP GUI 7.60 ist verfügbar https://rz10.de/sap-basis/sap-gui-7-60-ist-verfuegbar/ https://rz10.de/sap-basis/sap-gui-7-60-ist-verfuegbar/#respond Tue, 02 Apr 2019 07:03:58 +0000 https://rz10.de/?p=17249 Seit dem 25. Februar 2019 ist die neue Version SAP GUI  7.60 mit neuen Funktionen verfügbar. Wesentliche Neuerung ist unter anderem das neue Theme Belize. Und es ist nun Schluss mit der saplogon.ini.  Schwerpunkte des SAP GUI 7.60 sind das Belize Design für alle SAP-Produkte für eine einheitliche Benutzerfreundlichkeit. Außerdem die Vervollständigung der Belize-Themenimplementierung durch […]

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
Seit dem 25. Februar 2019 ist die neue Version SAP GUI  7.60 mit neuen Funktionen verfügbar. Wesentliche Neuerung ist unter anderem das neue Theme Belize. Und es ist nun Schluss mit der saplogon.ini. 

Schwerpunkte des SAP GUI 7.60 sind das Belize Design für alle SAP-Produkte für eine einheitliche Benutzerfreundlichkeit. Außerdem die Vervollständigung der Belize-Themenimplementierung durch das Hinzufügen von Funktionen, die nicht in der Version 7.50 enthalten sind, wie z.B. High Contrast Themes, Accessibility, Belize for SAP login und SAP GUI options dialog. Es gibt außerdem bearbeitbare ALV-Eingabehistorie und es wurden einige Lücken in der Unterstützung von SAP Screen Personas geschlossen.

Die folgende Tabelle zeigt die aktuellen Daten (ab Januar 2019) für den SAP GUI Lebenszyklus für die Versionen 7.40 bis 7.60:

 

Wie in der Tabelle dargestellt, ist die SAP GUI 7.60 bis März 2020 aktuell. SAP GUI 7.50 wird ab dem 9. April 2019 nicht mehr voll unterstützt, der eingeschränkte Support endet am 31.03.2020.

Neue Funktionen von 7.60: Belize ohne Fiori Funktionen

Belize kann für alle SAP-Produkte verwendet werden, die derzeit von SAP unterstützt werden und ist nun das Standardmotiv für alle SAP-Produkte. Da bestimmte “Fiori-Features” nur in SAP S/4HANA-Produkten verfügbar sind, können diese Features bei der Verwendung von Belize für andere SAP-Produkte (“Belize ohne Fiori-Features”) nicht aktiviert werden.

Das SAP GUI in Belize ohne Fiori Funktionen verhält sich fast wie bei ältere SAP GUI-Themen, wobei es einem modernen Belize-Look und einigen erweiterten Funktionen wie der zusammengeführten erweiterten Suche ausgestattet ist.

Belize Theme: Verbesserte Visualisierung des Dialogs SAP Logon und SAP GUI Optionen

SAP Logon (Pad) und alle SAP Logon Dialoge werden mit einer vollständigen Belize Visualisierung angezeigt. Da die SAP-Anmeldedialoge bei der Definition von SAP-GUI-Verbindungen auch im SAP Business Client verwendet werden, ist die Anzeige bei der Ausführung des SAP Business Client mit Belize nun wesentlich harmonisierter. Der Dialog SAP GUI-Optionen zeigt eine vollständige Belize-Visualisierung.

Weitere Features werden sehr schön hier aufgeführt: SAP GUI for Windows 7.60: New Features & Lifecycle Information

Funktionen, die im SAP GUI 7.60 nicht mehr verfügbar sind

Enjoy, Streamline, Tradeshow und SystemDependent

Die oben aufgeführten Themen wurden aus der Release 7.60 entfernt. Es besteht jedoch die Möglichkeit, andere verfügbare Designs wie z.B. das Standard-Thema Belize zu verwenden. Wenn Enjoy oder eines der anderen oben genannten Themen vor einem Upgrade ausgewählt wurde, kann man das Standard-Thema Belize verwenden.

saplogon.ini

Das saplogon.ini-Format wird ab SAP GUI für Windows 7.60 nicht mehr unterstützt. Seit SAP GUI 7.40 steht ein neues Verbindungsformat (“SAP UI Landscape”) zur Verfügung. Dieses neue Format wurde in SAP GUI für Windows 7.50 zum Standardformat und ersetzt das Format saplogon.ini. In Release 7.60 ist die Funktionalität zum Erstellen und Lesen von saplogon.ini aus Kompatibilitätsgründen mit anderen Komponenten weiterhin verfügbar, die Verwendung in SAP GUI für Windows wird jedoch nicht mehr unterstützt.

Visual Enterprise Viewer

Diese Komponente ist nicht mehr Bestandteil der Präsentations-DVD. Wird der Visual Enterprise Viewer benötigt, kann man ihn einzeln vom SAP Support Portal herunterladen und einem vorhandenen NWSAPSetup-Installationsserver hinzufügen. Somit kann ein Installationspaket erstellt werden, das beide Komponenten enthält.

SAP Audit Management

SAP Audit Management ist veraltet und wurde aus der SAP GUI-Installation entfernt.

SAP GUI for Windows 7.60: New Features & Lifecycle Information: https://blogs.sap.com/2019/01/02/sap-gui-for-windows-7.60-new-features-lifecycle-information/

SAP Hinweis 2600384 – Neue und geänderte Funktionen in SAP GUI for Windows 7.60: https://launchpad.support.sap.com/#/notes/2600384/D

Ihre SAP GUI Versionen ermitteln:https://rz10.de/sap-basis/sap-gui-versionen-ermitteln/

SAP Gui Download Installationsmedium: SAP Softwarecenter

 

Interessant? Mehr auf rz10.de - alles zu SAP Basis & Security.

]]>
https://rz10.de/sap-basis/sap-gui-7-60-ist-verfuegbar/feed/ 0