Wieso ein SAP Security Check sinnvoll ist

Autor: Tobias Harmes | 9. Januar 2023

16 | #kritische Berechtigungen
SAP Security Check

Warum sollten wir überhaupt einen individuellen SAP Security Check durchführen lassen? Das ist eine Frage, die sich viele Kunden stellen. In diesem Beitrag bieten wir Ihnen Antworten und erklären Ihnen, was der SAP Security Check genau ist.

Warum sollte man einen individuellen SAP Security Check durchführen?

Ihr SAP-Berechtigungskonzept soll die Sicherheit und den Schutz der Daten vor unberechtigtem Zugriff und Missbrauch gewährleisten. Die technische Komplexität von SAP-Systemen und die laufenden Anpassungen der Unternehmensprozesse führen oft zu unbekannten Sicherheitslücken. Zusätzlich bietet die zunehmende digitale Vernetzung mit Geschäftspartnern weitere Angriffspunkte auf Ihr SAP-System. Durch den SAP Security Check erhalten Sie einen Überblick über die Sicherheitssituation Ihrer SAP-Systeme. Dabei werden potenzielle Risiken identifiziert, welche den sicheren Betrieb Ihrer IT-Landschaft gefährden können.

SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit

Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.

informieren

Ihre Ausgangssituation

Die laufenden Veränderungen Ihrer IT-Systeme führen zu unerkannten Sicherheitslücken und Ihre Wirtschaftsprüfer zeigen Ihnen regelmäßig im Abschlussbericht Missstände im Berechtigungskonzept auf. Die gesetzlichen Anforderungen (zum Beispiel DGSVO, NIS, ISO/IEC 27001) zur Absicherung Ihrer Geschäftsprozesse und Ihrer IT-Systeme sind noch nicht umgesetzt und die zunehmende Vernetzung mit Geschäftspartnern stellt neue Herausforderungen an Ihr Sicherheitssystem dar. Die an Ihren SAP-Systemen vorgenommenen sicherheitsrelevanten Systemeinstellungen und Berechtigungsvorgaben sind unzureichend dokumentiert, was in vielen Fällen dazu führt, dass die Systemeinstellungen ungeprüft weitreichende kritische Zugriffe zulassen.

Kritische SAP Berechtigungen, Profile und Rollen identifizieren

Berechtigungen, die im Sinne der Sicherheit, aus rechtlicher oder betriebswirtschaftlicher Sicht kritische Operationen erlauben, werden von SAP “kritische Berechtigung“ genannt. Die Vergabe von kritischen Berechtigungen muss deshalb mit besonderer Sorgfalt erfolgen und ist im Vorfeld zu planen. Technische und organisatorisch Maßnahmen sowie Prozesse müssen dann sicherstellen, dass das gewünschte Sicherheitsniveau umgesetzt wird. Die Identifikation kritischer SAP Berechtigungen für den Einsatz eines SAP Systems muss daher auf jeden Fall durchgeführt werden. Neben Berechtigungen lassen sich auch kritische Profile und Rollen identifizieren, die bereits im Auslieferungszustand enthalten sind. Alle Profile, die auf “_ALL“ enden, sind als kritisch anzusehen, da damit in der Regel alle Berechtigungen erteilt werden, die für einen Teilbereich im System, einer Applikation oder eines Moduls relevant sind. Zudem sind alle Rollen, die die Zeichenkette “ADM“ enthalten, sind als kritisch anzusehen, da diese in der Regel administrative Rollen bezeichnen.

Bei der Identifikation von kritischen SAP Berechtigungen, Profilen und Rollen ist zu bedenken, dass SAP für Namen zwar ein Konzept vorschlägt, dies aber durch Applikationen oder eigene Entwicklungen nicht immer berücksichtigt wird. Daher können auch kritische Berechtigungen, Profile und Rollen bestehen, die nicht in das von SAP definierte Namensschema passen.

Manuell ist die Identifikation kritischer SAP Berechtigungen insgesamt schwierig. Es sind jedoch Werkzeuge verfügbar, die automatisiert auf kritische Berechtigungen prüfen. Dabei sind die kritischen SAP Berechtigungen in der Regel durch spezielle Prüfsoftware vordefiniert.

Sind die kritischen Berechtigungen, Profile und Rollen identifiziert, so sollten diese gemäß der Berechtigungsplanung angepasst werden. Im Anschluss ist zu prüfen, ob das gewünschte Systemverhalten erreicht wurde oder ob es zu Fehlfunktionen kommt. Dieser Anpassungsprozess kann bei stärkeren Veränderungen unter Umständen aufwendig sein und sollte nicht am Produktivsystem durchgeführt werden.

SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit

Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.

informieren

Mehr Sicherheit mit weniger Aufwand

Interne Mitarbeiter verfügen häufig nicht über das umfassende Know-How, um alle relevanten Sicherheitsrisiken zu kennen. Unsere Security Experten sind jedoch genau darauf spezialisiert. Wir ermitteln anhand einer standardisierten Vorgehensweise Ihre aktuelle Sicherheitssituation. Anhand der Analyseergebnisse zeigen wir Ihnen, an welchen Stellen sich die Sicherheit Ihrer SAP-Systeme verbessern lässt und zeigen Ihnen mögliche Lösungsansätze auf. Konzentrieren Sie Ihre internen Ressourcen auf Ihr Kerngeschäft, während unsere Experten bei Ihnen vor Ort eine individuell abgestimmte Prüfung an Ihrem SAP-System durchführen, um Ihren Sicherheitsstatus zu ermitteln.

SAP Security Check – Unsere standardisierte Vorgehensweise (4-Schritte-Modell)

sap_security_check_process_desciption

  1. Briefing: Sie melden bei uns Interesse am SAP Security Check an. Ein Berater meldet sich bei Ihnen und bespricht die Details der Prüfung. Sie haben die Gelegenheit, individuelle Fragen zu klären und den Fokus des Sicherheitschecks festzulegen.
  2. Datenextraktion: Damit Ihr System nicht durch unsere Prüfung beeinträchtigt wird, exportieren wir manuell oder mithilfe eines Datenexport-Tools die relevanten Daten.
  3. Analyse: Unsere Sicherheitsexperten analysieren die Daten, bewerten die Ergebnisse und erstellen Ihren Report.
  4. Ergebnisse: Wir besprechen die Ergebnisse vom SAP Security Check mit Ihnen. Sollten Sicherheitsdefizite entdeckt worden sein, geben wir Handlungsempfehlungen, wie Sie die Mängel beheben können. Optional können Sie unsere Experten mit der kurzfristigen Lösung Ihrer Sicherheitsrisiken beauftragen.

Ihr Nutzen und Ihre Vorteile vom RZ10 SAP Security Check

  • Ihre Sicherheitsrisiken werden transparent
  • Schnelle Beurteilung Ihres aktuellen SAP-Sicherheitsstatus
  • Detaillierte Analyse und Dokumentation
  • Einfaches Ampelsystem ermöglicht Überblick über die Ergebnisse
  • Sie können für jedes Risiko das Gefahrenpotential für Ihr Unternehmen beurteilen und priorisieren
  • Knowhow Transfer und Handlungsempfehlungen
  • Sie kommunizieren intern mühelos mit dem transparenten und leicht verständlichen Abschlussbericht
  • Sie können die relevanten Sicherheitslücken mit unseren Maßnahmen schließen
  • Optional: Beseitigung von Sicherheitsdefiziten durch RZ10-Experten

Webinar: Wie kann ich SAP einfach in meine IT-Security integrieren?

Im Webinar erhalten Sie einen Überblick, wie Sie SAP in Ihre IT Security integrieren können und welche Tools dabei unterstützen können.
Jetzt anmelden!

Durch unseren standardisierten Ansatz sind wir in der Lage, die Sicherheit Ihrer SAP-Systeme systematisch und schnell zu beurteilen. Sie müssen kein Berechtigungs-Expertenwissen aufbauen. Aufgrund der gelieferten qualifizierten Dokumentation und des Knowhow-Transfers sind Sie in der Lage, die Sicherheit Ihres SAP-Systems einzuschätzen und wissen, welche konkreten Maßnahmen zu ergreifen sind.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Security

10KBLAZE Exploits: Erhöhtes Risiko für ungesicherte SAP Systeme

Sicherheitsexperten warnen vor Risiken bei unzureichend abgesicherten SAP-Installationen durch den Exploit Baukasten namens 10KBLAZE.
#10KBLAZE
Artikel lesen
SAP Security

SAP Enterprise Threat Detection als Testversion verfügbar

Das Security Monitoring und SIEM-Tool, SAP Enterprise Threat Detection (ETD), ist nun der CAL verfügbar. Im Beitrag gibt es die wichtigsten Features.
#sap etd
Artikel lesen
SAP Security

Security Audit Log auswerten und richtig verstehen mit Transaktion SM20

Setzen Sie das SAL ein, um Sicherheitsvorfälle in Ihrem SAP System aufzudecken! Dazu muss das Log korrekt interpretiert und angemessen reagiert werden
10 #Security Audit Log
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage