Rezertifizierung der SAP-Rollenzuordnung mit EasyReCert
Autor: Aaron Rudolf | 25. April 2017
Zu einem sicheren SAP-System gehört nicht nur ein gutes Rollenkonzept. Es muss auch überprüft werden, ob ein Nutzer eine bestimmte Rolle überhaupt (noch) besitzen soll. Die regelmäßige Überprüfung der Rollenzuordnung wird als Rezertifizierung bezeichnet. In diesem Blogbeitrag möchte ich Ihnen die Notwendigkeit von Rezertifizierungen näherbringen und unser eigenes Tool, den EasyReCert, vorstellen.
Die Notwendigkeit der Rezertifizierung – Szenarien:
Beispiel 1: Das „Azubi Problem“
Stellen Sie sich folgendes Szenario vor: Ein neuer Mitarbeiter (beispielsweise ein Azubi oder Trainee) durchläuft im Rahmen seiner Einarbeitung verschiedene Abteilungen und arbeitet in verschiedenen Projekten mit. Natürlich wird Ihrem Mitarbeiter gleich zu Beginn ein SAP User zur Verfügung gestellt, welcher mit entsprechenden Rollen versehen ist. Beim Durchlauf der einzelnen Projekte und Abteilungen benötigt der Mitarbeiter immer wieder neue Berechtigungen, um den Anforderungen gerecht zu werden. Nachdem der Mitarbeiter seine Einarbeitung erfolgreich abgeschlossen hat und nun eine feste Stelle besetzt, verfügt er immer noch über Berechtigungen, die zur Bearbeitung seiner Aufgaben nicht nötig sind. Dies verletzt das Prinzip des „least privilede“ und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar.
Ihr Plan für bessere SAP Berechtigungen
In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.
Beispiel 2: Der Abteilungswechsel
Ein Szenario, welches wohl in jedem Unternehmen vorkommt, ist der Abteilungswechsel. Sollte bei einem Abteilungswechsel nicht automatisch eine komplette Neuvergabe der Rollen durchgeführt werden und der Mitarbeiter seine alten Berechtigungen einfach mitnehmen, können sehr schnell kritische Kombinationen von Berechtigungen auftreten. So verletzt ein Mitarbeiter, der beispielsweise über Berechtigungen in der Kreditoren- und Debitorenbuchhaltung verfügt, das Prinzip SoD („Segregation of Duties“) und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar.
Rezertifizierung im Rahmen einer Revision:
Die beiden genannten Beispiele zeigen, dass eine regelmäßige Überprüfung der Rollenvergabe potentielle Sicherheitsrisiken für Ihr Unternehmen aufzeigt und sich diese so beheben lassen. Es ist daher also nicht unüblich, dass im Rahmen einer Revision oder durch externe Prüfer eine regelmäßige Überprüfung der Berechtigungszuordnungen gefordert wird. Dies ist mit SAP-Standardmitteln ein sehr mühsamer Prozess.
Ein Berechtigungsadministrator müsste in diesem Szenario zunächst manuell jeden Mitarbeiter einem bestimmten Vorgesetzten zuordnen und deren Rollen ermitteln. Danach müsste ein Export dieser Rollen aus dem System passieren (beispielsweise in eine Excel-Datei) und diese wiederum dem Vorgesetzten vorgelegt werden, sodass dieser entscheiden kann, ob die Rollenzuordnung passend ist oder nicht.
Rezertifizierung leicht gemacht mit EasyReCert
Lassen Sie mich Ihnen an dieser Stelle näherbringen, wie dieser Prozess mit EasyReCert vereinfacht werden kann.
1) Automatische Darstellung der Mitarbeiter & Rollenzuordnung
Jeder Nutzer der Anwendung bekommt automatisch die ihm unterstellten Mitarbeiter angezeigt. Im ersten Schritt überprüft der Nutzer die Zuordnung der ihm unterstellten Mitarbeiter. Im zweiten Schritt werden dem Nutzer die Rollen seiner Mitarbeiter angezeigt. Es besteht nun die Möglichkeit, die Zuweisung der Rolle als korrekt oder als falsch zu markieren.
2) Verständliche Erklärung der Rollen
Oftmals haben Rollen keine sprechenden Namen und für den Entscheider ist nicht klar erkennbar, welche konkreten Berechtigungen hinter einer Rolle stecken. Das Tool bietet die Möglichkeit eine Beschreibung für jede Rolle zu hinterlegen, welche per Pop-In abrufbar ist. Ein Nachschlagen, welche Rolle über welche Berechtigungen verfügt und für wen gedacht ist, entfällt vollständig.
3) Flags & Kritikalität
Das Tool bietet in seinen Optionen die Möglichkeit Flags für kritische Rollen zu setzen und diese farblich besonders hervorzuheben. So sehen die Entscheider auf einen Blick, dass einer ihrer Mitarbeiter über eine kritische Rolle verfügt und können dies noch einmal sorgfältig prüfen. Da in jedem Unternehmen Rollen unterschiedlich eingestuft werden, steht es Ihnen vollkommen frei, welche Rollen Sie als kritisch einstufen wollen.
4) Rollen-Whitelist
Möchten Sie bestimmte Rollen von der Prüfung ausschließen? Oder möchten Sie möglicherweise nur kritische Rollen prüfen lassen? Das Tool bietet Ihnen hierfür eine Whitelist-Funktion. In diese Whitelist können Sie Rollen aufnehmen, welche Sie im Rahmen der Rezertifizierung nicht prüfen möchten. Sie entscheiden also vollständig, welche Rollen von dem Tool beachtet werden müssen.
5) Protokollierung der Ergebnisse
Die Ergebnisse der Prüfungen werden über das Applikations-Log protokolliert und sind sowohl durch SAP-Standardmittel als auch direkt durch das Tool einsehbar. Auch besteht die Möglichkeit die Protokolle der Prüfungen zu exportieren oder den Protokollen später noch optionale Kommentare hinzuzufügen.
Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.
In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.
Sie sehen, der gesamte Prozess der Rezertifizierung von Rollen wird durch das Tool abgebildet – ganz ohne Papier. Ich hoffe, ich konnte Ihnen die Thematik der Rezertifizierung und die Vorteile unseres Tools näherbringen. Haben Sie noch Fragen oder Anregungen zu dem Tool? Gerne können Sie mir einen Kommentar hinterlassen.