SAP Berechtigungen – Die Wichtigkeit eines guten Berechtigungskonzepts

Autor: Luca Cremer | 10. März 2019

11
SAP Berater für Security

Die vorausschauende Beschäftigung mit SAP Berechtigungen bzw. SAP Security sichert Ihren Unternehmenserfolg. Doch warum wird meistens erst gehandelt, wenn es eigentlich zu spät ist? In diesem Beitrag möchte ich hierauf einmal eingehen.

Die gute Behandlung von Sicherheitsstandards ist vergleichbar mit einem Airbag im Auto. Falls einmal ein Unfall passiert wissen Sie, dass der Airbag da ist und Sie darauf zugreifen können. Warum nicht dasselbe für Ihr Unternehmen und den Wert des Unternehmens, also den internen Daten tun?

SAP Berechtigungen / SAP Security und Airbags im Auto

Der Airbag in einem Auto wurde erfunden, weil er für Sicherheit sorgt. Er schützt das Leben der Insassen bei einem vermeidlichen Unfall. Der Unfall jedoch muss tatsächlich niemals eintreffen – war der Airbag dann umsonst in Ihrem Auto? Würden Sie also darauf verzichten wollen? Die Frage ist absichtlich so gewählt und die Antwort wird meistens gleich lauten: “Auf keinen Fall!”.

Tatsächlich ist der Vergleich von einem Airbag und SAP Berechtigungen sehr ähnlich, auch wenn bei zweiterem nicht direkt ein Leben auf dem Spiel steht. Hier steht jedoch der eigentliche Wert des Unternehmens auf dem Spiel: Die gesamten Unternehmensdaten. Das SAP System spiegelt in den meisten Fällen das Kerngeschäft mit allen Geschäftsprozessen, internen Daten und Kundendaten wider. Der Zugriff auf diese Daten wird durch SAP Berechtigungen gesteuert. Nicht selten erleben wir es, dass viele Mitarbeiter in einer Firma ein SAP_ALL oder ähnlich weitreichende Berechtigungen vergeben haben und ihnen damit schlussendlich keine Grenzen im System gesetzt sind.

Denken Sie wieder an den Airbag: Hierbei kann alles gut gehen und niemand missbraucht diese Berechtigungen, ob nun vorsätzlich oder zufällig. Es kann aber auch das Gegenteil eintreffen – und das passiert öfters als Sie vielleicht denken. Sich also frühzeitig mit SAP Berechtigungen und einem guten Berechtigungskonzept auseinanderzusetzen ist eine gute und zukunftsfähige Absicherung.

Unterstützung Ihres Chefs bei SAP Berechtigungen

Ich höre in letzter Zeit öfters von meinen Kunden, dass Sie das ganze Thema bei sich gerne angehen würden. Damit sind Sie vielen schon weit voraus und wissen um die Wichtigkeit und Gefahren die eine schlechte Vergabe von SAP Berechtigungen mit sich bringen. Leider scheitert es des Öfteren dann an der fehlenden Unterstützung Ihres Chefs oder der Geschäftsführung um das Thema jetzt anzugehen. Doch woran liegt das?

Versetzen Sie sich in die Position der Geschäftsführung Ihres Unternehmens. Ihr primäres Ziel ist es das Unternehmen nach vorne zu bringen, Gewinn zu erwirtschaften und Ihre Mitarbeiter zufriedenzustellen. Welchen direkten erkennbaren Vorteil bietet es Ihnen sich mit SAP Berechtigungen zu beschäftigen? Auf den ersten Blick erscheint der Nutzen erstmal gering und Sie werden sich nicht weiter damit beschäftigen.

In diesem Webinar erfahren Sie, wie Sie Ihr SAP System absichern und die Benutzerberechtigungen skalierbar und nachvollziehbar aufbauen können. Der Schwerpunkt liegt auf ERP-Systemen in der Version ECC 6.0 und S/4HANA – gilt aber grundsätzlich für alle ABAP-basierten Systeme.

Sollten Sie in diese Situation kommen und Sie haben bereits Mängel in dem gelebten Konzept festgestellt lassen Sie nicht zu schnell nach! Erklären Sie Ihrem Gegenüber die Wichtigkeit des Themas und der eventuellen Dringlichkeit. Zeigen Sie ihm auf was passieren kann, falls Sie es nicht weiter verfolgen. Wenn dann weiterhin keine Aktion folgt, haben Sie Ihren Beitrag geleistet um Ihr Unternehmen ein Stück sicherer zu machen.

Was können Sie jetzt tun?

Überzeugen Sie Ihren Chef von der Wichtigkeit des Themas und bringen Sie konkrete Lösungsvorschläge für die ersten Schritte. Sowas könnte z.B. eine Analyse des Systems sein: Was gibt es für kritische Daten im System? Wer kann darauf zugreifen? Wie sieht die generelle Berechtigungssituation in Ihrem System aus?

Darauf basierend können dann weitere Schritte verfolgt werden, soweit sinnvoll und notwendig. SAP Berechtigungen und Berechtigungskonzepte im Allgemeinen können sehr komplex und aufwendig werden. Konzentrieren Sie sich deshalb auf das Wichtigste. Es ist nicht sinnvoll alles im kleinsten Detail auszugliedern und zu berechtigen, wenn es dafür keinen Mehrwert gibt. Es ist also enorm sinnvoll sich vor einer groß angelegten Bereinigungssituation Gedanken darüber zu machen was damit eigentlich erreicht werden soll.

E-Book SAP Basis

Mehr als 100 ausgewählte SAP Basis Fachartikel von rz10.de seit 2011! Auf über 900 Seiten Tipps, Tricks und Tutorials mit Screenshots aus echten SAP-Systemen.

Als Fachbereichsleiter unseres Security-Bereichs unterstütze ich Sie gerne dabei Argumente für eine Systemanalyse und eine sinnvolle Bereinigung zu sammeln und spreche auch mit Ihrem Vorgesetzten darüber um die nächsten Schritte festzulegen. Kommen Sie diesbezüglich gerne auf mich zurück!

Mich interessieren Ihre Erfahrungen mit SAP Berechtigungen. Sind Sie bereits auf einem guten Stand? Wie konnten Sie Ihren Chef davon überzeugen das Thema akut zu behandeln?

Bei Fragen können Sie sich gerne an mich wenden!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice