FireFighter, Emergency-User & Co. – Software für ein SAP Notfallbenutzerkonzept
Autor: Tobias Harmes | 21. Dezember 2021
Es ist nicht zu vermeiden: manchmal muss die SAP-Administration trotz aller Sorgfalt unter Umgehung des Transportwesens direkt auf das Produktivsystemen mit den rechnungslegungsrelevanten Daten zugreifen. Um hier revisionssicher zu agieren benötigt es ein Konzept und am Besten auch eine Software, die entsprechende Leitplanken bietet.
Was ist ein Notfall?
Ein “Notfall” ist im Wesentlichen durch zwei Aspekte gekennzeichnet: Erstens, die SAP-Administration bzw. die Entwicklungsabteilung hat unter Umgehung des Transportwesens direkten Zugang zu den Tabellen des Produktivsystems. Und zweitens, zeitkritische Geschäftsprozesse können nicht ausgeführt werden, wobei wir das Abgrenzungskriterium auf “zeitkritisch” legen. So können Beschaffungs- und Vertriebsmaßnahmen oder Terminmaßnahmen (Lohnzahlungen, USt-Voranmeldungen etc.) oft nicht nachgeholt werden. Anderweitige Maßnahmen bzw. Begründungen sollten nicht über SAP-Notfallbenutzer durchgeführt werden, sondern über den Standardprozess. Als Faustregel gilt: wird eine ähnliche Tätigkeit einmal im Monat ausgeführt, handelt es sich um eine Standardaufgabe, die über den Standardprozess (Transportsystem) abgedeckt werden sollte.
Warum eine SAP-Notfallbenutzer-Software ?
SAP-Notfallbenutzereinsätze werden mit weitreichenden Berechtigungen in Produktivsystemen mit rechnungslegungsrelevanten Daten durchgeführt. Oft unter Zeitdruck – schließlich handelt es sich um einen Notfall. Deshalb stellt der Gesetzgeber höchste Ansprüche an die Nachvollziehbarkeit von Datenänderungen.
Das bedeutet, jeder Firefighter-Einsatz muss protokolliert werden, alle im Zusammenhang mit dem Einsatz stattgefunden Tätigkeiten müssen aufgezeichnet und anschließend nach dem 4-Augen-Prinzip reviewed werden. Und zusätzlich müssen die Protokolle für 10 Jahre aufbewahrt und zugänglich sein. Der SAP Standard bietet zwar Möglichkeiten der Aufzeichnung von Tätigkeiten, aber keine Werkzeuge dies zu verwalten und nur bei Bedarf anzuwerten. Das bedeutet, dass ohne eine dedizierte Software dies nur mit hohem organisatorischem Aufwand zu bewerkstelligen ist.
Übersicht über Software-Lösungen für das Notfallbenutzerkonzept
SAP Access Control (Superuser Privilege Management / ehemals Virsa Firefighter)
SAP selbst bietet im Rahmen der GRC-Suite eine Notfallbenutzermanagement-Lösung an. Innerhalb der GRC-Komponente Access Control (AC) können Notfallbenutzerkennungen (von der SAP werden sie Firefighter-IDs genannt) von einem definierten Personenkreis angefordert werden. Zu den Voraussetzungen zählen unter anderem, dass, bevor die Kennung zugeteilt wird, eine Reviewer (Controller) angegeben wird und die beabsichtigten Schritte dokumentiert werden. Nach dem Logout wird das Protokoll dem Controller per Workflow zur Prüfung und Freigabe zugewiesen. Die Firefighter-Komponente erfüllt somit alle Anforderungen an ein Superuser-Management. Die Firefighter-Funktionalität im Access Control gehört zu den beliebtesten Einstiegs-Szenarien in Access Control.
SAP Access Control SPM - Installation und Migration - RZ10.de Partner
Sie möchten gerne Umsteigen auf SAP GRC 12 Access Control Firefighter? Profitieren Sie von unsere langjährigen Projekterfahrung und Expertise.
SIVIS Emergency Manager
Auch SIVIS bietet mit dem SIVIS Emergency Manager eine Software-Lösung für das Notfallbenutzerkonzept. Die Vorteile sind hier eine besonders schnelle und unkomplizierte Vergabe der Notfallberechtigungen sowie eine flexible Befristung dieser zusätzlichen Rechte. Dadurch haben Unternehmen jederzeit die Kontrolle und können etwa den Missbrauch von Berechtigungen unverzüglich stoppen. Gleichzeitig behalten die Nutzer dabei ihre eigentlichen Berechtigungen, sodass sie ihr Tagesgeschäft ohne Komplikationen weiterverfolgen und wieder aufnehmen können. Abgerundet werden die Leistungen des SIVIS Emergency Managers durch eine lückenlose Protokollierung der gesamten Aktivitäten des Notfallbenutzers, dass die vorgenommenen Schritte auch nachträglich nachvollziehbar bleiben.
Xiting Authorizations Management Suite (XAMS)
Notfallbenutzer-Konzepte können auch mit der Xiting Authorizations Management Suite (XAMS) umgesetzt werden. Diese Suite besteht primär aus verschiedenen Modulen zur Erstellung von Rollenkonzepten, der Verwaltung von Berechtigungen inklusive eines Berechtigungskonzepts. Sie ermöglicht aber auch die Umsetzung eines Notfallbenutzerkonzeptes. Die XAMS arbeitet hier mit einer zeitlich limitierten Zuweisung von Referenzbenutzern mit erweiterten Rechten, um das Notfallbenutzerkonzept zu ermöglichen. Hierbei kann ein Self-Service-Antrag mit einer Begründung und einer Zeitdauer für die Zuteilung von Sonderrechten erfolgen. Sobald die Session mit dem Notfallbenutzer beendet wurde, erhalten die Verantwortlichen eine E-Mail mit den protokollierten Aktivitäten des Users. Diese Protokolle können auch im System eingesehen werden. Nach einer Selektion der User können Sie einen Überblick über alle gelaufenen Einsätze aufgerufen werden. Zudem besteht hier die Möglichkeit, getätigte Aktivitäten mit Sonderrechten nach einer entsprechenden Auswertung zu genehmigen.
ISPICIO_E – Emergency User Management for SAP
Einen eigenen Ansatz verfolgt die Firma ISPICIO mit Ihrer Notfallbenutzer-Lösung ISPICIO_E. Hier findet die Verwaltung der Superuser-Einsätze außerhalb der SAP-Installation statt. Bei ISPICIO_E handelt es sich um eine Webserveranwendung, die im Bedarfsfall eine Notfallbenutzerkennung im betroffenen SAP per RFC-Verbindung (remote function call) erzeugt, dem Anforderer die Kennung über die Weboberfläche ausgibt und die Kennung mit dem SAP-eigenen Security Audit Log (SAL) verknüpft. Nach dem Einsatz wird die Notfallbenutzerkennung automatisch gelöscht und die zugehörigen SAL-Einträge ebenfalls per RFC-Verbindung in der Software-Datenbank gespeichert. Dieser Ansatz hat mehrere Vorteile: erstens, die Lösung kann systemübergreifend eingesetzt werden. Zweitens, über das Dashboard und die Filtermöglichkeiten können die Notfallbenutzer-Einsätze bequem ausgewertet werden. Und drittens, alle Informationen zum Thema “SAP-Notfallbenutzer” sind an zentraler Stelle abgelegt. Der letzte Punkt ermöglicht es hiermit der internen und externen Revision, das wichtige Thema kosteneffizient zu auditieren.
valantic apm rescuer (atlantis suite)
Als Teil der apm atlantis suite bietet valantic auch ein Notfalluser-Management an. Das Notfallbenutzerkonzept apm rescuer ermöglicht eine vollständige Auditierung der Verwendung von Notfallbenutzern mit weitreichenden Berechtigungen in SAP. Die unternehmensinterne Sicherheit wird somit gewährleistet und Sicherheitsrisiken vermindert. Laut Hersteller dokumentiert und auditiert das Tool lückelos alle Aktivitäten der Notfallbenutzers. Durch diese Transparenz wird die Sicherheit bei einem Notfall im System gewährleistet. Das Tool hat ebenfalls das Ziel den Missbrauch von SAP_ALL zu verhindern und bietet Funktionen wie das Vier-Augen-Prinzip an, damit die Bereitstellung sicher gestaltet ist. Die Aktivitäten des Benutzers nach Notfallbenutzer-Beantragung können durch die direkte Integration in SAP als Add-On auch nachträglich lückenlos rekonstruiert werden.
akquinet SAST SUM Modul (ehemals “AdminTrack”)
Das Add-On für SAP bildet den gesamten Superuser-Prozess ab, prüft alle privilegierten Zugriffe in Echtzeit und dokumentiert für Sie sämtliche Aktivitäten revisionssicher. Von der Festlegung der Berechtigungen für die Nutzer, der Verwaltung bis hin zur Dokumentation im Supportfall durch einen doppelten Logging-Zugriff. Unterstützt werden die wichtigen Features wie revisionssichere Dokumentation, Verwaltung der Superuser, Genehmigungs- und Abmeldeprozesse, Single-Sign-On für die Notfall-User, Mail-Benachrichtigung der Auditoren nach Abschluss der Support-Aktivität. Zusätzlich gibt es noch die Möglichkeit einer passiven Überwachung von “Dauergästen” wie zum Beispiel externe Berater oder SAP Early Watch-User.
Den Überblick bekommen
Wenn Ausgangslage und Anforderungen an das Tool noch nicht ganz klar sind, dann ist eine Auswahl schwierig. Gerne unterstützen wir bei der Auswahl oder bei Ihren Fragen. Melden Sie sich gerne bei uns per Mail an info@rz10.de.