Tobias Harmes
 - 7. März 2019

FireFighter, Emergency-User & Co. – Software für ein SAP Notfallbenutzerkonzept

Es ist nicht zu vermeiden: manchmal muss die SAP-Administration trotz aller Sorgfalt unter Umgehung des Transportwesens direkt auf das Produktivsystemen mit den rechnungslegungsrelevanten Daten zugreifen. Um hier revisionssicher zu agieren benötigt es ein Konzept und am Besten auch eine Software, die entsprechende Leitplanken bietet.

 Was ist ein Notfall?

Ein “Notfall” ist im Wesentlichen durch zwei Aspekte gekennzeichnet: Erstens, die SAP-Administration bzw. die Entwicklungsabteilung hat unter Umgehung des Transportwesens direkten Zugang zu den Tabellen des Produktivsystems. Und zweitens, zeitkritische Geschäftsprozesse können nicht ausgeführt werden, wobei wir das Abgrenzungskriterium auf “zeitkritisch” legen. So können Beschaffungs- und Vertriebsmaßnahmen oder Terminmaßnahmen (Lohnzahlungen, USt-Voranmeldungen etc.) oft nicht nachgeholt werden. Anderweitige Maßnahmen bzw. Begründungen sollten nicht über SAP-Notfallbenutzer durchgeführt werden, sondern über den Standardprozess. Als Faustregel gilt: wird eine ähnliche Tätigkeit einmal im Monat ausgeführt, handelt es sich um eine Standardaufgabe, die über den Standardprozess (Transportsystem) abgedeckt werden sollte.

Warum eine SAP-Notfallbenutzer-Software ?

SAP-Notfallbenutzereinsätze werden mit weitreichenden Berechtigungen in Produktivsystemen mit rechnungslegungsrelevanten Daten durchgeführt. Oft unter Zeitdruck – schließlich handelt es sich um einen Notfall. Deshalb stellt der Gesetzgeber höchste Ansprüche an die Nachvollziehbarkeit von Datenänderungen.

Das bedeutet, jeder Firefighter-Einsatz muss protokolliert werden, alle im Zusammenhang mit dem Einsatz stattgefunden Tätigkeiten müssen aufgezeichnet und anschließend nach dem 4-Augen-Prinzip reviewed werden. Und zusätzlich müssen die Protokolle für 10 Jahre aufbewahrt und zugänglich sein. Der SAP Standard bietet zwar Möglichkeiten der Aufzeichnung von Tätigkeiten, aber keine Werkzeuge dies  zu verwalten und nur bei Bedarf anzuwerten. Das bedeutet, dass ohne eine dedizierte Software dies nur mit hohem organisatorischem Aufwand zu bewerkstelligen ist.

Übersicht über Software-Lösungen für das Notfallbenutzerkonzept

SAP Access Control (Superuser Privilege Management / ehemals Virsa Firefighter)

SAP selbst bietet im Rahmen der GRC-Suite eine Notfallbenutzermanagement-Lösung an. Innerhalb der GRC-Komponente Access Control (AC) können Notfallbenutzerkennungen (von der SAP werden sie Firefighter-IDs genannt) von einem definierten Personenkreis angefordert werden. Zu den Voraussetzungen zählen unter anderem, dass, bevor die Kennung zugeteilt wird, eine Reviewer (Controller) angegeben wird und die beabsichtigten Schritte dokumentiert werden. Nach dem Logout wird das Protokoll dem Controller per Workflow zur Prüfung und Freigabe zugewiesen. Die Firefighter-Komponente erfüllt somit alle Anforderungen an ein Superuser-Management. Die Firefighter-Funktionalität im Access Control gehört zu den beliebtesten Einstiegs-Szenarien in Access Control.

Zum RZ10.de Partner-Angebot

Zur Hersteller-Seite

Xiting Authorizations Management Suite (XAMS)

Notfallbenutzer-Konzepte können auch mit der  Xiting Authorizations Management Suite (XAMS) umgesetzt werden. Diese Suite besteht primär aus verschiedenen Modulen zur Erstellung von Rollenkonzepten, der Verwaltung von Berechtigungen inklusive eines Berechtigungskonzepts. Sie ermöglicht aber auch die Umsetzung eines Notfallbenutzerkonzeptes. Die XAMS arbeitet hier mit einer zeitlich limitierten Zuweisung von Referenzbenutzern mit erweiterten Rechten, um das Notfallbenutzerkonzept zu ermöglichen. Hierbei kann ein Self-Service-Antrag mit einer Begründung und einer Zeitdauer für die Zuteilung von Sonderrechten erfolgen. Sobald die Session mit dem Notfallbenutzer beendet wurde, erhalten die Verantwortlichen eine E-Mail mit den protokollierten Aktivitäten des Users. Diese Protokolle können auch im System eingesehen werden. Nach einer Selektion der User können Sie einen Überblick über alle gelaufenen Einsätze aufgerufen werden. Zudem besteht hier die Möglichkeit, getätigte Aktivitäten mit Sonderrechten nach einer entsprechenden Auswertung zu genehmigen.

Zum RZ10.de Partner-Angebot

Zur Hersteller-Seite

ISPICIO_E – Emergency User Management for SAP

Einen eigenen Ansatz verfolgt die Firma ISPICIO mit Ihrer Notfallbenutzer-Lösung ISPICIO_E. Hier findet die Verwaltung der Superuser-Einsätze außerhalb der SAP-Installation statt. Bei ISPICIO_E handelt es sich um eine Webserveranwendung, die im Bedarfsfall eine Notfallbenutzerkennung im betroffenen SAP per RFC-Verbindung (remote function call) erzeugt, dem Anforderer die Kennung über die Weboberfläche ausgibt und die Kennung mit dem SAP-eigenen Security Audit Log (SAL) verknüpft. Nach dem Einsatz wird die Notfallbenutzerkennung automatisch gelöscht und die zugehörigen SAL-Einträge ebenfalls per RFC-Verbindung in der Software-Datenbank gespeichert. Dieser Ansatz hat mehrere Vorteile: erstens, die Lösung kann systemübergreifend eingesetzt werden. Zweitens, über das Dashboard und die Filtermöglichkeiten können die Notfallbenutzer-Einsätze bequem ausgewertet werden. Und drittens, alle Informationen zum Thema “SAP-Notfallbenutzer” sind an zentraler Stelle abgelegt. Der letzte Punkt ermöglicht es hiermit der internen und externen Revision, das wichtige Thema kosteneffizient zu auditieren.

Zum RZ10.de Partner-Angebot

Zur Hersteller-Seite

valantic apm rescuer (atlantis suite)

Als Teil der apm atlantis suite bietet valantic auch ein Notfalluser-Management an. Das Notfallbenutzerkonzept apm rescuer ermöglicht eine vollständige Auditierung der Verwendung von Notfallbenutzern mit weitreichenden Berechtigungen in SAP. Die unternehmensinterne Sicherheit wird somit gewährleistet und Sicherheitsrisiken vermindert. Laut Hersteller dokumentiert und auditiert das Tool lückelos alle Aktivitäten der Notfallbenutzers. Durch diese Transparenz wird die Sicherheit bei einem Notfall im System gewährleistet. Das Tool hat ebenfalls das Ziel den Missbrauch von SAP_ALL zu verhindern und bietet Funktionen wie das Vier-Augen-Prinzip an, damit die Bereitstellung sicher gestaltet ist. Die Aktivitäten des Benutzers nach Notfallbenutzer-Beantragung können durch die direkte Integration in SAP als Add-On auch nachträglich lückenlos rekonstruiert werden.

Zur Hersteller-Seite

akquinet SAST SUM Modul (ehemals “AdminTrack”)

Das Add-On für SAP bildet den gesamten Superuser-Prozess ab, prüft alle privilegierten Zugriffe in Echtzeit und dokumentiert für Sie sämtliche Aktivitäten revisionssicher. Von der Festlegung der Berechtigungen für die Nutzer, der Verwaltung bis hin zur Dokumentation im Supportfall durch einen doppelten Logging-Zugriff. Unterstützt werden die wichtigen Features wie revisionssichere Dokumentation, Verwaltung der Superuser, Genehmigungs- und Abmeldeprozesse, Single-Sign-On für die Notfall-User, Mail-Benachrichtigung der Auditoren nach Abschluss der Support-Aktivität. Zusätzlich gibt es noch die Möglichkeit einer passiven Überwachung von “Dauergästen” wie zum Beispiel externe Berater oder SAP Early Watch-User.

Zur Hersteller-Seite

Den Überblick bekommen

Wenn Ausgangslage und Anforderungen an das Tool noch nicht ganz klar sind, dann ist eine Auswahl schwierig. Gerne unterstützen wir bei der Auswahl. Melden Sie sich gerne bei uns.

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin SAP Basis & Security Experte, Speaker und Herausgeber von RZ10.de. Ich helfe anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support