Tobias Harmes
 - 29. Juni 2018

SoD-Troubleshooting – Funktionstrennungskonflikte in SAP

062918_1449_SoDTroubles1.png Die Bereinigung von Funktionstrennungskonflikten muss kein Grund für ein Burn-out werden. Ich zeige hier in dem Beitrag und dem Video, wie ich üblicherweise an SoD-Feststellungen herangehe.

Funktionstrennungskonflikte, SoD, wie bitte?

Funktionstrennung wird überall dort benötigt, wo ein Geschäftsprozess von einem Anwender so durchgeführt werden könnte, dass er alleine einen finanziellen Schaden auslösen kann. Prüfungen auf Funktionstrennung werden oft im Rahmen von Systemprüfungen durchgeführt und auf Basis der tatsächlich vergebenen Berechtigungen ermittelt. Hat also ein Anwender sehr weitreichende Berechtigungen, dann hat er mit hoher Wahrscheinlichkeit auch Funktionstrennungskonflikte. SoD ist die Abkürzung von Segregation of Duties, zu Deutsch Funktionstrennung.

Beispiel für einen Funktionstrennungskonflikt

„Bankenstammdaten ändern vs. Zahllauf ausführen“

Das Risiko ist hier, dass durch eine Stammdatenänderung eine Zahlung auf das falsche (eigene) Konto ausgelöst wird.

Das technische Regelwerk sieht dann so aus:

Bankenstammdaten ändernVs.Zahllauf ausführen
S_TCODE; TCD = FI02F_BNKA_MAN; ACTVT=02S_TCODE; TCD = F110F_REGU_BUK; FBTCH =21F_REGU_KOA; FBTCH = 21

Vorgehensweise

Mein Rezept um Funktionstrennungskonflikte aufzulösen sieht wie folgt aus:

  1. Relevanz des Prüfungsergebnisses hinterfragen
  2. Relevante User identifizieren
  3. Entscheidung: Akzeptieren | Kompensieren | Bereinigen
  4. Ursache identifizieren
  5. Bereinigen

Relevanz des Prüfungsergebnisses hinterfragen

Immer wieder erlebe ich es, dass Prüfungsergebnisse „ausgebaut“ werden sollen, ohne über das wirkliche Risiko zu sprechen. Wenn ein Geschäftsprozess zum Beispiel über mehrere Systeme verteilt ist, dann ist die Feststellung „der kann auch Zahllauf“ manchmal wirklich kein Risiko. Dies muss nicht jedes Mal gemacht werden, aber mindestens beim ersten Auftreten des Konflikts.

Relevante User identifizieren

Ziel ist es hier, die Menge der User aufzuteilen in „hier haben wir einen Konflikt erwartet“ und „das ist eine Überraschung“. Die zweite Gruppe gilt es im Detail zu analysieren. Wenn ich von 10 Usern mit dem Konflikt 5 Admins dabeihabe, die schon mit SAP_ALL ausgestattet sind, dann müssen die nicht besonders tief analysiert werden. Umgekehrt muss ein User „LAGERAZUBI“ sicherlich nicht kritische FI-Berechtigungen erhalten.

Entscheidung: Akzeptieren | Kompensieren | Bereinigen

Es gibt grundsätzlich auch Alternativen zum Bereinigen. Es ist auch möglich, SoD-Konflikte und Risiken zu akzeptieren. Nach Möglichkeit sollten diese Risiken natürlich durch weitergehende Maßnahmen kompensiert werden. Zum Beispiel durch Beleglisten, die am Ende des Monats erzeugt und kontrolliert werden. Wenn ein Risiko vorliegt, das nicht ohne weiteres kompensiert werden kann oder soll, dann wird eine Bereinigung erforderlich.

 

Tobias Harmes
Mehr Feststellungen als Hände frei? Wir helfen Ihnen.
SAP Senior Architekt Tobias Harmes

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen.

Ursache identifizieren

Typischerweise entsteht die problematische Berechtigung durch eine Kombination von mehreren Rollen in dem Benutzer. Dadurch ist es oft auch nicht möglich, eine einzige Rolle als Ursache zu bestimmen. Ich verwende tatsächlich eine Old-school Transaktion dafür: die SU56. Diese kann für einen User den kompletten Benutzerpuffer anzeigen. In dieser Übersicht kann ich über STRG+F nach Berechtigungsobjekten und Werten suchen. Und ich sehe, aus welchen Profilen und Rollen diese Berechtigungen kommen.

Ich würde bei der Analyse auch immer empfehlen, mit der selteneren Funktion anzufangen. Also bei „Bankenstammdaten ändern vs. Zahllauf ausführen“ würde ich nach Rücksprache mit der Fachabteilung versuchen, den Teil „Zahllauf ausführen“ zurückzubauen. Weil diese Funktion üblicherweise an weniger User vergeben wird. Alle Rollen mit entsprechende Berechtigungen kommen in eine Arbeitsliste, die dann in der Bereinigung abgearbeitet werden muss.

Bereinigen

Wenn die Arbeitsliste aus der Ursachen-Analyse steht, muss natürlich noch mal geguckt werden, was die Seiteneffekte sind. Nicht dass der Ausbau von Berechtigungen negative Auswirkungen auf andere User hat. Hier muss dann im schlimmsten Fall sogar mit Rollenkopien gearbeitet werden. Aber ansonsten benötigt dieser Teil vor allem Geduld und Genauigkeit – also wie immer bei der Berechtigungsentwicklung.

War das Hilfreich? Ich freue mich über Feedback, gerne per Mail oder hier unter diesem Beitrag als Kommentar. Vielen Dank!

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin Senior Architect für SAP Basis & Security bei der mindsquare GmbH sowie Chefredakteur von RZ10.de. Als Berater und Dozent helfe ich anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support