Wieso ein SAP Security Check sinnvoll ist
Autor: Tobias Harmes | 9. Januar 2023
Warum sollten wir überhaupt einen individuellen SAP Security Check durchführen lassen? Das ist eine Frage, die sich viele Kunden stellen. In diesem Beitrag bieten wir Ihnen Antworten und erklären Ihnen, was der SAP Security Check genau ist.
Warum sollte man einen individuellen SAP Security Check durchführen?
Ihr SAP-Berechtigungskonzept soll die Sicherheit und den Schutz der Daten vor unberechtigtem Zugriff und Missbrauch gewährleisten. Die technische Komplexität von SAP-Systemen und die laufenden Anpassungen der Unternehmensprozesse führen oft zu unbekannten Sicherheitslücken. Zusätzlich bietet die zunehmende digitale Vernetzung mit Geschäftspartnern weitere Angriffspunkte auf Ihr SAP-System. Durch den SAP Security Check erhalten Sie einen Überblick über die Sicherheitssituation Ihrer SAP-Systeme. Dabei werden potenzielle Risiken identifiziert, welche den sicheren Betrieb Ihrer IT-Landschaft gefährden können.
SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit
Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.
Ihre Ausgangssituation
Die laufenden Veränderungen Ihrer IT-Systeme führen zu unerkannten Sicherheitslücken und Ihre Wirtschaftsprüfer zeigen Ihnen regelmäßig im Abschlussbericht Missstände im Berechtigungskonzept auf. Die gesetzlichen Anforderungen (zum Beispiel DGSVO, NIS, ISO/IEC 27001) zur Absicherung Ihrer Geschäftsprozesse und Ihrer IT-Systeme sind noch nicht umgesetzt und die zunehmende Vernetzung mit Geschäftspartnern stellt neue Herausforderungen an Ihr Sicherheitssystem dar. Die an Ihren SAP-Systemen vorgenommenen sicherheitsrelevanten Systemeinstellungen und Berechtigungsvorgaben sind unzureichend dokumentiert, was in vielen Fällen dazu führt, dass die Systemeinstellungen ungeprüft weitreichende kritische Zugriffe zulassen.
Kritische SAP Berechtigungen, Profile und Rollen identifizieren
Berechtigungen, die im Sinne der Sicherheit, aus rechtlicher oder betriebswirtschaftlicher Sicht kritische Operationen erlauben, werden von SAP “kritische Berechtigung“ genannt. Die Vergabe von kritischen Berechtigungen muss deshalb mit besonderer Sorgfalt erfolgen und ist im Vorfeld zu planen. Technische und organisatorisch Maßnahmen sowie Prozesse müssen dann sicherstellen, dass das gewünschte Sicherheitsniveau umgesetzt wird. Die Identifikation kritischer SAP Berechtigungen für den Einsatz eines SAP Systems muss daher auf jeden Fall durchgeführt werden. Neben Berechtigungen lassen sich auch kritische Profile und Rollen identifizieren, die bereits im Auslieferungszustand enthalten sind. Alle Profile, die auf “_ALL“ enden, sind als kritisch anzusehen, da damit in der Regel alle Berechtigungen erteilt werden, die für einen Teilbereich im System, einer Applikation oder eines Moduls relevant sind. Zudem sind alle Rollen, die die Zeichenkette “ADM“ enthalten, sind als kritisch anzusehen, da diese in der Regel administrative Rollen bezeichnen.
Bei der Identifikation von kritischen SAP Berechtigungen, Profilen und Rollen ist zu bedenken, dass SAP für Namen zwar ein Konzept vorschlägt, dies aber durch Applikationen oder eigene Entwicklungen nicht immer berücksichtigt wird. Daher können auch kritische Berechtigungen, Profile und Rollen bestehen, die nicht in das von SAP definierte Namensschema passen.
Manuell ist die Identifikation kritischer SAP Berechtigungen insgesamt schwierig. Es sind jedoch Werkzeuge verfügbar, die automatisiert auf kritische Berechtigungen prüfen. Dabei sind die kritischen SAP Berechtigungen in der Regel durch spezielle Prüfsoftware vordefiniert.
Sind die kritischen Berechtigungen, Profile und Rollen identifiziert, so sollten diese gemäß der Berechtigungsplanung angepasst werden. Im Anschluss ist zu prüfen, ob das gewünschte Systemverhalten erreicht wurde oder ob es zu Fehlfunktionen kommt. Dieser Anpassungsprozess kann bei stärkeren Veränderungen unter Umständen aufwendig sein und sollte nicht am Produktivsystem durchgeführt werden.
SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit
Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.
Mehr Sicherheit mit weniger Aufwand
Interne Mitarbeiter verfügen häufig nicht über das umfassende Know-How, um alle relevanten Sicherheitsrisiken zu kennen. Unsere Security Experten sind jedoch genau darauf spezialisiert. Wir ermitteln anhand einer standardisierten Vorgehensweise Ihre aktuelle Sicherheitssituation. Anhand der Analyseergebnisse zeigen wir Ihnen, an welchen Stellen sich die Sicherheit Ihrer SAP-Systeme verbessern lässt und zeigen Ihnen mögliche Lösungsansätze auf. Konzentrieren Sie Ihre internen Ressourcen auf Ihr Kerngeschäft, während unsere Experten bei Ihnen vor Ort eine individuell abgestimmte Prüfung an Ihrem SAP-System durchführen, um Ihren Sicherheitsstatus zu ermitteln.
SAP Security Check – Unsere standardisierte Vorgehensweise (4-Schritte-Modell)
- Briefing: Sie melden bei uns Interesse am SAP Security Check an. Ein Berater meldet sich bei Ihnen und bespricht die Details der Prüfung. Sie haben die Gelegenheit, individuelle Fragen zu klären und den Fokus des Sicherheitschecks festzulegen.
- Datenextraktion: Damit Ihr System nicht durch unsere Prüfung beeinträchtigt wird, exportieren wir manuell oder mithilfe eines Datenexport-Tools die relevanten Daten.
- Analyse: Unsere Sicherheitsexperten analysieren die Daten, bewerten die Ergebnisse und erstellen Ihren Report.
- Ergebnisse: Wir besprechen die Ergebnisse vom SAP Security Check mit Ihnen. Sollten Sicherheitsdefizite entdeckt worden sein, geben wir Handlungsempfehlungen, wie Sie die Mängel beheben können. Optional können Sie unsere Experten mit der kurzfristigen Lösung Ihrer Sicherheitsrisiken beauftragen.
Ihr Nutzen und Ihre Vorteile vom RZ10 SAP Security Check
- Ihre Sicherheitsrisiken werden transparent
- Schnelle Beurteilung Ihres aktuellen SAP-Sicherheitsstatus
- Detaillierte Analyse und Dokumentation
- Einfaches Ampelsystem ermöglicht Überblick über die Ergebnisse
- Sie können für jedes Risiko das Gefahrenpotential für Ihr Unternehmen beurteilen und priorisieren
- Knowhow Transfer und Handlungsempfehlungen
- Sie kommunizieren intern mühelos mit dem transparenten und leicht verständlichen Abschlussbericht
- Sie können die relevanten Sicherheitslücken mit unseren Maßnahmen schließen
- Optional: Beseitigung von Sicherheitsdefiziten durch RZ10-Experten
Durch unseren standardisierten Ansatz sind wir in der Lage, die Sicherheit Ihrer SAP-Systeme systematisch und schnell zu beurteilen. Sie müssen kein Berechtigungs-Expertenwissen aufbauen. Aufgrund der gelieferten qualifizierten Dokumentation und des Knowhow-Transfers sind Sie in der Lage, die Sicherheit Ihres SAP-Systems einzuschätzen und wissen, welche konkreten Maßnahmen zu ergreifen sind.