SAP Security für geringe Budgets

Autor: Marcel Schumacher | 27. Oktober 2020

2

Wenn die SAP-Systeme in Ihrem Unternehmen nicht angemessen abgesichert sind, liegt dies oft an mangelndem Budget für Projekte im Bereich Berechtigungen, Security und Systemhärtung. Aber auch mit schmalem Budget können Sie einiges für die bessere Absicherung Ihres SAP-Systems tun.

Das verfügbare Budget wird vom Management üblicherweise unter Berücksichtigung des Risikos festgelegt, was sich aus Eintrittswahrscheinlichkeit und möglichen Auswirkungen (Kosten) bei einem Sicherheitsvorfall berechnet. Ein weiterer Einflussfaktor für das Budget sind eventuell drohende Strafzahlungen. Die entstehen, falls mit der aktuellen Systemkonfiguration gegen rechtliche Anforderungen (z. B. Datenschutzgesetze oder branchenspezifische Gesetze beispielsweise im Bankenumfeld) verstoßen wird.

SAP-System sicherheitstechnisch überwachen

Wenn es für direkt sicherheitssteigernde Maßnahmen, wie beispielsweise ein Redesign der SAP Berechtigungen oder die Härtung der Systemkonfiguration, kein Budget gibt, kann die Sicherheit durch Logging und Monitoring ohne großen Aufwand gesteigert werden.
Bildlich gesprochen: Statt eine teure Mauer zu bauen, hängen Sie lieber Überwachungskameras auf.
Fast ohne Aufwand können Sie das Logging in Ihrem System selbst konfigurieren, insbesondere empfehlen wir, das Security Audit Log zu nutzen. Mit etwas mehr Budget können Sie auch eine regelmäßige Auswertung der Logs etablieren, entweder manuell oder automatisiert.
Durch das Logging schaffen Sie sich die Datengrundlage, um Einbrüche in Ihrem System schon im Keim zu erkennen und sofort entsprechende Gegenmaßnahmen zu treffen.
Aber auch ohne proaktive Auswertung haben Sie mit dem Security Audit Log viele Daten zur Hand, die Sie im Fall eines zufällig entdeckten Einbruchs nutzen können, um Ausmaß und Dauer des Vorfalls zu ermitteln.

Wollen Sie mehr darüber erfahren, wie Sie ihr System überwachen können? Mein Kollege Luca Cremer hat einen Beitrag zum Thema “SAP Security Monitoring – ein Begriff mit vielen Gesichtern” geschrieben.

Sicherheit im SAP Standard

Selbst im SAP Standard lauern einige Gefahren, die bis zu einem Sicherheitsvorfall unentdeckt bleiben. Ich spreche hier beispielsweise von den Benutzern DDIC, SAP*, SAPCPIC und TMSADM. Haben Sie diese User in Ihrem System abgesichert? Falls nicht, lesen Sie gerne in unserem Blogbeitrag “Überprüfung der SAP Standardbenutzer auf Initialkennwort“, wie Sie diese User überprüfen und absichern können. Denn diese Benutzer, die im SAP Standard mitgeliefert werden, haben teilweise weitreichende Berechtigungen, mit denen Unbefugte innerhalb weniger Sekunden Zugriff auf geschäftskritische Daten erlangen können.

Obsolete User & Rollen

Nicht nur solche unentdeckten “Kleinigkeiten” im Standard bereiten den meisten Sicherheitsexperten Bauchschmerzen. Oftmals lassen sich Sicherheitslücken auf einen trivialen Ursprung zurückführen, wie zum Beispiel obsolete User oder schlichtweg Benutzer mit SAP-ALL-Berechtigungen. Unter einem obsoleten Benutzer wird ein Zugang von einem Mitarbeiter betitelt, welcher gar nicht mehr dem Unternehmen angehört, aber dennoch aktiv im System vorhanden ist.

Ein ähnliches Szenario bieten die obsoleten Rollen. Hier wechselt zum Beispiel ein Mitarbeiter Ihres Unternehmens von der Buchhaltung in den Einkauf. Hierbei werden andere Rollen als die bisherigen für den Benutzer notwendig, um die anfallenden Tätigkeiten im neuen Bereich erledigen zu können. Jedoch werden in den meisten Unternehmen die vorherigen Rollen nicht entzogen. Daraus entstehen im schlimmsten Fall Funktionstrennungskonflikte, welche eine enorm hohe Gefahr innerhalb Ihres Unternehmens darstellen. Wir empfehlen daher einen Prozess zu etablieren, der bei temporärem oder dauerhaftem Austritt eines Mitarbeiters den jeweiligen SAP User sperrt und seine Rechte entzieht. Auch wenn ein solcher Prozess bereits vorhanden ist, empfehlen wir zusätzlich eine jährliche Inventur der Benutzer und ihrer zugewiesenen Rollen mit der jeweiligen Abteilung durchzuführen. Lesen Sie dazu gerne unseren Beitrag: “Frühjahrsputz in der Benutzer- und Berechtigungsverwaltung“.

Fazit

Wir wollten Ihnen mit diesem Beitrag zeigen, dass die Bekämpfung eines sicherheitsrelevanten Themas nicht gleichzeitig bedeutet, dass Sie ein hohes Projektbudget benötigen. Oftmals lässt sich mithilfe von Kleinigkeiten ein deutlicher Mehrwert für die Sicherheit Ihrer System erzielen.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Marcel Schumacher

Autor

Marcel Schumacher

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support