Zwei Möglichkeiten zur Anwendung von Security Automation
Autor: Florian Paetzold | 15. Februar 2017
In diesem Artikel zum Thema SAP Security Automation möchte ich einen kleinen Blick in die Zukunft von automatisierten Prozessen im SAP Security Bereich wagen. Das Thema Security Automation bietet für viele Unternehmen noch eine Menge Potential in Bezug auf Zeitersparnis und Prozessoptimierung.
Unser tägliches Arbeitsumfeld bietet zahlreiche Aufgaben, die schon heute exzellent automatisch bearbeitet werden könnten. Aus diesem Grund stelle ich in diesem Artikel zwei der Möglichkeiten vor, welche im weit gefassten Bereich Security Automation bereits bestehen.
Security Automation mittels SAP Security Check
Die erste Möglichkeit der Security Automation, die ich hier vorstellen möchte, ist die automatische Prüfung der vorhandenen Berechtigungen. Haben Sie sich schon einmal gefragt, wer von den Usern in Ihrem SAP-System kritische Berechtigungen besitzt? Und haben Sie dies schon einmal per Hand versucht nachzuvollziehen? Dies ist je nach Kenntnisstand und Erfahrung des Berechtigungsadministrators eine Arbeit, bei der einiges an Zeit ins Land geht. Wenn zusätzlich eine Wirtschaftsprüfung angekündigt wird und das SAP-System bezüglich kritischer Berechtigungen sowie Segregation of Duties überprüft werden soll, dann ist es sehr schwierig allen Anforderungen zu genügen und die Berechtigungslandschaft diesbezüglich abzusichern.
SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit
Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.
Aus diesem Grund stellen verschiedene Anbieter Lösungen bereit, mittels Toolunterstützung die Überprüfung des Berechtigungswesens in Hinblick auf kritische Berechtigungen und Segregation of Duties zu automatisieren. So können Berechtigungsadministratoren ihre wertvolle Zeit dazu nutzen, die Fehler zu beheben, anstatt eben diese Fehler erst zu suchen.
Wir von rz10 nutzen beispielsweise ein Tool, welches die Überprüfung von über 250 Regeln durchläuft. Anschließend erhalten wir eine Auswertung darüber, gegen welche Regeln verstoßen wird und welche Punkte in Ordnung sind. Ein einfaches Beispiel für solche Regeln ist die Verwendung des Profils SAP_ALL. Ein weiteres wäre die Vergabe der Sprungberechtigung im Debugging (Berechtigungsobjekt S_DEVELOP mit dem Feld ACTVT = 02). Dies sind zwei relativ simple Beispiele des Regelwerks von Security Check-Tools. Weiterführend werden auch Abfragen getätigt, welche im Bereich Segregation of Duties angesiedelt sind.
Die Verwendung dieses Tools ermöglichte es uns, von der manuellen Überprüfung von kritischen Berechtigungen zu einem automatischen Ablauf überzugehen. Dies verhilft uns zu einer enormen Zeitersparnis und sorgt dafür, dass bei der manuellen Durchführung keine Überprüfungen übersehen werden.
Security Automation mittels HR Berechtigungen
HR-Berechtigungen sind in vielen Unternehmen ein sehr riskantes Thema und werden häufig ausschließlich mit Seidenhandschuhen angefasst. Einerseits sollen die Sachbearbeiter im Personal (oder andere Personal-Funktionsträger) ihre wichtige Arbeit erledigen können. Auf der anderen Seite ist der Schutz der persönlichen Daten der eigenen Mitarbeiter eine der wichtigsten Aufgaben des Berechtigungswesens. Jeder Fehler in diesem Bereich kann dafür sorgen, dass die Datenschutzbeauftragten des Unternehmens sich die Hände über dem Kopf zusammenschlagen.
Aus diesem Grund werden zur Zeit Tools entwickelt, welche im Bereich HR-Berechtigungen Absicherung und Übersicht verschaffen sollen. Die Grundidee ist eine klare Übersicht, aus der ersichtlich wird, auf welche Daten bestimmte User im SAP-System zugreifen dürfen. Darauf aufbauend können automatische Prüfungen entwickelt werden, welche im Hintergrund ablaufen und regelmäßig überprüfen, ob durch Änderungen an den Berechtigungen im HR-Bereich kritische Lücken entstanden sind.
Durch die Verwendung eines solchen Tools kann gerade im HR-Berechtigungsumfeld mehr Sicherheit geschaffen werden. Zudem ist insbesondere die Möglichkeit der Überblickfunktion für alle Beteiligten sehr angenehm und entlastend.
Fazit
Dieser Blogbeitrag ist dazu gedacht aufzuzeigen, was bereits jetzt im Bereich der Security Automation möglich ist. Das Thema wird uns im SAP-Bereich in den nächsten Jahren immer mehr begleiten. Daher ist es empfehlenswert, sich bereits jetzt Gedanken zu machen, wie das eigene Unternehmen in Bezug auf Security Automation vorbereitet ist.
Haben Sie noch weitere Beispiele im Bereich Security Automation, welche Sie bspw. bei sich im Unternehmen bereits nutzen? Ich freue mich über Ihre Hinweise und Kommentare.