BLOG

SAP Access Audit – der Schlüssel zu Sicherheit und Compliance

Update 09/29

SAP Access Audit – der Schlüssel zu Sicherheit und Compliance

Warum sind Genehmigungen so wichtig?

In SAP beginnt jeder Zugriff mit einer Berechtigung: Benutzer → Rolle → Berechtigungen → Transaktionen/Anwendungen/Berechtigungsobjekte. Sie bestimmt, wer ein Dokument erstellen, Daten ändern, eine Zahlung genehmigen oder eine Buchungsperiode eröffnen darf. Wenn das Berechtigungssystem richtig konzipiert und gepflegt wird, arbeitet SAP sicher, effizient und vorschriftsmäßig.
Fehlt jedoch ein einheitliches Konzept oder eine einheitliche Kontrolle, entstehen Sicherheitslücken, die zu Missbrauch, Fehlern oder der Nichteinhaltung von Revisionsanforderungen führen können.

Die Berechtigungsstruktur in SAP ist vielschichtig und auf den Ebenen Anwendung, Transaktion, Objekt und Feldwert eingeschränkt. Dies hängt natürlich vom Verlauf der Prozesse und Geschäftskonzepte und sogar von der Arbeitsweise der Teams ab. Das hat praktische Auswirkungen: Ohne konsistente Regeln und ständige Kontrolle kann es leicht zu redundanten Zugriffen, doppelten Rollen und SoD-Konflikten kommen, die nur schwer „mit dem Auge“ zu erkennen sind.

Sicherheit und Ordnung in Rollen

Gut konzipierte Rollen stärken die Finanzkontrolle, reduzieren Missbrauch und Fehler und beschleunigen gleichzeitig die Audits. Ordnung bei den Berechtigungen bedeutet auch geringere Kosten: weniger teure „Just-in-Case“-Lizenzen, einfachere Migrationen (z.B. zu S/4HANA) und effizientere Updates. Die Prüfung der Benutzerrechte und des Zugriffs stellt sicher, dass die Benutzer genau die Berechtigungen haben, die sie zur Erfüllung ihrer Aufgaben benötigen. Der Zweck der Prüfung besteht darin, die Einhaltung von Sicherheitsregeln, gesetzlichen Vorschriften und internen Unternehmensrichtlinien zu gewährleisten.

Die Prüfung analysiert u.a:

– Übereinstimmung der Rollen mit den Sicherheitsrichtlinien und dem Prinzip des geringsten Privilegs – ob der Benutzer nur die für seine Arbeit notwendigen Berechtigungen hat.

– Das Auftreten von Konflikten bei der Aufgabentrennung (Segregation of Duties – SoD) – z.B. Fälle, in denen eine Person sowohl einen Lieferanten anlegen als auch eine Zahlung genehmigen kann.

– Redundante, ungenutzte oder veraltete Privilegien – z.B. vor langer Zeit zugewiesene Rollen, die nicht mehr benötigt werden oder seit langem nicht mehr verwendet wurden.

– Prozesse zur Verwaltung des Lebenszyklus von Benutzern (Joiner-Mover-Leaver) – ob neuen Mitarbeitern auf kontrollierte Weise Zugang gewährt wird, ob der Zugang aktualisiert wird, wenn sie die Position wechseln, und ob er widerrufen wird, wenn sie das Unternehmen verlassen.

– Vorbereitung auf interne und externe Audits – z.B. Einhaltung der ITGC-, SOX-, GDPR- oder ISO 27001-Auditanforderungen und Vollständigkeit der Zugriffsgenehmigungsdokumentation.

– Zugang für Notfälle (Zugang für Feuerwehrleute/Notfälle) – ob der Zugang nach der Nutzung ordnungsgemäß ausgewiesen und überwacht wird.

– Technische und Systembenutzer – verfügen sie über den entsprechenden Umfang an Berechtigungen und werden ihre Handlungen ordnungsgemäß protokolliert und beaufsichtigt?

Risiken, die sich aus unkontrolliertem Zugang ergeben

Zu weit gefasste oder schlecht zugewiesene Berechtigungen können dazu führen:

  • Finanzieller Missbrauch – z.B. kann ein Mitarbeiter mit Zugriff auf das Buchhaltungssystem seine eigenen Rechnungen genehmigen, fiktive Vertragspartner anlegen oder eigenständig Überweisungen veranlassen und autorisieren.
  • Datenlecks – z.B. kopieren Administratoren mit unbegrenzten Rechten Kundendatenbanken auf externe Medien oder private Clouds, was zum Verlust vertraulicher Informationen und des Kundenvertrauens führen kann.
  • Bedienungsfehler – z.B. wenn ein Benutzer mit Zugriff auf die Konfiguration des Produktionssystems versehentlich kritische Daten löscht oder verändert, was zu Ausfallzeiten oder gestörten Geschäftsprozessen führt.
  • Kosten und Strafen aufgrund der Nichteinhaltung von Vorschriften – z.B. führt eine fehlende Kontrolle über Berechtigungen zu Verstößen gegen Vorschriften (GDPR, SOX, ISO 27001), was zu finanziellen Strafen, dem Verlust der Zertifizierung oder der Schädigung des Rufs des Unternehmens führen kann.
  • Unnötige Lizenzkosten – z.B. haben Benutzer Zugang zu Modulen und Anwendungen, die sie nie benutzen, was dazu führt, dass das Unternehmen für ungenutzte Lizenzen oder übermäßig hohe Lizenzkategorien zahlt.
  • Schwierigkeiten bei der Prüfung und internen Kontrolle – z.B. erschwert ein Mangel an Transparenz bei den zugewiesenen Berechtigungen die Identifizierung der verantwortlichen Personen, die Analyse von Protokollen und die Überprüfung der Einhaltung von Sicherheitsrichtlinien.
  • Verlust der Systemintegrität – z.B. können durch unsachgemäß zugewiesene technische Berechtigungen Kontrollmechanismen umgangen werden, was zu unbefugten Konfigurations- oder Datenänderungen führen kann.

Audit und Einhaltung von Vorschriften

Die Zugriffskontrolle in SAP ermöglicht es Ihnen, gesetzliche und branchenspezifische Anforderungen wie GDPR, SOX und JSOX zu erfüllen. Sie stellt sicher, dass personenbezogene Daten geschützt werden und dass Finanzprozesse zuverlässig und konform mit den Anforderungen externer Prüfer sind.

Checkliste für den Prüfer

Während des Audits werden Aspekte wie die folgenden analysiert:

  • Richtlinien für die Gewährung und den Entzug von Zugriffsrechten, einschließlich der Einhaltung des Berechtigungskonzepts, der geschäftlichen Zuständigkeiten und des Prinzips der geringsten Privilegien (Gewährung der minimal erforderlichen Berechtigungen).
  • Regelmäßige Neuzertifizierung von Rollen und Benutzern (z.B. vierteljährlich oder halbjährlich), um die Gültigkeit der Zugriffsrechte zu bestätigen.
  • Dokumentation von Änderungen im System und Einhaltung des Zugriffsverwaltungsprozesses(Access Management Lifecycle), einschließlich Genehmigungspfaden und Entscheidungsprotokollierung.
  • Notfall-Zugangskontrolle (Firefighter / Privileged Access Management) – Überwachung der Gewährung, Nutzung und Abrechnung von temporären administrativen Privilegien.
  • Identifizierung und Behandlung von inaktiven Konten und Rollen, die nicht mehr benötigt werden, einschließlich der automatischen Erkennung von Benutzern, die sich über einen längeren Zeitraum nicht angemeldet haben.
  • Konflikte bei der Aufgabentrennung (Segregation of Duties – SoD) – ihre Identifizierung, Rechtfertigung (Abschwächung) und Implementierung von Ausgleichsmechanismen, z.B. doppelte Autorisierung oder zusätzliche Geschäftskontrollen.
  • Anpassung der Lizenztypen und -umfänge an die tatsächliche Systemnutzung (z.B. im Kontext von SAP FUE/PUPM oder Named User Licenses).
  • Korrekte Handhabung von Szenarien für indirekten Zugang/digitalen Zugang, einschließlich Integration und Systembenutzer.
  • Überwachung und Protokollierung sensibler Aktivitäten sowie regelmäßige Überprüfung von SoD-Berichten und Zugriff auf kritische Transaktionen.
  • Einhaltung von Genehmigungen gemäß den gesetzlichen Bestimmungen (einschließlich GDPR, SOX, J-SOX, ICFR, KRI) unter Berücksichtigung des Schutzes personenbezogener Daten und der Kontrolle des Zugangs zu vertraulichen Informationen.
  • Regelmäßige interne und externe Audits (z.B. ITGC, ISO 27001), um die Einhaltung der Prozesse und die Wirksamkeit der implementierten Kontrollen zu überprüfen.
  • Beaufsichtigung der technischen und Integrationskonten, einschließlich der Kontrolle ihrer Nutzung und der zugewiesenen Berechtigungen.
  • Berichterstattung und Analyse von Trends beim Zugriffsrisiko, um Bereiche zu identifizieren, die Verbesserungen oder zusätzliche Sicherheitsmaßnahmen erfordern.

Die Rolle der GRC-Tools

Manuelle Audits in einem komplexen SAP-System sind schwierig und zeitaufwändig. Deshalb werden GRC-Tools verwendet, wie z.B.:

SAP GRC Access Control – eine ausgereifte SAP-Lösung für die Verwaltung von Berechtigungen und des Risikos der Aufgabentrennung (Segregation of Duties, SoD) in On-Premise-Umgebungen. Das System ermöglicht die umfassende Zuweisung von Berechtigungen, die Pflege der SoD-Matrix, die Unterstützung von Benutzerbereitstellungsprozessen (Access Request Management) und die Analyse von Zugriffsrisiken. Im so genannten „Bridge“-Szenario ist es außerdem möglich, das On-Premise-System mit Cloud-Anwendungen zu verbinden und so eine konsistente Zugriffsverwaltung in hybriden Umgebungen sicherzustellen. SAP Access Control ist die beliebteste Lösung in großen Unternehmen, die SAP ERP- oder SAP S/4HANA-Systeme in einem lokalen Modell einsetzen. Sie ermöglichen eine automatische Risikoerkennung, eine kontinuierliche Überwachung und eine schnelle Erstellung von Berichten für Auditoren. Diese Tools unterstützen Audits, indem sie Daten in Echtzeit bereitstellen, die manuelle Arbeit reduzieren und die Präsentation von Compliance-Nachweisen in transparenter Form ermöglichen.

SAP IAG (Identity Access Governance) ist eine neue SAP-Lösung für die Zugriffsverwaltung in Cloud-Umgebungen wie SAP Concur, SAP SuccessFactors, SAP Ariba und SAP S/4HANA Cloud. Dieses System bietet ein zentralisiertes User Lifecycle Management, SoD-Risikoanalyse und Zugriffsgenehmigungsprozesse in einer Cloud-basierten Architektur. IAG ist eine natürliche Ergänzung oder ein Nachfolger von Access Control in Unternehmen, die auf die SAP Cloud migrieren und eine native Integration mit SaaS-Anwendungen benötigen, während sie gleichzeitig die Einhaltung von Sicherheits- und Audit-Richtlinien gewährleisten.

SmartGRC
Dies ist eine alternative Lösung für die Gewährung von Zugriff, die Verwaltung der SoD-Risikodatenbank, die Überwachung der Nutzung von breiten und administrativen Konten und die Unterstützung regelmäßiger Privilegienüberprüfungen. Das Tool kann vor Ort installiert oder in einem Cloud-Abonnementmodell verwendet werden. SmartGRC lässt sich nativ in SAP S/4HANA integrieren und kann über Webservice oder XML-Dateiaustausch mit jedem System, das Berechtigungsdaten aus einer Datenbank exportieren kann, mit anderen Systemen, auch solchen außerhalb des SAP-Ökosystems, verbunden werden. Dies ermöglicht ein zentralisiertes Zugriffsrisikomanagement in komplexen IT-Umgebungen mit verschiedenen Technologien. SmartGRC zeichnet sich durch seine kurze Implementierungszeit, seine intuitive Benutzeroberfläche und seine Flexibilität bei der Anpassung an die Bedürfnisse des Unternehmens aus.

GRC-Systeme haben die folgenden Funktionen:

Erkennungsfunktion – GRC-Systeme, wie SAP GRC Access Control, ermöglichen die Erkennung von bestehenden Risiken und Unregelmäßigkeiten im Berechtigungssystem. Die Analysen können umfassen:

  • Identifizierung von Konflikten bei der Funktionstrennung (Segregation of Duties) – z.B. ein Benutzer, der die Möglichkeit hat, einen Lieferanten anzulegen und gleichzeitig eine Zahlung (F110) zu veranlassen . Ein solcher Konflikt stellt ein potenzielles Risiko für finanziellen Missbrauch dar.
  • Erkennung des Zugriffs auf kritische Transaktionen – z.B. ein Benutzer, der Zugriff auf SU01 (Benutzerverwaltung) oder OB52 (Änderung von Buchungsperioden) hat, obwohl er nicht zur IT- oder Buchhaltungsabteilung gehört.
  • Analyse inaktiver oder veralteter Benutzerkonten – z.B. Konten, die seit 90 Tagen nicht mehr benutzt wurden, denen aber noch aktive Rollen zugewiesen sind.
  • Erkennung von überflüssigen Rollen und Berechtigungen – z.B. hat ein Benutzer in der Einkaufsabteilung auch Rollen im Vertrieb oder in der Produktion, die für seine Aufgaben nicht notwendig sind.
  • Identifizierung eines so genannten Notfallzugangs (Firefighter ID) , über den nach der Nutzung nicht ordnungsgemäß Buch geführt wurde (kein Protokoll oder Sitzungsbericht).

Vorbeugende Funktion – GRC-Systeme dienen auch dazu, das Entstehen neuer Risiken zu verhindern , bevor sie das produktive SAP-System erreichen. In dieser Hinsicht bietet SAP GRC Access Control u.a:

  • Blockieren der Zuweisung von Rollen, die SoD-Konflikte enthalten – z.B. erkennt das System bei der Beantragung einer neuen Rolle automatisch, dass der Benutzer bereits das Recht hat, Rechnungen zu verbuchen, und ihm kein Zugriff auf das Auslösen von Zahlungen gewährt werden kann, da diese beiden Zugriffe einen Aufgabentrennungskonflikt verursachen.
  • Genehmigungs-Workflow für Zugriffsanfragen (Access Request Management) – jede Rollenanfrage muss vom Vorgesetzten und dem Rolleninhaber genehmigt werden, wodurch die Geschäftskontrolle und die Einhaltung der Regeln zur Aufgabentrennung gewährleistet werden.
  • Rezertifizierung von Rollen und Benutzern (Access Review / User Access Review) – regelmäßige Kampagnen zur Überprüfung von Berechtigungen ermöglichen es Managern, die Gültigkeit von Zugriffsrechten zu bestätigen, z.B. alle sechs Monate.
  • Kontrolle in der Phase der Rollenerstellung – das integrierte Rollenverwaltungsmodul analysiert entworfene Rollen auf mögliche SoD-Konflikte, bevor sie implementiert werden.
  • Notfall-Zugriffsmanagement – die Gewährung von temporärem Zugriff auf kritische Transaktionen wird protokolliert, kann genehmigt werden und nach Abschluss der Arbeit wird ein Bericht über die durchgeführten Aktionen erstellt, wodurch das Risiko des Missbrauchs verringert wird.

GRC-Tools wirken daher wie ein Sicherheitsfilter – einerseits sorgen sie für die sofortige Erkennung von Verstößen, andererseits helfen sie, diese zu verhindern, indem sie die Anzahl potenzieller Fehler und Missbräuche reduzieren, bevor sie auftreten.

 

Zusammenfassung

SAP Access Auditing ist ein kontinuierlicher Prozess, der Sicherheitsrichtlinien mit Automatisierung und regelmäßigen Überprüfungen kombinieren sollte.

Eine wirksame Kontrolle basiert auf zwei Säulen:

  • Erkennungskontrollen – Berichte, Warnungen, Protokollanalyse,
  • Präventive Kontrollen – Prinzip der geringsten Berechtigung, SoD-Regeln, automatische Sperren.

Dieser Ansatz gewährleistet die Datensicherheit, die Einhaltung gesetzlicher Vorschriften und die volle Audit-Bereitschaft des Unternehmens.

PRODUKTY SmartGRC

Chcesz wiedzieć więcej? Skontaktuj się z nami.

Wypełnij poniższy formularz. Zwykle odpowiadamy w ciągu dwóch godzin.