BLOG

Zugriffsprüfung in SAP – der Schlüssel zu Sicherheit und Compliance

Warum sind Genehmigungen so wichtig?

In SAP beginnt jeder Zugriff mit einer Autorisierung: Benutzer → Rolle → Rechte → Transaktionen/Anwendungen/Autorisierungsobjekte. Sie entscheidet, wer ein Dokument erstellen, Daten ändern, eine Zahlung genehmigen oder eine Buchungsperiode eröffnen darf. Wenn das Berechtigungssystem richtig konzipiert und gepflegt wird, arbeitet SAP sicher, effizient und vorschriftsmäßig.
Wenn es jedoch an einem konsistenten Design oder an Kontrollen mangelt, entstehen Sicherheitslücken, die zu Betrug, Fehlern oder der Nichteinhaltung von Prüfungsanforderungen führen können.

Die Berechtigungsstruktur in SAP ist vielschichtig und auf Anwendungs-, Transaktions-, Objekt- und Feldwertebene eingeschränkt. Dies hängt natürlich von den Prozessabläufen und Geschäftskonzepten und sogar von der Arbeitsweise der Teams ab. Das hat praktische Auswirkungen: Ohne konsistente Regeln und ständige Kontrolle kommt es leicht zu redundanten Zugriffen, doppelten Rollen und SoD-Konflikten, die nur schwer „mit dem Auge“ zu erkennen sind.

Sicherheit und Ordnung in Rollen

Gut konzipierte Rollen stärken die Finanzkontrollen, reduzieren Betrug und Fehler und beschleunigen gleichzeitig die Audits. Geordnete Berechtigungen bedeuten auch geringere Kosten: weniger teure „Nur für den Fall“-Lizenzen, einfachere Migrationen (z.B. zu S/4HANA) und reibungslosere Upgrades. Die Prüfung der Benutzerrechte und des Zugriffs stellt sicher, dass die Benutzer genau die Rechte haben, die sie zur Erfüllung ihrer Aufgaben benötigen. Der Zweck der Prüfung besteht darin, die Einhaltung von Sicherheitsvorschriften, Gesetzen und internen Unternehmensrichtlinien zu gewährleisten.

Bei der Prüfung werden unter anderem folgende Punkte untersucht

– Kompatibilität der Rollen mit der Sicherheitspolitik und dem Prinzip dergeringsten Privilegien– ob der Benutzer nur die für seine Arbeit notwendigen Privilegien hat.

– Auftreten von Konflikten bei der Aufgabentrennung (Segregation of Duties – SoD) – z.B. Fälle, in denen eine Person sowohl einen Anbieter erstellen als auch eine Zahlung genehmigen kann.

– Redundante, ungenutzte oder veraltete Berechtigungen – z.B. vor langer Zeit zugewiesene Rollen, die nicht mehr benötigt werden oder seit langem nicht mehr verwendet wurden.

– Prozesse zur Verwaltung des Lebenszyklus von Benutzern (Joiner-Mover-Leaver) – ob neuen Mitarbeitern auf kontrollierte Weise Zugang gewährt wird, ob der Zugang aktualisiert wird, wenn sie die Position wechseln, und ob er widerrufen wird, wenn sie das Unternehmen verlassen.

– Vorbereitung auf interne und externe Audits – z.B. Einhaltung der ITGC-, SOX-, RODO- oder ISO 27001-Auditanforderungen und Vollständigkeit der Zugriffsannahme-Dokumentation.

– Notzugänge (Feuerwehr-/Notzugänge) – ob sie nach der Benutzung ordnungsgemäß ausgewiesen und überwacht werden.

– Technische und Systembenutzer – ob sie die richtigen Befugnisse haben und ob ihre Aktivitäten ordnungsgemäß protokolliert und überwacht werden.

Risiken, die sich aus unkontrolliertem Zugang ergeben

Zu weit gefasste oder schlecht zugewiesene Befugnisse können dazu führen:

  • Betrug – z.B. kann ein Mitarbeiter mit Zugriff auf das Buchhaltungssystem seine eigenen Rechnungen genehmigen, fiktive Vertragspartner anlegen oder selbst Überweisungen veranlassen und autorisieren.
  • Datenlecks – z. B. kopieren Administratoren mit uneingeschränkten Rechten Kundendatenbanken auf externe Medien oder in private Clouds, was zum Verlust vertraulicher Informationen und des Vertrauens der Kunden führen kann.
  • Bedienungsfehler – z.B. wenn ein Benutzer mit Zugriff auf die Konfiguration des Produktionssystems versehentlich kritische Daten löscht oder verändert, was zu Ausfallzeiten oder gestörten Geschäftsprozessen führt
  • Kosten und Sanktionen, die sich aus der Nichteinhaltung von Vorschriften ergeben – z. B. führt eine fehlende Kontrolle über Berechtigungen zu einem Verstoß gegen gesetzliche Vorschriften (RODO/GDPR, SOX, ISO 27001), was zu finanziellen Strafen, dem Verlust der Zertifizierung oder dem Ruf des Unternehmens führen kann.
  • Unnötige Ausgaben für Lizenzen – z.B. haben Benutzer Zugang zu Modulen und Anwendungen, die sie nie nutzen, was dazu führt, dass das Unternehmen für ungenutzte Lizenzen oder überhöhte Lizenzkategorien zahlt.
  • Schwierigkeiten bei der Prüfung und internen Kontrolle – z.B. mangelnde Transparenz bei den erteilten Berechtigungen erschwert die Identifizierung der verantwortlichen Personen, die Analyse von Protokollen und die Überprüfung der Einhaltung von Sicherheitsrichtlinien.
  • Verlust der Systemintegrität – z. B. können durch unsachgemäß zugewiesene technische Privilegien Kontrollen umgangen werden, was zu unbefugten Änderungen der Konfiguration oder der Daten führen kann.

Audit und Einhaltung von Vorschriften

Die Zugriffskontrolle in SAP ermöglicht es Ihnen, gesetzliche und branchenspezifische Anforderungen wie RODO, SOX oder JSOX zu erfüllen. Sie stellt sicher, dass personenbezogene Daten geschützt sind und dass die Finanzprozesse zuverlässig und konform mit den Anforderungen externer Prüfer sind.

Checkliste für den Prüfer

Während der Prüfung wurden Aspekte von:

  • Richtlinien für die Gewährung und den Entzug des Zugriffs, einschließlich der Einhaltung des Konzepts der Autorisierung, der geschäftlichen Verpflichtungen und des Grundsatzes der geringsten Privilegien.
  • Regelmäßige Neuzertifizierung von Rollen und Benutzern, die zyklisch (z.B. vierteljährlich oder halbjährlich) durchgeführt wird, um die Gültigkeit der Zugriffsrechte zu bestätigen.
  • Dokumentation von Systemänderungen und Einhaltung desAccess Management Lifecycle-Prozesses, einschließlich Akzeptanzpfaden und Aufzeichnung von Entscheidungen.
  • Notfall-Zugangskontrolle (Firefighter / Privileged Access Management) – Überwachung der Gewährung, Nutzung und Abrechnung von temporären Verwaltungsrechten.
  • Identifizierung und Behandlung von inaktiven Konten und Rollen, die nicht mehr benötigt werden, einschließlich der automatischen Erkennung von Benutzern, die sich über einen längeren Zeitraum nicht angemeldet haben.
  • Konflikte bei der Aufgabentrennung (Segregation of Duties – SoD) – ihre Identifizierung, Rechtfertigung (Abschwächung) und Implementierung von Ausgleichsmechanismen, z.B. doppelte Autorisierung oder zusätzliche Geschäftskontrollen.
  • Anpassung der Lizenztypen und -umfänge an die tatsächliche Systemnutzung (z.B. im Rahmen von SAP FUE/PUPM oder Named User Licenses).
  • Korrekte Handhabung von Szenarien fürindirekten Zugang / digitalen Zugang, einschließlich Integration und Systembenutzer.
  • Überwachung und Protokollierung sensibler Aktivitäten sowie zyklische Überprüfung von SoD-Berichten und Zugriff auf kritische Transaktionen.
  • Autorisierung zur Einhaltung gesetzlicher Vorschriften (einschließlich RODO/GDPR, SOX, J-SOX, ICFR, KRI) unter Berücksichtigung des Schutzes personenbezogener Daten und der Kontrolle des Zugangs zu vertraulichen Informationen.
  • Regelmäßige interne und externe Audits (z.B. ITGC, ISO 27001), die die Einhaltung der Prozesse und die Wirksamkeit der implementierten Kontrollen überprüfen.
  • Beaufsichtigung von technischen und Integrationskonten, einschließlich der Kontrolle ihrer Nutzung und der zugewiesenen Rechte.
  • Greifen Sie auf Risikoberichte und Trendanalysen zu, um Bereiche mit Verbesserungsbedarf oder zusätzliche Schutzmaßnahmen zu identifizieren.

Die Rolle der GRC-Tools

Eine manuelle Prüfung in einem komplexen SAP-System ist schwierig und zeitaufwändig. Daher werden Tools der GRC-Klasse verwendet, wie z.B.:

SAP GRC Access Control – ist eine ausgereifte SAP-Lösung zur Verwaltung von Berechtigungen und Risiken der Funktionstrennung (Separation of Duties, SoD) in On-Premise-Umgebungen. Das System ermöglicht die umfassende Vergabe von Berechtigungen, die Pflege der SoD-Matrix, die Abwicklung von Benutzerauftragsprozessen (Access Request Management) und die Analyse von Zugriffsrisiken. In einem so genannten ‚Bridge‘-Szenario ist es auch möglich, das On-Premise-System mit Cloud-Anwendungen zu kombinieren und so eine konsistente Zugriffsverwaltung in hybriden Umgebungen zu gewährleisten. SAP Access Control ist die Lösung der Wahl in großen Unternehmen, die SAP ERP- oder SAP S/4HANA-Systeme in einem lokalen Modell einsetzen. Sie bieten automatische Risikoerkennung, kontinuierliche Überwachung und schnelle Berichtserstellung für Auditoren. Diese Tools unterstützen Audits, indem sie Daten in Echtzeit bereitstellen, die manuelle Arbeit reduzieren und die Darstellung von Nachweisen der Compliance in transparenter Form ermöglichen.

SAP IAG (Identity Access Governance) – ist eineneue SAP-Lösung für die Zugriffsverwaltung in Cloud-Umgebungen wie SAP Concur, SAP SuccessFactors, SAP Ariba oder SAP S/4HANA Cloud. Das System bietet ein zentrales User Lifecycle Management, SoD-Risikoanalyse und Zugriffsgenehmigungsprozesse in einer Cloud-basierten Architektur. IAG ist eine natürliche Ergänzung oder ein Nachfolger von Access Control für Unternehmen, die in die SAP-Cloud migrieren und eine native Integration mit SaaS-Anwendungen benötigen, während gleichzeitig die Einhaltung von Sicherheits- und Audit-Richtlinien gewährleistet ist.

SmartGRC
Dies ist eine alternative Lösung für die Gewährung von Zugriff, die Verwaltung der SoD-Risikodatenbank, die Überwachung der Nutzung von breiten und administrativen Konten und die Unterstützung regelmäßiger Überprüfungen von Berechtigungen. Das Tool kann vor Ort installiert oder in einem Cloud-Abonnementmodell verwendet werden. SmartGRC lässt sich nativ in SAP S/4HANA integrieren und kann sich mit anderen Systemen – auch außerhalb des SAP-Ökosystems – über Webservice oder XML-Dateiaustausch mit jedem System verbinden, das Berechtigungsdaten aus der Datenbank exportieren kann. Auf diese Weise ermöglicht es die zentrale Verwaltung von Zugriffsrisiken in komplexen IT-Umgebungen, die verschiedene Technologien umfassen. SmartGRC zeichnet sich durch seine kurze Einführungszeit, seine intuitive Benutzeroberfläche und seine Flexibilität bei der Anpassung an die Bedürfnisse des Unternehmens aus.

Systeme der GRC-Klasse verfügen über solche Funktionen:

Erkennungsfunktion – GRC-Systeme, wie SAP GRC Access Control, ermöglichen die Erkennung von bestehenden Risiken und Anomalien im Berechtigungssystem. Die Analysen können umfassen:

  • Identifizierung von SoD-Konflikten (Segregation of Duties) – z.B. ein Benutzer, der die Möglichkeit hat, einen Lieferanten anzulegen und gleichzeitig eine Zahlung auszulösen (F110). Ein solcher Konflikt birgt ein potenzielles Betrugsrisiko.
  • Erkennung des Zugriffs auf kritische Transaktionen – z.B. ein Benutzer mit Zugriff auf SU01 (Benutzerverwaltung) oder OB52 (Änderung von Buchungsperioden), obwohl er nicht zur IT- oder Buchhaltungsabteilung gehört.
  • Analyse inaktiver oder veralteter Benutzerkonten – z.B. Konten, die seit 90 Tagen nicht mehr benutzt wurden, denen aber noch aktive Rollen zugewiesen sind.
  • Erkennen von redundanten Rollen und Berechtigungen – zum Beispiel hat ein Benutzer in der Einkaufsabteilung auch Rollen aus dem Vertrieb oder der Produktion, die für seine Aufgaben nicht benötigt werden.
  • Identifizierung des sogenannten Notfallzugangs (Firefighter ID) die nach der Verwendung nicht ordnungsgemäß verbucht wurden (kein Protokoll oder Sitzungsbericht).

Präventive Funktion – GRC-Systeme haben auch die Funktion zu verhindern, dass neue Risiken entstehen, bevor sie das produktive SAP-System erreichen. In dieser Hinsicht bietet SAP GRC Access Control u.a:

  • Blockieren der Vergabe von Rollen mit SoD-Konflikten – z.B. erkennt das System bei der Beantragung einer neuen Rolle automatisch, dass ein Benutzer bereits über Rechnungsbuchhaltungsrechte verfügt und ihm kein Zugriff auf das Auslösen von Zahlungen gewährt werden kann, da diese beiden Zugriffe einen Aufgabentrennungskonflikt verursachen.
  • Genehmigungs-Workflow für Zugriffsanträge (Access Request Management) – jeder Rollenantrag muss von einem Vorgesetzten und dem Rolleninhaber genehmigt werden, wodurch die Geschäftskontrolle und die Einhaltung der Regeln zur Aufgabentrennung gewährleistet werden.
  • Rezertifizierung von Rollen und Benutzern (Access Review / User Access Review) – regelmäßige Kampagnen zur Überprüfung von Privilegien ermöglichen es Managern, die Gültigkeit ihrer Zugriffe zu bestätigen, z.B. alle sechs Monate.
  • Kontrolle bereits bei der Rollenerstellung – das integrierte Rollenmanagement-Modul analysiert die entworfenen Rollen auf mögliche SoD-Konflikte, noch bevor sie implementiert werden.
  • Notfall-Zugriffsmanagement – die Gewährung von temporärem Zugriff auf kritische Transaktionen wird aufgezeichnet, kann validiert werden und nach Abschluss wird ein Aktionsbericht erstellt, wodurch das Risiko von Missbrauch verringert wird.

GRC-Tools wirken daher wie ein Sicherheitsfilter – einerseits ermöglichen sie die sofortige Erkennung von Verstößen und andererseits helfen sie, diese zu verhindern, indem sie potenzielle Fehler und Missbrauch reduzieren, noch bevor sie auftreten.

 

Zusammenfassung

Die Zugriffsprüfung in SAP ist ein fortlaufender Prozess, der Sicherheitsrichtlinien mit Automatisierung und regelmäßigen Überprüfungen kombinieren sollte.

Eine wirksame Kontrolle ruht auf zwei Säulen:

  • Erkennungsprüfungen – Berichte, Warnungen, Protokollanalyse,
  • Vorbeugende Kontrollen – Mindestberechtigungsregel, SoD-Regeln, automatische Sperrung.

Dieser Ansatz gewährleistet die Datensicherheit, die Einhaltung gesetzlicher Vorschriften und die volle Audit-Bereitschaft des Unternehmens.

PRODUKTY SmartGRC

Chcesz wiedzieć więcej? Skontaktuj się z nami.

Wypełnij poniższy formularz. Zwykle odpowiadamy w ciągu dwóch godzin.