Als Governance oder Prüffunktion im Unternehmen werden Sie immer wieder damit konfrontiert, Berechtigungen im SAP prüfen zu müssen. Aber wie geht man denn da vor? Woher bekomme ich denn überhaupt die Informationen, die ich brauche, um eine qualifizierte Aussage treffen zu können?
Ich sage es vorweg: Es gibt leider kaum Informationen und Templates, mit denen man SAP-Berechtigungen ohne Kosten (z.B. Lizenzgebühren) prüfen kann.
Aber es gibt Rahmenwerke, die Ihnen dabei helfen, zumindest Gebiete zu identifizieren und weitere Prüfschritte zu durchzugehen.
Grundlagen der Berechtigungsprüfung
Grundsätzlich müssen Sie sich zunächst mit den Grundvoraussetzungen für Berechtigungen auseinandersetzen.
- gibt es ein Berechtigungskonzept
- sind kritische Berechtigungen definiert
- sind kritische Berechtigungskombinationen definiert (SoD – Segregation of Duties)
Richtlinienprüfung
Eine weitere wesentliche Voraussetzung für eine Prüfung ist, dass eine Richtlinie vorliegt. Hierbei sollten die nachfolgenden Punkte in der Richtlinie berücksichtigt sein:
- Vergabe von Berechtigungen
- Entzug von Berechtigungen
- Zuständigkeiten
- Verantwortlichkeiten bei kritischen Berechtigungen aus dem Fachbereich
- Basisberechtigungen
- Rezertifizierung von Berechtigungen (User und Rollen)
Beachten Sie unbedingt, ob ggf. gesetzliche Grundlagen Einfluss auf die Berechtigungsvergabe haben. Gerade bei regulierten Branchen ist dies oft der Fall. Berücksichtigen Sie die Anforderungen der Regulierung in der Richtlinie und dem Berechtigungskonzept.
Verteilung der Verantwortlichkeiten
Achten Sie bei der Prüfungsplanung darauf, dass durch die Ansprechpartner der IT lediglich die Rahmenbedingungen beeinflusst werden können. Ob Transaktionen im Unternehmen als kritische eingestuft werden oder nicht, liegt in der Verantwortung der Fachbereiche. Diese müssen in Zusammenarbeit mit der IT entsprechend die Kritikalität einschätzen und Verfahren abstimmen, bei der Vergabe dieser als kritisch eingestuften Berechtigungen.
Oft werden Berechtigungen im SAP auch über Profile vergeben. Diese werden Sie in den gängigen Listen der Berechtigungszuordnung zu Usern nicht finden. Daher müssen Sie sicherstellen, dass Sie bei der Anfrage der Berechtigungen auch kritische Profilzuordnungen betrachten. Die kritischsten sind hier vor allem:
- SAP_ALL
- SAP_NEW
- *_ALL
Der * steht hierfür als Variabel und ersetzt alles geschriebene vor dem _ALL. Grundsätzlich sollten Sie Profile mit dem Namen _ALL auswerten und mit den zuständigen Fachbereichen hinsichtlich der Kritikalität abklären.
Ein weiteres Thema bei der Prüfung von Berechtigungen, sind die Grundeinstellungen, die einen wesentlichen Teil der zu prüfenden Themen ausmacht. Hierzu werde ich in Kürze einen Beitrag veröffentlichen.
Der Artikel soll nur einen kurzen Eindruck geben, wie man relativ oberflächlich Berechtigungen prüfen kann. Sollten Sie tiefere Informationen benötigen, freue ich mich sehr über Ihre Kontaktaufnahme.
Liebe Grüße,
Jürgen Kreuz