Schnelleinstieg in SAP GRC – Access Control - Martin Metz - ebook

Schnelleinstieg in SAP GRC – Access Control ebook

Martin Metz

0,0
67,99 zł

Opis

Korruption, Verluste oder Datendiebstahl lassen sich häufig auf ein mangelhaftes Berechtigungsmanagement im Unternehmen zurückführen. Als wichtiger Bestandteil der SAP-Lösung für Governance, Risk und Compliance (GRC) dient SAP Access Control der Erkennung von Berechtigungsrisiken innerhalb Ihres Unternehmens. Mit diesem Buch lernen Sie, wie diese Anwendung Ihre Geschäftsprozesse sichert, indem sie Regeln für den Zugriff erstellt und regelmäßig kritische Aktionen und Berechtigungen prüft. Erfahren Sie zudem, wie Sie Genehmigungen für Rollen und Benutzer erteilen oder mittels Firefighter-IDs Notfallbenutzer bzw. -systemzugriffe unterstützen. Die Autoren geben Endanwendern, dem IT-Betrieb aber auch Auditoren das nötige Wissen an die Hand, um das System im Unternehmensalltag zu nutzen und zu verstehen. Die bildreichen Erläuterungen machen dieses Buch auch für Einsteiger in die GRC-Welt verständlich. - Analyse und Simulation von Berechtigungsrisiken - privilegierte Berechtigungen und Notfallzugriffe - Herzstück „Access Risk Analysis“: Regelwerke erstellen - mindernde Kontrollen für unvermeidbare Risiken

Ebooka przeczytasz w aplikacjach Legimi lub dowolnej aplikacji obsługującej format:

EPUB

Liczba stron: 168




Sebastian Mayer, Martin Metz

Schnelleinstieg in SAP® GRC – Access Control

ISBN:978-3-96012-686-7 (ePUB)Lektorat:Anja AchillesKorrektorat:Christine WeberCoverdesign:Philip Esch, Martin MunzelCoverfoto:eschdesignsSatz & Layout:Johann-Christian Hanke

Alle Rechte vorbehalten

1. Aufl. 2017, Gleichen

© Espresso Tutorials GmbH

URL:www.espresso-tutorials.com

Das vorliegende Werk ist in allen seinen Teilen urheberrechtlich geschützt. Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion und der Vervielfältigung. Espresso Tutorials GmbH, Zum Gelenberg 11, 37130 Gleichen, Deutschland.

Ungeachtet der Sorgfalt, die auf die Erstellung von Text und Abbildungen verwendet wurde, können weder der Verlag noch Autoren oder Herausgeber für mögliche Fehler und deren Folgen eine juristische Verantwortung oder Haftung übernehmen.

Feedback: Wir freuen uns über Fragen und Anmerkungen jeglicher Art. Bitte senden Sie diese an: [email protected]

Inhaltsverzeichnis

Cover
Titel
Copyright / Impressum
Vorwort
1 Risiken und rechtliche Grundlagen im Berechtigungsmanagement
1.1 Aktuelle Vorkomnisse und resultierende Risiken
1.2 Rechtliche Grundlagen
2 Vorstellung der GRC-Suite von SAP
2.1 Kurzvorstellung der SAP-Rollen- und Profilstruktur
2.2 Die SAP-GRC-Suite
2.3 SAP GRC im Unternehmenskontext des Berechtigungsmanagements
2.4 Die Module von SAP Access Control
3 ARA – das Herzstück des GRC
3.1 Funktionsweise des Regelwerks
3.2 Anlage von Regelwerken
3.3 Die umfassenden Berichtsfunktionen in ARA
3.4 Anlage und Zuordnung mindernder Kontrollen
4 BRM – konfliktfreie Rollen als Voraussetzung für ein funktionierendes Berechtigungsmanagement
4.1 Der Rollenmanagementprozess in BRM
4.2 Nützliche Werkzeuge des BRM
5 ARM – Benutzermanagementprozesse mit integierter Berechtigungsprüfung
5.1 Die fachlichen Prozesse des Benutzermanagements
5.2 Erstellung von Anträgen und Prüfung der Risiken
5.3 Genehmigung von Anträgen und Nutzung mindernder Kontrollen
5.4 Suche und Analyse von Benutzeranträgen
6 EAM – Zugriff auf das System mit speziellen kritischen Rechten
6.1 Zugriffsszenarien mit SAP AC EAM
6.2 Bestellung und Zuweisung einer Firefighter-ID
6.3 Nutzung einer Firefighter-ID
6.4 Analyse der Zugriffsprotokolle
7 Verantwortlichkeiten im Umfeld von SAP Access Control
8 Fazit
A Anhang
Abkürzungsverzeichnis
Glossar
Literaturverzeichnis
B Die Autoren
C Disclaimer

Willkommen bei Espresso Tutorials!

Unser Ziel ist es, SAP-Wissen wie einen Espresso zu servieren: Auf das Wesentliche verdichtete Informationen anstelle langatmiger Kompendien – für ein effektives Lernen an konkreten Fallbeispielen. Viele unserer Bücher enthalten zusätzlich Videos, mit denen Sie Schritt für Schritt die vermittelten Inhalte nachvollziehen können. Besuchen Sie unseren YouTube-Kanal mit einer umfangreichen Auswahl frei zugänglicher Videos:

https://www.youtube.com/user/EspressoTutorials.

Kennen Sie schon unser Forum? Hier erhalten Sie stets aktuelle Informationen zu Entwicklungen der SAP-Software, Hilfe zu Ihren Fragen und die Gelegenheit, mit anderen Anwendern zu diskutieren:

http://www.fico-forum.de.

Eine Auswahl weiterer Bücher von Espresso Tutorials:

Dr. Bernd Klüppelberg:

Techniken im SAP

®

-Berechtigungswesen

Maxim Chuprunov:

SAP

®

GRC. Governance, Risk und Compliance im Dienste der Korruptions- und Betrugsbekämpfung

Christoph Kretner & Jascha Kanngießer:

Berechtigungen in SAP

®

BW, HANA und BW/4HANA

Andreas Prieß:

SAP

®

-Berechtigungen für Anwender und Einsteiger

Marcel Schmiechen:

Berechtigungen in SAP

®

ERP HCM – Einrichtung und Konfiguration

Vorwort

Mit dem Berechtigungsmanagement in SAP ist es im Prinzip wie mit der Elektrik beim Häuserbau: Wenn Sie erst am Ende daran denken, dass Sie in dem Haus auch Licht brauchen, dann ist es zu spät. Die Kabel müssten sich bereits durch alle Wände vom Keller bis zum Dachboden winden. Oder Sie haben ein korrekt verkabeltes Haus, wollen aber Jahre nach dem Einzug wissen, wie es inzwischen um die Elektrik bestellt ist bzw. welche Änderungen daran vorzunehmen sind. An welchem Schritt auch immer Sie stehen: Sie brauchen dafür einen Plan und spezielle Werkzeuge. Denn vielleicht bleibt es Ihnen nicht erspart, hier und da Wände aufzureißen.

Das SAP-Berechtigungsmanagement könnte man mit einem solchen Gewerk vergleichen. Es ist vielleicht das komplexeste übergreifende Modul der SAP-Software. Nicht ohne Grund spezialisieren sich ganze Unternehmen und Heerscharen von Beratern auf dieses spezielle Fachgebiet. So gibt es bspw. die folgenden Berufsbezeichnungen:

SAP-Berechtigungsadministrator/-Berater,

SAP Access Control-Administrator/-Berater.

Wenn Sie die genannte Komplexität bereits erahnen, kennen oder gar an ihr verzweifeln, so liegen Sie mit diesem Buch goldrichtig. Denn offensichtlich haben Sie bereits erfahren, dass das Management von Berechtigungen in SAP einige Herausforderungen mit sich bringt, denen Sie nur mit einem Ihnen vertrauten Werkzeug Herr werden können.

Der Name für das Werkzeug lautet SAP Access Control.

Ob Sie nun bereits tapferer Nutzer, Berechtigungsadministrator, IT-Sicherheitsexperte, Compliance-Vertreter, Auditor oder SAP-Berater von und für SAP Access Control sind: Sie alle werden sich bei uns wohlfühlen, sofern Sie bereits grundlegende Kenntnisse im SAP-Berechtigungswesen mitbringen und Interesse haben, das dazugehörige Werkzeug genauer kennenzulernen. Wir geben Ihnen eine Schnellausbildung und machen Sie fit für SAP Access Control.

Dazu führen wir Sie auf den nachfolgenden Seiten in die Welt des Berechtigungsmanagements ein. Sie lernen, warum dieses Thema so wichtig und Gegenstand einer Vielzahl unterschiedlicher Gesetze und Normen ist. Anschließend fokussieren wir auf SAP Access Control und die Vielzahl der Funktionen im Kontext der vorgestellten gesetzlichen Anforderungen. Sie erfahren, wie Sie mit SAP Access Control größtmögliche Transparenz hinsichtlich der Berechtigungsrisiken Ihrer SAP-Landschaft erhalten, wie Sie nachhaltige Prozesse zur Rollen- und Benutzeradministration bereitstellen und selbst im Notfall nicht die Kontrolle verlieren.

Vom Regelwerk der Berechtigungsrisiken über die Methodologie zum Rollenbau, vom Bestellprozess neuer Benutzerkonten bis hin zum Einsatz eines Firefighters – in diesem Buch finden Sie alle wichtigen Informationen im Umgang mit SAP Access Control.

Widmung

Dieses Buch widmen wir unseren bezaubernden Frauen, die trotz der Arbeit daran bis in die späte Nacht jederzeit Verständnis für unser Tun aufbrachten und uns mit Rat und Tat zur Seite standen, sowie unseren Eltern, die uns stets auch weit über die Bucherstellung hinaus unterstützt haben.

Im Text verwenden wir Kästen, um wichtige Informationen besonders hervorzuheben. Jeder Kasten ist zusätzlich mit einem Piktogramm versehen, das diesen genauer klassifiziert:

Hinweis

Hinweise bieten praktische Tipps zum Umgang mit dem jeweiligen Thema.  

Beispiel

Beispiele dienen dazu, ein Thema besser zu illustrieren.  

Achtung

Warnungen weisen auf mögliche Fehlerquellen oder Stolpersteine im Zusammenhang mit einem Thema hin.

Zum Abschluss des Vorwortes noch ein Hinweis zum Urheberrecht: Sämtliche in diesem Buch abgedruckten Screenshots unterliegen dem Copyright der SAP SE. Alle Rechte an den Screenshots hält die SAP SE. Der Einfachheit halber haben wir im Rest des Buches darauf verzichtet, dies unter jedem Screenshot gesondert auszuweisen.

1   Risiken und rechtliche Grundlagen im Berechtigungsmanagement

In diesem Kapitel stellen wir Ihnen zunächst Vorfälle und Gefahrenpotenziale im Bereich des Berechtigungsmanagements vor, die zeigen, welchen Stellenwert das Thema heutzutage im Unternehmenskontext hat. Anschließend geben wir Ihnen einen Überblick über die rechtlichen Grundlagen, die Sie im Berechtigungswesen beachten sollten.

1.1   Aktuelle Vorkomnisse und resultierende Risiken

Im September 2013 wurde der britische Mobilfunkanbieter Vodafone Opfer eines weitreichenden Datendiebstahls. Über zwei Millionen Datensätze deutscher Kunden, die mitunter sensible Informationen wie Bankverbindungen beinhalteten, wurden von einem Datendieb aus den Systemen von Vodafone kopiert. Untersuchungen zufolge handelte es sich bei dem Dieb um einen sog. »Insider« – den Mitarbeiter eines externen Dienstleisters, der unmittelbar IT-Systeme von Vodafone betreute. Dem Täter war es im Zuge dieser Tätigkeit möglich, Zugriff auf Kundeninformationen wie bspw. Name, Adresse, Geburtstag, Geschlecht, Bankleitzahl und Kontonummer zu erhalten und diese letztendlich zu stehlen (Fuest, Die Welt, 2013). Ebenfalls für weltweites Aufsehen hat der Fall des ehemaligen US-Geheimdienstmitarbeiters Edward Snowden gesorgt. Ab 2009 war dieser als externer IT-Mitarbeiter bei dem US-Geheimdienst NSA beschäftigt. Im Rahmen seiner Tätigkeit hatte er Zugriff auf umfangreiche Dokumente, die als »top secret« eingestuft waren. Im Jahr 2013 konnte Snowden mittels seines Zugriffs angeblich ca. 1,7 Millionen Dateien auf einem USB-Stick speichern, die er im Mai 2013 an verschiedene US-Medien übermittelte. Dies löste die sog. NSA-Affäre aus (Greenwald/MacAskill/Poitras, The Guardian, 2013).

Die vorgestellten Fälle zeigen, dass Datendiebstähle nicht allein auf externe Angriffe zurückzuführen, sondern Täter ebenso intern zu suchen und zu finden sind. Im Zuge der voranschreitenden Digitalisierung von Arbeitsabläufen in Unternehmen spielen IT-Systeme heutzutage eine zentrale Rolle für die Erreichung der Unternehmensziele. Gleichzeitig sind Unternehmen jedoch durch den weitreichenden Einsatz von IT-Systemen neuen Gefährdungen ausgesetzt und bedürfen eigener Strategien zum Schutz unternehmenskritischer Daten sowie zur Vermeidung betrügerischer Handlungen. Die von Symantec 2016 veröffentlichte Studie »Internet Security Threat Report 2016« ergab, ähnlich wie es bereits der Vodafone-Fall gezeigt hat, dass externe Hacking-Angriffe im Jahr 2015 in weniger als der Hälfte aller Fälle Ursache für eine Datenschutzverletzung waren (Symantec Corporation, 2016). Gründe für Datenschutzverletzungen sind laut der Studie vielmehr versehentliche Veröffentlichungen von Daten, Diebstahl oder Verlust von Daten bzw. Datenträgern sowie Straftaten von »Insidern«.

Ein ganzheitliches IT-Sicherheitskonzept muss demzufolge verschiedene Blickwinkel einnehmen. Neben etwa der Abwehr von Hacking-Angriffen und der Vorgabe von Verhaltensrichtlinien in Bezug auf den Umgang mit sensiblen Daten ist ein wichtiger Bestandteil die Konzeptionierung und Implementierung eines Berechtigungsmanagements. Grundsätzlich sollte stets sichergestellt sein, dass Anwender eines IT-Systems nur Zugriff auf solche Daten, Informationen und Systeme haben, die sie tatsächlich für ihre tägliche Arbeit benötigen. Wird dieser Grundsatz nicht eingehalten, so besteht für Unternehmen das Risiko, dass Endanwender auf nicht für sie bestimmte, ggf. unternehmenskritische Daten zugreifen können und diese gewollt oder ungewollt in die Hände von Dritten gelangen.

Das Berechtigungsmanagement wird jedoch nicht nur durch Risiken und Aspekte aus dem Themenfeld »IT-Sicherheit« angestoßen. Gleichzeitig soll es ein Unternehmen dazu befähigen, Anwendern mit möglichst geringem Aufwand Zugriff auf Systeme zu gewähren, für die sie berechtigt sind. Kann dies nicht gewährleistet werden, besteht für Unternehmen die Gefahr, dass Ressourcen nicht zielgerichtet eingesetzt und Potenziale nicht erschlossen werden können.

Ein gut aufgestelltes Berechtigungsmanagement kann außerdem dazu dienen, Risiken, die originär in den Geschäftsprozessen angesiedelt sind, zu vermeiden oder zumindest zu verringern. Nehmen wir z.B. an, ein einzelner Mitarbeiter ist in einem Finanzsystem in der Lage, sowohl Stammdaten eines Lieferanten zu ändern als auch Zahlungen freizugeben. Dieser Mitarbeiter könnte nun, wenn er mit der Bezahlung einer Rechnung betraut ist, in den Stammdaten des Lieferanten eigene Kontodaten hinterlegen und hierdurch die Bezahlung der Rechnung des Lieferanten zu seinen Gunsten beeinflussen. Bei im Geschäftsverkehr üblichen Zahlungszielen von teilweise mehreren Monaten kann es lange dauern, bis ein solcher Betrug in einem Unternehmen tatsächlich auffällt. Wäre derselbe Mitarbeiter zudem in der Lage, Lieferanten anzulegen, Bestellungen zu initiieren und den Wareneingang zu buchen, könnte er einen fiktiven Lieferanten mit eigenen Kontodaten erstellen, eine angebliche Bestellung anstoßen sowie einen niemals realisierten Wareneingang buchen und abschließend eine Zahlung zu eigenen Gunsten veranlassen. In diesem Fall kann ein Berechtigungsmanagement sicherstellen, dass einzelne Mitarbeiter erst gar nicht dazu imstande sind, Berechtigungen für mehrere kritische Prozessschritte – die es zu trennen gilt – auf einem einzelnen Benutzerkonto zu kumulieren.

1.2   Rechtliche Grundlagen

Wie die Zwischenfälle zeigen, ist das Zugriffsmanagement ein reales Handlungsfeld betrügerischer (doloser) Aktivitäten und aus diesem Grund seit Jahren auch Gegenstand massiver Regelungen. Trotz der Vielzahl existierender Gesetze und Standards, der Berücksichtigung dieses Themas als Fokuspunkt vieler IT-Audits und dem unserer Meinung nach ausgeprägten Bewusstsein dafür, steht das Zugriffsmanagement nach wie vor enormen Herausforderungen gegenüber. Wächst die Komplexität der IT-Landschaft, so erhöhen sich auch die Aufwände für das Zugriffsmanagement. Aus diesem Grund sind Homeoffice-Regelungen, mobile Zugriffswege und neue Technologien immer auch ein Grund für Kopfschmerzen beim Zugriffsmanager.

Zur Bewältigung der genannten Herausforderungen stehen Ihnen vielfältigste Hilfsmittel zur Verfügung. IT-Sicherheitsstandards regeln bspw. insbesondere die übergeordneten Prozesse des Zugriffsmanagements, da sie auf die Spezifika der Unternehmen nicht eingehen können. Bei Einsatz einer Unternehmenssoftware wie SAP ERP eignen sich darüber hinaus weit verbreitete Leitfäden und Leading-Practices für interne und externe Auditoren, findige Datenschützer oder Compliance-Abteilungen. Diese stehen für viele Anwendungen zur Verfügung und erlauben deutlich detaillierter als Gesetze oder Standards zumindest die Ableitung der Dos und Don’ts im Bereich der Berechtigungsverwaltung eines Systems.

Wir unterscheiden drei relevante Ebenen der Regelungen des Zugriffsmanagements (Abbildung 1.1):

1.   nationale Gesetzgebung,

2.   nationale Interpretation der Gesetzgebung,

3.   internationale Normen und Standards.

Abbildung 1.1: Beispiele für Anforderungsquellen im Zugriffsmanagement

Im Folgenden möchten wir aus den drei genannten Bereichen die aus unserer Sicht vorrangigen Gesetze, Interpretationen und Standards kurz vorstellen.

1.2.1   Nationale Gesetzgebung

In der nationalen Gesetzgebung sind für das Zugriffsmanagement bzw. v.a. für die Einrichtung von Risikomanagement- und internen Kontrollsystemen die folgenden Regelungen zu nennen:

das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG),

der Deutsche Corporate Governance Kodex (DCGK),

das Bilanzmodernisierungsgesetz (BilMoG),

das IT-Sicherheitsgesetz sowie

das Bundesdatenschutzgesetz (BDSG).

Nicht explizit auf das Zugriffsmanagement bezogen, aber dennoch relevant ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, das von Aktiengesellschaften die Errichtung eines Risikomanagementsystems (RMS) fordert, um Risiken identifizieren, analysieren und bewerten zu können. Mit dem Deutschen Corporate Governance Kodex wurde zudem festgelegt, dass der Vorstand den Aufsichtsrat regelmäßig über Compliance-Fragen und das Risikomanagement zu unterrichten hat. Der Kodex erfordert weiterhin die Errichtung eines Audit-Komitees, welches zur Überwachung u.a. des RMS und des internen Kontrollsystems (IKS) dient. Das RMS wie auch das IKS schließen implizit Zugriffsrisiken und Zugriffskontrollen ein.

Auch das Bilanzrechtsmodernisierungsgesetz hat dazu geführt, dass im Handelsgesetzbuch (HGB) ähnliche Überwachungspflichten für Vorstände hinterlegt wurden. So fordert § 107 AktG neben anderem ebenfalls die Überwachung des RMS und IKS durch den Aufsichtsrat.

Im § 9 BDSG werden technische und organisatorische Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten eingefordert. Diese werden in der Anlage zu § 9 Satz 1 BDSG weiter detailliert und enthalten u.a. Forderungen nach logischen und physischen Zugriffskontrollen sowie zur Sicherstellung der Nachvollziehbarkeit von Eingaben, Änderungen oder Löschungen personenbezogener Daten.

Als sehr weitreichend wird zudem das im Juli 2015 verabschiedete IT-Sicherheitsgesetz betrachtet, das den Schutz sog. »kritischer Infrastrukturen« zum Ziel hat. Es zielt auf die Gewährleistung der Datenverfügbarkeit, -integrität, -vertraulichkeit und -authentizität ab. Betreiber kritischer Infrastrukturen sind dazu angehalten, industriespezifische IT-Sicherheitsstandards zu erfüllen und deren Einhaltung im Zweijahrestakt in Form unabhängiger Audits bestätigen zu lassen. Sicherheitsvorfälle sind umgehend zu melden. Aus Sicht der über 2000 von diesem Gesetz betroffenen Unternehmen wird die Einführung eines Information Security Management Systems (ISMS) sowie die Implementierung von Kontrollsystemen vorrangig sein, um die Auflagen des IT-Sicherheitsgesetzes zu erfüllen.

In eine ähnliche Richtung geht das Cybersicherheitsgesetz, dessen Entwurf im Juli 2016 auf EU-Ebene verabschiedet wurde und innerhalb der nächsten zwei Jahre in die nationalen Gesetzgebungen übergeht. Dieses erweitert die betroffenen Betreiber kritischer Infrastrukturen um den illustren Kreis der Online-Dienstleister wie Google und Facebook. Auch diesen wird es in Zukunft obliegen, Sicherheits- und Datenschutzvorfälle zu melden, ihre eingesetzte Soft- und Hardware auf Schwachstellen hin zu analysieren und diese zu beheben (Krempl, Heise Security, 2016).

Branchenspezifische Gesetze gehen über diese allgemeinen Forderungen teilweise deutlich hinaus. So verlangen die Mindestanforderungen für Risikomanagement (MaRisk) von Finanzinstituten die explizite regelmäßige und anlassbezogene Prüfung von IT-Berechtigungen im AT 4.3.1 (Aufbau- und Ablauforganisation). Im AT 7.2 (technisch-organisatorische Ausstattung) wird zudem die Errichtung von Zugriffsmanagementprozessen gefordert, die die Einhaltung des Minimalprinzips gewährleisten und somit Mitarbeitern nur eben jene Rechte zur Verfügung stellen, die diese zur Ausführung ihrer Aufgaben auch benötigen. Explizite Anforderungen an die Funktionstrennung sind in den BTO enthalten. So wird bspw. in BTO 1.1 Tz. 7 die Trennung von Marktbereich (mit Kundenkontakt) und Sicherheiten-Überprüfung (ohne unmittelbaren Kundenkontakt) postuliert.

Weiterhin gilt für an US-Börsen gelistete Unternehmen der Sarbanes-Oxley Act (SOX), welcher den Nachweis der Wirksamkeit interner Kontrollsysteme verlangt. Die amerikanische Aufsichtsbehörde PCAOB empfiehlt hierbei den COSO-Kontrollstandard sowie das IT-Pendant COBIT.

Den Gesetzen gemein ist die Grundforderung nach mehr Kontrolle, strukturierten Kontrollsystemen und der regelmäßigen Überprüfung ihrer Wirksamkeit, wobei sie i.d.R. Details zur Umsetzung und Prüfung vermissen lassen.

1.2.2   Nationale Interpretationen der Gesetzgebung

Aufgrund der vermissten Detailtiefe einiger Gesetze wurden in Deutschland Prüfungsstandards entwickelt, die diese Gesetze aufgreifen und die zugrunde liegenden Anforderungen detaillieren. Das Institut der Wirtschaftsprüfer (IDW) formuliert diese Standards, die weithin unter Auditoren im Einsatz sind. Des Weiteren enthalten verschiedene vom Bundesfinanzministerium veröffentlichte Grundsätze entscheidende Erläuterungen zur Umsetzung des HGBs und der Abgabenordnung.

Die IDW-Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) stellt diverse Sicherheitsanforderungen an rechnungslegungsrelevante Systeme, zu denen auch die Autorisierung zählt. Sie verlangt, dass nur jene Personen auf Daten zugreifen dürfen, die explizit im Voraus dazu autorisiert wurden. Zur Sicherstellung sind physische und logische Schutzmaßnahmen zu treffen. Sie fordert explizit die Trennung bspw. von IT-Betrieb und Entwicklung sowie die Etablierung zusätzlicher Überwachungsmechanismen, falls eine solche Trennung nicht möglich ist. Unternehmen haben zudem Prozesse zur Einrichtung, Änderung, Entziehung und Sperrung von Nutzerrechten zu regeln, sämtliche Aktivitäten in diesem Bereich zu protokollieren und Anforderungen an die Passwortgestaltung zu formulieren.

Der Prüfungsstandard (PS) 330 des IDW gibt Auditoren vor, eben diese Prozesse zu kontrollieren und mit den Sicherheitskonzepten abzugleichen. Es gilt, die Frage zu beantworten, ob die Prozesse eines Unternehmens dazu geeignet sind, die Zugriffsrechte gemäß den Berechtigungskonzepten sicherzustellen und die Identität des Benutzers eindeutig zu ermitteln. Selbstverständlich setzt dies das Vorhandensein eines Sicherheits-/Berechtigungskonzeptes voraus.

Die Grundsätze ordnungsgemäßer datenverarbeitungsgestützter Buchführungssysteme (GoBS) sind auf die Datensicherheit ausgerichtet und fordern gem. Kap. 5 Abs. 2 S. 1 den Schutz von Tabellen-, Bewegungs- und Stammdaten, Informationen zur Software und sonstigen Aufzeichnungen.

1.2.3   Internationale Normen und Standards

In Ebene 3 sehen wir Standards und Rahmenwerke der IT-Sicherheit, welche die meisten Informationen für die Errichtung ordnungsgemäßer Prozesse und Kontrollstrukturen für das Zugriffsmanagement bereitstellen. Wie Sie bereits in Abschnitt 1.2.1 gelernt haben, verweist die PCAOB direkt auf die Rahmenwerke COSO und COBIT.

Außerdem greifen viele Vorstände bspw. auf die ISO-Standards 27001 und 27002 zurück, um überhaupt in der Lage zu sein, die weithin geforderte Ordnungsmäßigkeit ihrer IT-Prozesse beurteilen und sicherstellen zu können.

Standards wie ISO 27001 fordern sehr spezifische Zugriffsmanagementprozesse, Dokumententypen und technische Maßnahmen zur Authentifizierung und Autorisierung. Unter diesen möchten wir v.a. die folgenden Bereiche hervorheben:

Etablierung einer übergeordneten Richtlinie zur Regelung des Zugriffswesens,

formale Prozesse zur Benutzerregistrierung sowie Provisionierung,

regelmäßige Rezertifizierung von Benutzerrechten,

unmittelbarer Entzug von Rechten nach Ausscheiden aus dem Unternehmen,

Trennung von Funktionen zur Verhinderung zu weitreichender Rechte einer einzelnen Person,

besondere Restriktionen und Kontrollen im Zusammenhang mit privilegierten Rechten,

Kontrolle und Limitierung der Nutzung von Anwendungen, die Applikationskontrollen aushebeln können,

Protokollierung und regelmäßige Prüfung sicherheitsrelevanter Events und Nutzer-Aktivitäten,

Protokollierung der Aktivitäten von Systemadministratoren und Betriebs-Mitarbeitern.

Die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bieten Unternehmen eine Unterstützung bei der Definition eines ISMS und enthalten Maßnahmen zur Etablierung geeigneter Sicherheitsmaßnahmen im IT-Umfeld eines Unternehmens. Sie werden regelmäßig an den ISO-27001-Standard angeglichen, stellen jedoch in einigen Punkten detailliertere Anforderungen. So ist gemäß IT-Grundschutz die Trennung von operativen und Kontrollfunktionen zu gewährleisten. Punkt M 2.5 (Aufgabenverteilung und Funktionstrennung) wird dazu konkreter und verlangt die Trennung von:

Rechteverwaltung und Revision,

Netzadministration und Revision,

Programmierung und Test bei eigenerstellter Software,

Datenerfassung und Zahlungsanordnungsbefugnis,

Revision und Zahlungsanordnungsbefugnis.

BSI-IT-Grundschutz-Kataloge

Die vom BSI entwickelten IT-Grundschutz-Kataloge möchten wir hier besonders hervorheben, da diese u.a. in M 4.260 (Berechtigungsverwaltung für SAP Systeme) konkret auf SAP eingehen und die Trennung von Benutzer-, Rollen-, Profil- und Super-Administration erfordern.

Zu den genannten Gesetzen, Interpretationen und Standards gesellt sich eine Vielzahl weiterer, die mal mehr und mal weniger konkret auf das Zugriffsmanagement eines Unternehmens eingehen. Leider können wir uns hier nicht allen widmen. Die Anforderungen an das Zugriffsmanagement möchten wir jedoch vor der Vorstellung von SAP Access Control noch einmal bündeln und mit typischen Fragestellungen von Auditoren versehen, um das Verständnis bzgl. der Notwendigkeit einer Anwendung wie SAP Access Control zu erhöhen.

Wir kategorisieren die Anforderungen in sieben Bereiche, zu denen wir in Abbildung 1.2 typische Fragestellungen bzw. prüfungsseitige Erwartungshaltungen aufgeführt haben.

Abbildung 1.2: Anforderungen an das Zugriffsmanagement

Dies ist keine abschließende Auflistung, doch die Umsetzung dieser Anforderungen wird voraussichtlich den Großteil externer und interner Revisoren zufriedenstellen und ganz nebenbei das Schutzniveau und die Transparenz Ihres Unternehmens signifikant erhöhen.

2   Vorstellung der GRC-Suite von SAP

Nach einer Kurzvorstellung der SAP-Rollen- und Profilstruktur erhalten Sie in diesem Kapitel einen Einblick in die SAP-Suite Governance, Risikomanagement und Compliance (GRC) mit ihren diversen Modulen, gefolgt von einer Einordnung von SAP GRC im Unternehmenskontext des Berechtigungsmanagements. Abschließend geben wir Ihnen einen Überblick über die einzelnen Module der SAP-GRC-Lösung Access Control.

2.1   Kurzvorstellung der SAP-Rollen- und Profilstruktur

Programme, Services, Informationen und Tabellen werden in SAP mittels Berechtigungen vor unerlaubtem Zugriff geschützt. Endanwender benötigen daher in SAP für ihre tägliche Arbeit passende Befugnisse in Form von Transaktionen und adäquat ausgeprägten Berechtigungsobjekten. Im SAP-Berechtigungswesen wird zur Verwaltung von Berechtigungen grundsätzlich zwischen den folgenden Objekttypen unterschieden:

Berechtigungsprofil (kurz: Profil),

Einzelrolle,

Sammelrolle,

abgeleitete Rolle.

Berechtigungen werden in SAP mittels sogenannter Berechtigungsprofile gebündelt. Soll ein Endanwender Zugriff auf bestimmte Informationen oder Programme erhalten, ist es erforderlich, seinem Benutzer(konto) Berechtigungsprofile mit den notwendigen Berechtigungen zuzuweisen.

Unterscheidung zwischen Anwender und Benutzer