Berechtigungskonzept 2.0: Die 5-Konzept-Leitlinie – Teil 2

Hierzu haben wir die folgenden Einzelkomponenten definiert:

(1) Berechtigungs Konzept

• Dieses Konzept enthält alle relevanten Randbedingungen innerhalb der Berechtigungs- und Security-Umgebung
• Wie sieht die Systemlandschaft aus? Wie lautet die Namenskonvention? Welche Prozesse sind involviert? Wie wird mit SAP Standard Usern umgegangen? Welche Tools werden eingesetzt? Welche Compliance Vorgaben (SOD Konflikt Kontrolle, Zugriff auf kritische Berechtigungen …) werden berücksichtigt? etc. etc., …
• Welche Zusatzkomponenten (Hybrid, Cloud etc.) sind im Einsatz?
• Sind Third-Party Tools im Einsatz und müssen diese auf die neue Umgebung angepasst werden etc.?

(2) Rollen Konzept

• Hier werden die jeweiligen Rollen je Fachbereich beschrieben und inhaltlich hinterlegt
• Welche Prozesse je Fachbereich sind involviert?
• Welche Transaktionen/FIORI Apps sind je Prozess notwendig?
• Gibt es Einschränkungen (z.bsp. auf Kostenstelle, Kontenplan etc.) auf Feld Ebene innerhalb der anhängigen Objekte je Transaktion?
• Welche Ableitungskriterien gibt es (z.bsp. unterschiedliche Buchungskreise je Standort etc.)?

(3) IT-support Rollen Konzept

• Dieses Konzept enthält eine komplette Abtrennung der IT-Support-Rollen von den „daily-business“ Rollen?
• Hier werden Rollen zur reinen User-Administration, Rollen-Administration, Interface-Administration, Transport-Administration etc. beschrieben
• Diese IT-support Berechtigungen dürfen dann in den „daily-business“ Rollen nicht berücksichtigt werden

(4) Emergency User Konzept

• Kommt es im System zu einem „Emergency case“ – also ein Fall, der mit den eigentlichen Berechtigungen nicht umgesetzt werden kann, aber zeitnah umgesetzt werden muss, so ist es möglich einen Notfalluser zu nutzen
• Die Nutzung eines solches User muss stark limitiert und reglementiert werden
• Ein Prozess zur Beantragung, Genehmigung, Zuordnung/Nutzung, Dokumentation und Nachvollziehbarkeit (Security Audit Log etc.) muss gewährleistet und berücksichtigt werden
• Der SAP Standard – ohne Zusatztool – bietet hier leider nur sehr eingeschränkte Möglichkeiten und daher muss ein solches Konzept auf organisatorischer Ebene definiert werden
• Welche Third-Party Tools gibt es am Markt und können diesbezüglich eingesetzt bzw. genutzt werden etc.?

(5) Monitoring Konzept

• Das Monitoring Konzept enthält eine Beschreibung periodisch zu prüfender Aufgaben
• Diese Prüfungen müssen revisionssicher analysiert, dokumentiert und abgelegt werden
• Ferner müssen Maßnahmen definiert werden, die vom IST-Zustand wieder zum SOLL-Zustand, führen – sofern Abweichungen vom SOLL-Zustand festgestellt werden etc.

Mit Hilfe der 5-Konzepte-Leitlinie ist eine vollumfängliche Abdeckung der relevanten Security Themen möglich. Bei Bedarf können die entsprechenden Dokumente jederzeit erweitert werden. Durch die Aufteilung der einzelnen Punkte in jeweils eigene Konzepte ist die Übersicht der vorhandenen Elemente sehr viel übersichtlicher und nahvollziehbarer.

Natürlich können hierbei bereits vorhandene Dokumente in einem Unternehmen genutzt und in die oben beschriebene 5-Konzept-Leitlinie überführt werden. Dadurch werden hier direkt kundenspezifische Aspekte berücksichtigt, sofern diese in den bereits vorhandenen Dokumenten berücksichtigt und beschrieben wurden.

Im Zuge einer Implementierung der benannten Einzelkomponenten nutzen wir entsprechende NTT DATA Business Solutions Dokumente, welche die Berücksichtigung und Bearbeitung der jeweiligen Punkte vereinfachen und eine Umsetzungs-Empfehlung enthalten. Diese werden dann nach den entsprechenden kundenspezifischen Voraussetzungen und Wünschen angepasst, sodass am Ende ein vollumfängliches revisionssicheres Konzept mit den oben beschriebenen Einzelkomponenten vorhanden ist.

Für weitere Fragen, Ausführungen, Erklärungen etc. stehen wir natürlich jederzeit sehr gerne zur Verfügung.

– von Thomas Leger, SAP Security Expert, NTT DATA Business Solutions AG –
E-Mail: [email protected]