Beim Thema „Sicherheit im SAP“ denken die meisten sofort an Berechtigungen. Zwar sind Berechtigungen ein wichtiger Baustein mit entsprechender Außenwirkung, jedoch steht er gleichberechtigt neben anderen Elementen, die sich ausgehend von der untersten Systemschicht grob wie folgt aufbauen (für eine Darstellung in diesem Beitrag im Sinne eines Einstiegs haben wir bewusst auf eine Strukturierung z. B. nach IT Grundschutz verzichtet).
Sicherheit auf Ebene (immer mit SAP-Bezug) von:
- Datenbank
- Betriebssystem
- Netzwerk und interne Kommunikation (inkl. Schnittstellen und der Kommunikation zwischen SAP-Systemen über RfC)
- Kommunikation nach außen (z. B. SAP Gateway, Zugänge über eRecruiting, in der Fläche genutzte Applikationen wie Anträge und Freigabeworkflows, etc.)
- Backend (Server und Archive) mit beispielsweise
- Parametrisierung auf System- und Mandantenebene
- Secure Audit Log
- Tabellenprotokollierung (generell und HCM-spezifisch)
- Aktives Monitoring
- Absicherung von Eigenentwicklungen
- Anwendungsebene mit beispielsweise
- Berechtigungen (auf Fach- und ) sowie Notfalluser
- Datenextraktion
- Fachbezogene Sicherheitsthemen (im Fall des SAP PSM beispielsweise die [alten] Sicherheitshinweise aus Hinweis 1515232 oder die verschiedenen Möglichkeiten zur Ableitung von Buchungen in überziehbare Deckungsringe wie z. B. hier beschrieben)
Für jede dieser Ebenen und der dort relevanten Sicherheitselemente werden jeweils im Plan und im Ist drei Dinge benötigt:
Plan (für jede Ebene)
- Konzept zur Aktivitäts-/Zugriffsprüfung
- Konzept zur Protokollierung
- Konzept zu Kontroll-, Berichts- und Überwachungsaktivitäten
Ist (für jede Ebene)
- Einstellungen und Dokumentation der Aktivitäts-/Zugriffsprüfung
- Einstellungen und Dokumentation der Protokollierung
- Nachweis von Kontroll-, Berichts- und Überwachungsaktivitäten
Einzelne Konzepte wie z. B. ein Notfallkonzept und dessen periodische Erprobung können parallel zu den o.g. Konzepten, Einstellungen und Berichten bestehen. Erst aus dem Zusammenspiel all dieser Elemente kann ein auf das SAP bezogenes internes Kontrollsystem entstehen, da ein Element ohne das andere wirkungslos ist. Wem nützt beispielsweise eine Protokollierung, die nicht geregelt überwacht wird? Wie soll man eine Aktivitätsprüfung im Ist kontrollieren, wenn man den zugehörigen Soll-Zustand nicht kennt?
Um einen ersten Weg in die Fragestellungen zu finden, die auf jeder Ebene und in Bezug auf das jeweilige Plan und Ist wichtig sind, existieren mit dem SAP Security Guide (Quelle: SAP AG) und den IT-Grundschutzkatalogen (Quelle: BSI) gute Einstiegspunkte.
Den einzelnen o.g. Ebenen werden wir uns zukünftig periodisch in Ausschnitten widmen, damit Sie einzelne Aspekte bereits besser einschätzen können. Sollten Sie hierbei besondere Wünsche und/oder Anmerkungen haben, sprechen Sie uns gerne an.