In meiner vierteiligen Blog Reihe beleuchte ich das Risiko weitreichender Zugriffe auf SAP Systeme. Sie erfahren, welche Risiken bestehen, wie man die Risiken analysieren kann und welche Maßnahmen ergriffen werden können.
Teil 1 der Serie: „Aktivitäten von SAP Superusern“
1. SAP Systeme offen wie Scheunentore
2. Analyse des Risikos von Nutzern mit SAP Administrationsrechten
3. Do it yourself: So gehen Sie Nutzern mit SAP Administrationsrechten auf den Grund
4. Advanced Analytics: was Sie über Nutzer mit SAP Administrationsrechten noch wissen wollten – aber nie getraut haben zu fragen
SAP Adminstratorenrechte
Buchen mit SAP Administrationsrechten sollte sich eigentlich von selbst verbieten. Aber häufig ist das für bestimmte Anwender bequem. Erschrocken war ich auf einem Audit, wo Millionen Buchungen durch Nutzer mit SAP Administrationsrechten gebucht wurden. So etwas gibt es wirklich … und es ist gar nicht so selten! Mein Tipp: Prüfen Sie bei sich im Unternehmen, ob Sie offene Scheunentore haben. Denn: Es besteht das nicht unerhebliche Risiko, dass Nutzer mit SAP Administrationsrechten das interne Kontrollsystem leicht umgehen können. Umgangen werden kann somit das Vier-Augen-Prinzip, Genehmigungen und Funktionstrennungen wie z.B. Rechnungen buchen und Auszahlen. Es ist sogar möglich, mehrere Funktionstrennungsverstöße zu begehen, sodass vollständige Geschäftsvorfälle nur von einer einzigen Person durchgeführt werden können, beispielsweise von der Kreditorenstammdatenanlage über eine Bestellung bis zur Rechnungsprüfung und Auszahlung. So könnten Fake-Lieferanten installiert werden und anschließend Geld aus dem Unternehmen an diese Lieferanten ausgezahlt werden.
Bei der Vergabe von Berechtigungen im SAP Systemen sollte das Minimalprinzip gelten. D.h. jeder Nutzer hat nur die Zugriffsrechte, die er für die Erledigung seiner Arbeiten braucht. Eine Einschätzung, ob Zugriffsrechte auch wirklich minimal zugewiesen werden, ist in der Praxis häufig undurchsichtig und komplex. Aber mit einfachen Analysen kann man zumindest untersuchen, dass nicht mit umfangreichen SAP Administrationsrechten im Produktivsystem gearbeitet wird. Durch eine Analyse von Buchungen durch Nutzer mit SAP Administrationsrechten können folgende Fragestellungen reflektiert werden:
- Gibt es Buchungen durch Nutzer mit SAP Administrationsrechten?
- Wie häufig wird mit Administrationsrechten gebucht?
- Haben Nutzer der Fachabteilungen SAP Administrationsrechte?
- Durch anschließende Befragung der Nutzeradministration kann herausgefunden werden, ob es überhaupt ein Berechtigungskonzept gibt.
Warum buchen Superuser in SAP?
Superuser sollten generell nicht in SAP buchen. Aus folgenden Gründen kommt dies trotzdem vor:
- Es gibt kein ordentliches Berechtigungskonzept und Nutzer werden mit SAP Administrationsberechtigungen ausgestattet, damit sich niemand mehr beschwert.
- Führungskräfte behalten sich umfassende Berechtigungen auch im SAP System vor.
- Automatische Batch-Jobs, die einen SAP Nutzeraccount zur Verarbeitung benötigen, haben umfangreiche SAP Administrationsrechte. Seien Sie nicht zu nachgiebig, wenn behauptet wird, dieses sei aus technischen Gründen nicht anders möglich!
Wie verhindert man, dass Superuser in SAP buchen?
Die SAP Administrationsrechte sollten nur sehr wenigen Personen vorbehalten sein. Zudem sollten diese Administrationsrechte nicht für Geschäftsvorfälle des täglichen Betriebs gebraucht werden. Es sollte dafür eine klare Richtlinie in Ihrem Unternehmen geben. Zudem sollte regelmäßig geprüft werden, ob SAP Nutzer mit Administratorrechten tatsächlich Buchungen durchgeführt haben.
Im nächsten Blog Post erfahren Sie, wie man automatisch analysiert, ob es ein Problem mit SAP Administrationsrechten gibt und wie umfangreich dieses Problem in Ihrer Firma ist.
Es handelt sich hierbei um einen prozessübergreifenden Indikator. In meiner letzten Serie habe ich Ihnen eine Vielzahl von prozessübergreifenden Indikatoren vorgestellt.