Der heutige Blog Post zur „Do it yourself“ Auswertung der Aktivitäten von SAP Superusern zeigt Ihnen, welche Grundlagen für die Analyse bestehen, wie sie die Ergebnisse mit Excel auswerten können und die jeweiligen Ergebnisse zu bewerten sind.
Teil 3 der Serie: „Aktivitäten von SAP Superusern“
1. SAP Systeme offen wie Scheunentore
2. Analyse des Risikos von Nutzern mit SAP Administrationsrechten
3. Do it yourself: So gehen Sie Nutzern mit SAP Administrationsrechten auf den Grund
4. Advanced Analytics: was Sie über Nutzer mit SAP Administrationsrechten noch wissen wollten – aber nie getraut haben zu fragen
Welche Grundlagen bestehen im Zusammenhang mit weitreichenden SAP Berechtigungen?
In dem Prüfleitfaden SAP ERP 6.0 des DSAG-Arbeitskreises Revision und Risikomanagement mit dem Stand vom Mai 2015 werden klare Richtlinien für die Vergabe von SAP_ALL und SAP_NEW definiert. Hierzu heißt es in dem entsprechenden Dokument:
SAP_ALL:
„Das Profil SAP_ALL ist im Produktivsystem nicht zulässig. SAP empfiehlt, dieses Profil nur dem Notfallbenutzer zuzuweisen.“
(Quelle: DSAG Prüfleitfaden SAP ERP 6.0 S. 42)
SAP_NEW:
„Das Profil SAP_NEW ist im Produktivsystem nicht zulässig. SAP empfiehlt, die SAP_NEW_* Profile nach einem Upgrade aufzulösen und die benötigten Teilberechtigungen zu verteilen sowie SAP_NEW zu löschen.“ (DSAG Prüfleitfaden SAP ERP 6.0 S. 43)
Warum sind die Aktivitäten von Superusern so kritisch?
Bei den Berechtigungen SAP_ALL und SAP_NEW handelt es sich um Sammelprofile mit weitreichenden Berechtigungen im SAP System. Ein Nutzer mit SAP_ALL kann ausnahmslos ALLE Aufgaben in einem SAP System durchführen. Dazu zählen auch das deaktivieren von sicherheitsrelevanten Systemeinstellungen, oder interne SAP Kontrollen. Die Auswirkungen sollten Ihnen klar sein: Spurenbeseitigung von Manipulationen. Ähnlich verhält es sich mit dem SAP_NEW Profil, mit dem es ebenfalls möglich ist nicht autorisierte Aktivitäten durchzuführen und daher nach jedem Release-Wechsel komplett gelöscht werden sollte.
Mit Hilfe dieser Profile ist es somit möglich das Radierverbot nach §239 HGB auszuhebeln, weshalb die DSAG, im Falle des SAP_ALL Profils, ausschließlich auf die Vergabe an einen Notfallbenutzer hinweist.
Wie können die Aktivitäten nun ausgewertet und beurteilt werden?
zapliance bietet Ihnen die Möglichkeit die Analyse von Superusern durchzuführen. Mit Hilfe eines Excel Exports auf Profilebene (die auf Grundlage eines pseudonymisierten Nutzers gebildet werden), können Sie analysieren welcher Nutzer von diesen Rechten Gebrauch gemacht hat und wie umfangreich er es getan hat. Hierfür nehmen wir uns eine Pivot Tabelle zur Hilfe. Die Dimensionen für die Untersuchung stellen dabei die Nutzer, die Belegarten und die verwendeten Transaktionscodes dar, wobei die Anzahl der Belege aufsummiert wird.
Wie beurteilt man die resultierende Analyse?
Sollte sich bei Ihnen ein ähnliches Bild zeigen, dann haben Sie definitiv ein strukturelles Problem mit Ihren SAP Berechtigungen. Ein kurzer Blick in die Excel Datei verrät mir, dass sowohl USER_10, als auch USER_18 Dialognutzer sind. Den Unterschied und eine gesonderte Auswertung zeige ich Ihnen im nächsten Blog Artikel.
Einerseits sollten Sie sich in der Folge die Frage stellen, warum USER_10 so umfangreiche Rechte erhalten hat und damit so viele verschiedene Buchungen mit diversen Transaktionen und Belegarten durchführen durfte. Wird an dieser Stelle das Konto für Batch-Inputs verwendet? Andererseits hat USER_18 lediglich 4 Buchungen getätigt und hat ebenfalls SAP_ALL Rechte. Um das Risiko der Manipulation von beliebigen Geschäftsdaten zu unterbinden, sollten lediglich Rechte für einen bestimmten Aufgabenbereich vergeben werden, sodass der jeweilige Mitarbeiter seine Aufgaben im Unternehmen erfüllen kann. Konkret sollte dann für USER_10 geprüft werden, für welche Geschäftsvorfälle der User genutzt wird und die Berechtigungen entsprechend einschränken.
Falls Sie die Auswertung für Ihre Daten durchführen möchten, dann haben Sie hier die Möglichkeit die Vorlage runterzuladen und mit Ihren Daten zu füllen. Die Analyse wird dann auf Grundlage Ihrer Daten aktualisiert.