SAP Access Risk Management: Wichtige Aspekte verstehen

Access Risk Management in SAP stellt sicher, dass Nutzer nur die Zugriffe besitzen, die sie für ihre Arbeit benötigen. Es ist ein zentraler Bestandteil moderner GRC-Strategien (Governance, Risk & Compliance) und effektiver Identity Access Governance (IAG). Ziel ist die proaktive Erkennung und Minderung von Zugriffsrisiken, wie Segregation-of-Duties-(SoD)-Konflikten, um Betrug, Fehler und Compliance-Verstöße zu verhindern.

Herausforderung: Durchsetzung der geringsten Privilegien

Das Prinzip der geringsten Privilegien (PoLP) schreibt vor, dass Nutzer nur über die minimal erforderlichen Berechtigungen verfügen. Dies reduziert die Angriffsfläche und begrenzt Schäden bei kompromittierten Konten.

Die Umsetzung in SAP ist jedoch schwierig:

Komplexes Berechtigungsmodell: Tausende Berechtigungsobjekte führen zu sich überschneidenden, oft schlecht dokumentierten Rollen.
Technische Schulden: Temporäre Berechtigungen aus früheren Implementierungen werden dauerhaft, was zu übermäßigen Rechten und Sicherheitsrisiken führt.
Dynamische Geschäftsanforderungen: Rollenwechsel, temporäre Projekte und Ad-hoc-Zugriffe fördern „Privilege Creep“, da alte Rechte selten widerrufen werden.

Vier Säulen des SAP Access Risk Managements

Zugangsrisikoanalyse (ARA):

Die ARA bildet die Grundlage, um Zugriffsrisiken zu erkennen und zu quantifizieren. Sie scannt Benutzer-, Rollen- und Profilzuweisungen nach vordefinierten Regeln und identifiziert Risiken wie SoD-Konflikte.
Beispiel: Ein Nutzer, der Lieferantenstammdaten pflegt und gleichzeitig Zahlungen verarbeitet, könnte betrügerische Aktivitäten verschleiern.

Die Sicherheitsforscher von Onapsis nennen typische Beispiele für besonders riskante SoD-Konflikte in SAP:

Kritischer und sensibler Zugriff

Über SoD hinaus deckt die Zugangsrisikoanalyse (ARA) auch Risiken einzelner leistungsstarker Berechtigungen auf. Kritischer Zugriff betrifft Berechtigungen, die Betriebsstabilität oder Datenintegrität gefährden können. Sensibler Zugriff umfasst Rechte auf vertrauliche Informationen, etwa Gehaltsdaten der Personalabteilung.

Hochriskante Berechtigungen, die streng kontrolliert werden sollten, sind unter anderem:

Entwicklerzugriff in der Produktion: Tools wie der ABAP-Debugger ermöglichen Manipulationen ohne Audit-Trail.
Stammdatenmanagement: Unkontrollierter Zugriff auf Lieferantenbankdaten, Kundenkreditlimits oder Materialpreislisten kann zu Betrug oder Betriebsstörungen führen.
Basis- und Anwendungsmanagement: Rechte zur Verwaltung von Benutzern, Rollen, Systemänderungen und Client-Aufgaben müssen auf wenige Administratoren beschränkt sein.

Säule 2: Sicheres Rollendesign und -behebung

Die ARA liefert die Daten für die Gestaltung sicherer Rollen und die Bereinigung bestehender Rollen. Ziel ist ein vereinfachtes, konformes Rollendesign ohne SoD- oder kritische Zugriffsrisiken.

Best Practice: Master-/Derived-Rollen

Masterrollen enthalten alle funktionalen Berechtigungen einer Aufgabe (z. B. Kreditorenbuchhalter), jedoch ohne Organisationswerte. Abgeleitete Rollen erben diese Rechte und erhalten zusätzlich die spezifischen Werte für einzelne Buchungskreise oder Werke. Vorteile:

Konsistenz: Aufgaben werden über alle Organisationseinheiten identisch ausgeführt.
Effizienz: Neue Transaktionen werden einmal in der Masterrolle ergänzt und automatisch auf alle abgeleiteten Rollen übertragen.

Säule 3: Compliance-konforme Benutzerbereitstellung

Nach dem Rollendesign stellt die dritte Säule sicher, dass Zugriffe über einen strukturierten, workflowbasierten Prozess zugewiesen werden. Unsichere Methoden wie E-Mail-Anfragen oder Papierformulare werden durch Systeme wie SAP GRC Access Request Management ersetzt.

Workflow-gestützte Genehmigungen beinhalten eine Echtzeit-Risikoanalyse, die Genehmiger zwingt, potenzielle SoD-Risiken vor der Zuweisung zu prüfen. Jede Aktion wird protokolliert, wodurch ein vollständiger, unveränderlicher Prüfpfad entsteht, der die Compliance etwa nach SOX unterstützt.

Säule 4: Emergency Access Management (EAM)

EAM, oft „Firefighter“ genannt, regelt temporäre, erhöhte Zugriffe in Notfällen kontrolliert und überprüfbar. Ziel ist es, die unsichere Praxis gemeinsamer Administratorpasswörter zu ersetzen.

Methoden des Notfallzugriffs:

Feuerwehrmann-ID: Temporärer Zugriff auf ein vordefiniertes, leistungsstarkes Benutzerkonto.
Feuerwehrmann-Rolle: Dem eigenen Benutzerkonto wird temporär eine leistungsstarke Rolle zugewiesen.

Protokollierung und Überprüfung:

Alle Notfallsitzungen werden detailliert protokolliert – Transaktionen, Datenänderungen und Sicherheitsereignisse. Nach der Sitzung prüft ein unabhängiger Controller die Aktivitäten, bestätigt deren Angemessenheit und erstellt einen dokumentierten Prüfpfad für alle privilegierten Aktionen.

Modernisierung der Governance: Von manuellen Überprüfungen zu kontinuierlicher Kontrolle

Ein Rahmen für die vier Säulen des Access Risk Managements ist unerlässlich, doch seine Wirksamkeit hängt von der Verwaltung ab. Viele Unternehmen setzen noch auf manuelle Zugriffsüberprüfungen – langsam, fehleranfällig und in modernen SAP-Landschaften kaum skalierbar.

Einschränkungen manueller Zugriffsüberprüfungen

Traditionell erfolgen User Access Reviews (UARs) vierteljährlich oder halbjährlich, oft mit Tabellenkalkulationen. Diese Methode ist anfällig für Probleme:

Ineffizienz und Fehler: Das Exportieren von Daten in Tabellen ist zeitaufwendig, fehleranfällig und schwer nachvollziehbar. Copy/Paste-Fehler oder fehlerhafte Formeln führen zu unzuverlässigen Ergebnissen.
„Reviewer-Müdigkeit“: Wiederholte Überprüfungen großer Tabellen führen dazu, dass das Prüfen zur lästigen Pflicht wird, statt eine echte Kontrolle zu sein.
Keine Echtzeit-Sicherheit: Manuelle Reviews liefern nur Momentaufnahmen. Zwischen den Prüfungen können Risiken unbemerkt entstehen und ausgenutzt werden.

Moderner Ansatz: Automatisierte, kontinuierliche Kontrolle

Heute setzen Unternehmen auf Identity Access Governance (IAG), die Risiken automatisch und kontinuierlich steuert. Vorteile:

Proaktive Risikoprävention: Risiken werden direkt im Workflow der Benutzerbereitstellung erkannt. SoD-Konflikte und andere Zugriffsrisiken werden gestoppt, bevor sie ins System gelangen.
Optimierte Abläufe und Audit-Bereitschaft: Automatisierung vereinfacht den Zugriffslebenszyklus von Onboarding bis Offboarding. On-Demand-Berichte und unveränderliche Prüfpfade reduzieren Aufwand, Kosten und Stress für Audits.
Zentrale Transparenz und Kontrolle: Eine Plattform liefert eine einheitliche Sicht auf alle Berechtigungen und Rollen im Unternehmen, beseitigt Datensilos und unterstützt die konsequente Durchsetzung von Richtlinien.

Onapsis: Verbesserung der SAP-Zugriffskontrolle

Viele GRC- und IAG-Tools verwalten Geschäftsprozesskontrollen und Workflows, lassen aber die technische Ebene oft außen vor. Der Zugriff ist nur so sicher wie das zugrunde liegende System.

Onapsis ergänzt bestehende Governance-Strategien durch tiefgehende technische Validierung der SAP-Umgebung. Es identifiziert Schwachstellen, Fehlkonfigurationen oder unsicheren benutzerdefinierten Code, die es einem Nutzer ermöglichen könnten, Einschränkungen zu umgehen.

Beispiel: Onapsis Assess erkennt kritische Systemschwachstellen, die trotz scheinbar eingeschränkter Berechtigungen missbraucht werden könnten. So wird sichergestellt, dass Zugriffsrichtlinien auf einer sicheren, wirklich konformen Basis stehen.

Der Effekt ist messbar: Ein kanadisches Medienunternehmen integrierte Onapsis in seinen Entwicklungsprozess, bestand sein PCI-DSS-Audit erfolgreich und reduzierte den manuellen Code-Überprüfungsaufwand um 90 %.