Information und Bildungsarbeit von und für die SAP-Community

SoD-Konzepte versus Notfalluser: Ist Ihr Notfalluser-Konzept mehr als eine Karteileiche?

Gefragt, ob sie jemals ihr Notfalluser-Protokoll prüfen, müssen die meisten Unternehmen nach wie vor passen. Erfahrungen aus der GRC-Praxis zeigen, dass diese meist in Archiven verstauben, statt dass sachgerecht kontrolliert und dokumentiert wird.
E3-Magazin
5. Juni 2024
avatar

Verstärkte Kontrollen des BSI in Bezug auf die für den Herbst erwartete NIS2-Richtlinie haben Wirtschaftsprüfer das Thema Notfallnutzer ganz oben auf ihre Agenda gehoben, und das gilt nicht mehr nur für Kritis-Unternehmen. Sie prüfen insbesondere, inwieweit die Kontrollen in die firmeninternen SoD-Konzepte (Segregation of Duties) eingebunden sind. Denn immer noch werden diese kaum zusammen betrachtet und verursachen eine erhebliche wie unnötige Sicherheitslücke, wenn die Superuser weitaus mehr Berechtigungen haben, als sie laut internem SoD-Konzept sollten. „Dies ist weder zielführend noch praktikabel für eine ganzheitliche Security-Strategie“, erklärt Ralf Kempf, IT-Security-Evangelist und CTO von Pathlock Deutschland.

Monolithisch oder hybrid

„Die Komplexität der IT-Systeme, oft nicht mehr monolithisch, sondern hybrid, wächst rasant, folglich werden auch die SoD-Konzepte umfangreicher und undurchsichtiger. Es ist unabdingbar, sie aktuell zu halten, transparent darzustellen und zu harmonisieren. Notfallkonzepte können dabei nicht länger losgelöst betrachtet werden“, betont Kempf. Wichtig ist, die Perspektive der Wirtschaftsprüfer zu berücksichtigen. Diese sehen Super-user-Konzepte grundsätzlich kritisch, weil sie die Integrität der Systeme und auch finanzieller Daten beeinflussen können. Um das Vertrauen in die Finanzberichte des Unternehmens zu wahren, achten sie folglich darauf, dass es klare Regeln und Kontrollen gibt, wer Emergency-User-Rechte erhält und wie diese genutzt werden.

Diese Aufgabe der Konzeptharmonisierung, den Vorgaben nachzukommen und Transparenz durch saubere Protokollierung zu schaffen, stellt Unternehmen, für die oft bereits die ursprüngliche SoD-Implementierung eine beträchtliche Aufgabe war, vor neue Herausforderungen. Auch wenn es dafür keine Universallösung gibt, existiert doch eine Reihe guter Praktiken, die dazu beitragen, den Prozess effizient zu gestalten. Dazu gehört, ein bereits vorhandenes Regelwerk für das eigene Unternehmen auf den Prüfstand zu stellen.

Die Überprüfung auf Umfang und Relevanz muss dabei neue Entwicklungen und technologische Fortschritte in den Anwendungen berücksichtigen und nötigenfalls eine individuelle Anpassung der Regelwerke zur Folge haben. Die Notwendigkeit jeder Rolle und jedes T-Codes ist – einschließlich der aktuell gültigen Berechtigungen – in Bezug auf die tatsächliche Nutzung zu prüfen. Sind sie keinem Benutzer zugewiesen oder werden sie von anderen verwendet, sollten sie aus Sicherheitsgründen entfernt werden.

Relevanzprüfung

Wenn die Relevanzprüfung ergibt, dass ein Mitarbeitender eine Berechtigung länger als ein Jahr nicht genutzt hat, sollte diese aus dem Profil gelöscht werden. Das klingt zunächst einfach, erfordert aber technischen Aufwand und Expertise. Denn wer einem Benutzer eine Berechtigung entzieht, muss die bestehenden Rollen ändern, was manuell nicht immer leicht ist. Um den Prozess zu verschlanken, ist es gängige Praxis, zuerst die konfliktträchtigen Berechtigungen zu entfernen und erst in einem zweiten Schritt die sensiblen. Damit Mitarbeiter nicht das Gefühl haben, ihnen würden relevante Rechte entzogen, hilft es, die jeweiligen statistischen Nutzerdaten vorzulegen. Unwiderlegbare Beweise der Nichtnutzung helfen, Widerstände zu überwinden und auch Vorgesetzte zu überzeugen. Auf diese Weise bleibt das Regelwerk übersichtlich und effektiv an die betrieblichen Gegebenheiten angepasst.

Schulterschluss mit Wirtschaftsprüfern

Entscheidend ist, sowohl die internen als auch die externen Auditoren als Verbündete mit dem gleichen Ziel eines guten Sicherheitskonzepts zu sehen. Enge Zusammenarbeit und eine lebendige Diskussionskultur ermöglichen Kompromissbereitschaft und Flexibilität auf beiden Seiten. Es muss möglich sein, konkret anzusprechen, wenn etwas im Regelwerk unangemessen erscheint. Auditoren sind oft bereit, eine Alternative zu akzeptieren, wenn diese das Sicherheitsniveau nicht verändert.

Management einbinden

Sinnvoll ist, im Zweifel auch den Wirtschaftsprüfer nach geeigneten Lösungen zu fragen und diese mit dem Ziel zu validieren, schnelle Erfolge zu erzielen und die Unterstützung des Managements zu gewinnen. Die Entscheider-Ebene sollte motiviert werden nachzufragen, wenn sie Hintergrundinformationen für das Verständnis und bei der Klärung bestimmter SoD-Regeln benötigt. Wenn eine Rolle als unnötig erachtet wird, können die Auditoren versucht sein, sie zu streichen. Mit der richtigen Argumentation hinter einer bestimmten Regel oder Anforderung sind Manager besser in der Lage, Änderungen zu beurteilen und Verbesserungen voranzutreiben. Ein gut informiertes Managementteam kann so zu einem starken Partner für das Projekt werden. 

Unabhängig davon, wie kompetent ein internes Auditteam ist, sollte zusätzliche Unterstützung durch erfahrene Experten in Anspruch genommen werden. Bei deren Auswahl ist es eminent wichtig, vorsichtig vorzugehen und vorab gründlich zu recherchieren. Grundsätzlich gilt: Ein Beratungsunternehmen sollte mindestens über die gleichen Fachkenntnisse verfügen wie die Prüferteams. Wenn beide Parteien die gleiche Terminologie verwenden und die gleichen Überzeugungen und Standards teilen, kann dies erhebliche Kosten einsparen und effektiver helfen, zukünftige Missbrauchsversuche zu vermeiden.


Zum Partner-Eintrag:

Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.