Bei einer SAP-Security-Prüfung steht insbesondere die Berechtigungsvergabe im Mittelpunkt. Sie ermöglicht Benutzern erst die Arbeit am SAP-System, kann sich jedoch u. U. Rollen- und Berechtigungs-Management für ERP-Systeme vereinfachen und optimieren. ungewollt zu Funktionstrennungskonflikten oder gar gesetzeskritischen Befugnissen aufsummieren. Daher sind regelmäßig Tools zur technischen Analyse einzusetzen, die den Status quo der Berechtigungsvergabe und somit die Grundlage für eine Optimierung liefern. Eine vollumfängliche SAP-Sicherheitsüberprüfung ist hier jedoch noch nicht zu Ende. Zusätzlich untersucht der Auditor, ob die vier wichtigen Konzepte der SAP Security, namentlich das Dateneigentümer-, das Eigenentwicklungen-, das Berechtigungs- und das Notfalluserkonzept, den Anforderungen genügen. Jedes von ihnen sollte ein ausformuliertes Schriftstück darstellen, das zum einen alle Soll-Vorgaben zum jeweiligen Thema enthält und zum anderen mit dem vorgefundenen Ist-Zustand der Prüfung übereinstimmt. Dateneigentümerkonzept
Wer über wertvolles, persönliches Eigentum verfügt, übernimmt hierfür Verantwortung – so wie bspw.
- Rollen und berechtigungskonzept master.com
- Rollen und berechtigungskonzept master 1
- Rollen und berechtigungskonzept muster 2020
Rollen Und Berechtigungskonzept Master.Com
Das Prinzip lässt sich so erläutern: Wir definieren verschiedene Rollen (z. Projektleiter, Portfoliomanager, Systemadministrator) und teilen diesen Rollen dann Berechtigungen zu. Erst dann nehmen wir die Benutzer und geben ihnen eine oder auch mehrere Rollen. So kommen die Benutzer indirekt über ihre Rollen zu den Berechtigungen. Dieses Prinzip hat den grossen Vorteil, dass ich das Zusammenspiel zwischen Benutzern und Berechtigungen einfacher handhaben kann, insbesondere im Falle von Änderungen. Und die gibt es ja bekanntlich öfters mal. Was ist ein gutes Berechtigungskonzept?. Wenn ich somit den Projektleitern die Berechtigung zum Verändern von Projekten entziehen möchte, dann löse ich dies auf der Rolle "Projektleiter". Alle Benutzer mit dieser Rolle haben dann sofort die veränderten Berechtigungen. Die richtige Struktur ist also gefragt
Es ist die Unmenge an Möglichkeiten, Berechtigungen zu definieren und Benutzern zuzuteilen, welche die Thematik so komplex macht. Mit einer ausgeklügelten Struktur, eben einem guten Berechtigungskonzept, können wir dieser grossen Herausforderung aber beikommen.
Die IT richtet dafür dann ggf. eine eigene Rolle ein, die der Mitarbeiter dann innehat. Herausforderungen und besondere Aufmerksamkeit
Das Berechtigungskonzept ist zu dokumentieren und regelmäßig zu überprüfen, ob die Rechtevergaben noch zutreffen. Es kommt nicht selten vor, dass beim internen Wechsel einer Position oder Funktion zwar neue Rechte vergeben werden, jedoch nicht daran gedacht wird, die bisherigen Rechte zu entziehen. So könnte beispielsweise der Auszubildende im Rahmen seiner Einarbeitung, in der er viele unterschiedliche Unternehmensbereiche kennenlernt, am Ende der Ausbildung vielerlei Zugriffsrechte haben, die er nicht haben dürfte. Rollen und berechtigungskonzept master 1. Daher ist es ungemein wichtig Prozesse zu definieren, dass die Rechtevergabe auch bei Änderungen des Tätigkeitsbereiches nachgezogen wird. Besondere Bedeutung hat dieser Punkt auch bei einem Beschäftigungsende und dem damit verbundenen Off-Boarding. Auch hier sollte gewährleistet sein, dass diese Information bei der IT ankommt, um die Rechte des Ausscheidenden zu entziehen oder zu löschen.
Rollen Und Berechtigungskonzept Master 1
ein Hausherr. Er entscheidet darüber, ob Veränderungen am Gebäude vorgenommen, Sichtschutzhecken im Garten gepflanzt oder überflüssige Altgeräte entsorgt werden müssen und lässt ggf. beim Verlust des Haustürschlüssels sofort ein neues Schloss einbauen. Möglicherweise verbietet er Besuchern, die nicht zur Verwandtschaft gehören, den Zutritt zum Schlafzimmer oder der Tochter, im Haus eine öffentliche Party zu feiern. Ebenso verhält es sich mit dem Konzept der Dateneigentümerschaft. Hierbei übernimmt eine Person die Verantwortung für die Daten eines bestimmten Geltungsbereichs (z. B. SAP-System X oder Systemlandschaft Y) und achtet auf diese, als seien sie der eigene, kostbare Besitz. Er beantwortet gewissenhaft Fragen wie "Dürfen Daten verändert / eingesehen / gelöscht werden? ", "Wie wird bei einem Datenabfluss gehandelt? Rollen und berechtigungskonzept muster 2020. ", "Wer darf wie auf die Daten zugreifen und was mit ihnen machen? ". Ein typisches Einsatzgebiet ergibt sich bei der Anforderung eines neuen SAP-Benutzers. Der Dateneigentümer prüft nun, ob der Beantragende und die zu berechtigende Person überhaupt jeweils dafür befugt sind, welche Daten betroffen wären, ob evtl.
Da ist der Einkaufsmitarbeiter, der in die Buchhaltung wechselt, sich im Anschluss selbst als Lieferanten registriert und dann quasi seine eigenen Rechnungen bezahlt, noch ein minder schwerer Fall. An Brisanz gewinnt das Problem auch durch die pandemiebedingte Forcierung der Arbeit im Homeoffice. Denn bei der Öffnung interner Systeme für Fernzugriffe sollten sämtliche Berechtigungen korrekt und konsistent sein. Nur so lassen sich unbefugte Zugriffe auf kritische Informationen ausschließen und Fehler aufgrund der Intransparenz eines mangelhaft gepflegten Berechtigungskonzeptes vermeiden. Darüber hinaus kann das Berechtigungschaos auch zu erhöhten Kosten führen, wenn etwa Lizenzen für Nutzer bezahlt werden, die die entsprechenden Programme weder brauchen noch nutzen. Rollen und berechtigungskonzept master.com. Und schließlich gewinnt das Thema Berechtigungskonzept auch bei der Wirtschaftsprüfung mehr und mehr an Bedeutung. Höchste Zeit also, das eigene Berechtigungskonzept mal gründlich aufzuräumen. Die gute Nachricht ist, dass es neue intelligente Lösungen gibt, um auch unübersichtliche Berechtigungssituationen wieder in den Griff zu bekommen.
Rollen Und Berechtigungskonzept Muster 2020
B. in das Active Directory) oder auf Anwendungsebene in den einzelnen Anwendungen oder Apps hinterlegt werden. Teilweise regeln diese Berechtigungen sogar Zugriffserlaubnisse bis zur untersten Menüebene. Gründe einer solchen Nutzungskontrolle sind oftmals die Einschränkung von Auswertungsmöglichkeiten über die normale, erlaubte Bearbeitung eines Geschäftsvorfalls hinaus. Abhängig vom Organisationsaufbau richtet die IT vorzugsweise zunächst Globalrechte verschiedener Gruppen ein, die mehrere Personen umfassen und zum Tätigkeitsgebiet passen. Konzepte der SAP Security – IBS Schreiber. So entfallen bei jeder Neueinstellung die aufwendigen Einrichtungen individueller Rechtevergaben. Ein neuer Mitarbeiter, der als Sales-Manager tätig werden soll, wird dann zum Beispiel (pauschal) der Gruppe Vertrieb zugeordnet und erhält alle Berechtigungen, die für die Erfüllung der Aufgaben für diese Tätigkeit bzw. Stellenbeschreibung erforderlich sind. Sollen Mitarbeiter darüber hinaus speziellere Rechte erhalten, definiert die für die Rechtevergabe entscheidungsbefugte Person welchen Umfang diese zusätzlichen Rechte haben sollen.
Zusätzliche Bedeutung erhält eine fehlerhafte Rechtevergabe auch dadurch, dass bei unrechtmäßigen Zugriffen auf Informationen eine meldepflichtige Datenschutzverletzung vorliegen kann. Eine Besonderheit, und gleichzeitig eine Kombination von Zugangs- und Zugriffskontrolle, besteht in der Einrichtung einer sogenannten Single Sign-on Anmeldung am Rechner/System. Dabei werden bereits durch eine Anmeldung am System die bereits vergebenen Zugriffsrechte an alle Anwendungen weitergegeben. Bei der Dokumentation der vergebenen Berechtigungen erfüllt die Zugriffsrechte-Matrix die gleiche Anforderung an eine hinreichende Dokumentation der Zugriffsrechte, wie ein Schließplan für die Dokumentation der Zutrittsberechtigungen. Hilfreiche Links
BSI-Grundschutz: ORP. 4 Identitäts- und Berechtigungsmanagement Umsetzungshinweise zum Baustein ORP. 4 vom BSI mit Muster
Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder. Verfasser: Thorsten Jordan, 11.