Freigaben von SAP-Notfallbenutzereinsätzen: ex ante oder ex post?
SAP und die richtige Handhabung von Super Usern (Notfallbenutzer) ist ein Dauerthema bei der Jahresabschlussprüfung. Im Folgenden gehe ich auf die Ausgestaltung eines Notfallbenutzer-Konzepts ein.
Die Frage, die sich bei der Erarbeitung eines Notfallbenutzer-Konzepts als erstes stellen sollte, ist die Definition des Notfalls selbst. Für uns ist ein „Notfall“ im Wesentlichen durch zwei Kriterien gekennzeichnet: Erstens, zeitkritische Geschäftsprozesse können nicht ausgeführt werden, wobei die Betonung auf „zeitkritisch“ liegt. Anderweitige Maßnahmen bzw. Begründungen sollten unserer Meinung nach nicht über Super User durchgeführt werden, sondern über den Standardprozess. Und zweitens, SAP-Administratoren bzw. Entwickler haben direkten Zugang zu den Tabellen des Produktivsystems unter Umgehung des Transportwesens.
Hat man den „Notfall“ definiert (und die Definition dokumentiert), stellt sich im Anschluss die Frage nach dem richtigen Freigabeprozess für die Notfallbenutzer-Einsätze. Hier existieren zwei unterschiedliche Auffassungen: Beim ersten Ansatz muss jeder Notfallbenutzereinsatz unter Einhaltung einer Funktionstrennung von einem Approver vorab freigegeben werden. Oft wird dieser Ansatz mit einer Ausdifferenzierung der Berechtigungen von Super Usern kombiniert, wofür es gute Gründe gibt. Beispielsweise kann für den ersten Einsatz eine Notfallbenutzerrolle vergeben werden, bei der das Berechtigungsobjekt „S_DEVELOP“ nur mit Anzeigerechten ausgestattet ist, um den Fehler einzugrenzen und ggfls. auch schon zu beheben. Die Argumentation ist hier, dass ansonsten ein Entwickler mittels „Debugging & Replace“-Rechten alle Kontrollmechanismen im System umgehen könne und auch ein Logging wenig nutze, wenn bis zum Review der Schaden bereits eingetreten ist.
Wir vertreten hingegen einen anderen Ansatz, den wir auch in unser Notfallbenutzer-Suite „ISPICIO_E“ umgesetzt haben. Wie eingangs erwähnt, plädieren wir für eine sehr restriktive Handhabung der Notfallbenutzereinsätze. Und in einem Notfall, bei der zeitkritische Geschäftsprozesse die Firmenziele gefährden, sollte unseres Erachtens keine Zeit verloren gehen, um den Fehler zu beheben. Aus diesem Grund erhält ein Berechtigter in unserer Lösung sofort umfassenden Zugriff auf das Produktivsystem (SAP_ALL). Unsere Suite legt hierbei für jeden Notfallbnutzereinsatz eine einmalige Benutzerkennung im System an und verknüpft diese mit dem Security Audit Log. Nach Abschluss dieses Notfallbenutzereinsatzes wird die Benutzerkennung wieder gelöscht und die zugehörigen SAL-Einträge abgezogen.
Die Integrität des Systems stellen wir hierbei über mehrere Maßnahmen sicher. Erstens, im normalen Betrieb existiert kein Notfallbenutzer im Produktivsystem. Es gibt also keine Möglichkeit, dass dieser Benutzer unbemerkt eingesetzt wird. Daneben haben wir einen verpflichtenden, 100-%-Review der Notfallbenutzereinsätze in unserer Software umgesetzt. Nach jedem Einsatz wird automatisch der betreffende Ausschnitt aus dem Security-Audit-Log (SAL) einem Reviewer, unter Einhaltung der Funktionstrennung, zur Freigabe vorgelegt (per E-Mail-Benachrichtigung). Dieser muss die SAL-Einträge prüfen und das Ticket schließen (Approve / Reject). Die komplette Kette eines Notfallebnutzereinsatzes wird somit in einer durchsuchbaren Datenbank abgelegt und kann auf einem Dashboard angezeigt werden (Wer hat beantragt? Was war die Begründung? Was wurde gemacht? Wer hat den Review wann durchgeführt und was war das Ergebnis?).
Dieses Setup erfreut insbesondere die Revision (intern/extern). Denn sie kann gezielt Stichproben ziehen und bspw. bei den „durchgefallenen“ Notfallbenutzereinsätzen die Heilungsmaßnahmen abfragen.
Link:
