SAP®-Notfallbenutzerkonzepte: Soll man SAP_ALL vergeben?

Dieser Beitrag behandelt den Aspekt der Berechtigungsausgestaltung innerhalb von SAP-Notfallbenutzerkonzepten. Konkret: Soll man das Profil „SAP_ALL“ vergeben oder sind differenzierte Notfallbenutzerrollen der bessere Weg?

Das Thema „SAP-Notfallbenutzer“ ist im Mittelstand angekommen. Verstärkt legen die Abschlussprüfer Wert auf eine revisionssichere technische Ausgestaltung der SAP-Notfallbenutzereinsätze, insbesondere unter dem Gesichtspunkt einer integren und nachvollziehbaren Rechnungslegung. Denn direkte Eingriffe in das Produktivsystem mittels „Notfallbenutzern“ mit weitreichenden Berechtigungen verstoßen einerseits gegen die Funktionstrennung zwischen der IT und dem Geschäftsprozess und andererseits gegen das Prinzip der minimalen Berechtigungsvergabe („Need-to-know“) – wenn auch nur für kurze Zeit.

Für Maxim Chuprunov zählt zu einem compliance-konformen Umgang mit SAP-Notfallbenutzern zunächst, dass ein dokumentiertes und gelebtes Notfallbenutzerkonzept vorliegt. Zu einem solchen Konzept gehören laut Chuprunov ein eingeschränkter Zugriff auf die Zugangsdaten (kein Shared Access!), vorab definierte Voraussetzungen für einen Notfallbenutzereinsatz, ein Genehmigungs- und Benachrichtigungsprozess, eine lückenlose Protokollierung der Notfallbenutzereinsätze und eine regelmäßige Auswertung der Notfallbenutzer-Protokolle. [1]

Des Weiteren hält Maxim Chuprunov eine technische Einschränkung der Berechtigungen der Notfallbenutzeraccounts auf verschiedene Einsatzszenarien und Benutzerkreise für wünschenswert. Ein Punkt, den wir auch von unseren Kunden immer wieder hören. Wir hingegen vertreten den Standpunkt, dass sich Notfallbenutzereinsätze auf wirkliche Notfälle beschränken sollten. Denn eine hohe Anzahl an Notfallbenutzereinsätzen deutet nach unserer Erfahrung auf Unzulänglichkeiten in den zugrundeliegenden Prozessen und den Systemintegrationen hin. Diese sollten nach unserer Auffassung zeitnah und prioritär behoben werden. Bei einer geringen Anzahl von Notfällen sehen wir jedoch keinen Bedarf an einer Unterscheidung bei den Notfallbenutzerberechtigungen und sehen eher die Gefahr, dass dadurch ein Schatten-Berechtigungskonzept etabliert wird.

Unsere Lösung vergibt aus diesem Grund schlicht „SAP_ALL“. Die Integrität der Daten und die Nachvollziehbarkeit der Einsätze stellen wir über einen verpflichtenden Review aller Notfallbenutzer-Aktivitäten  sicher (Security Audit Logs). Hierbei wird direkt im Anschluss eines jeden Notfallbenutzereinsatzes der individuelle Security-Audit-Log einem Reviewer zur Kommentierung und Freigabe (Approve / Reject) zugewiesen. Somit werden alle Einsätze, zusammen mit der Einsatzbegründung (z. B. ein Verweis auf ein Ticket), der Protokoll-Datei und dem Review-Ergebnis in einer Datenbank abgelegt. Diese kann im Rahmen von Audits komfortabel ausgewertet werden.

[1] Vgl. Chuprunov, Maxim: Handbuch SAP-Revision: Internes Kontrollsystem und GRC, Rheinwerk, 2012, S. 242 f. Link: https://books.google.de/books?id=YmBYuwAACAAJ&hl=de&source=gbs_book_other_versions, abgerufen 17.9.2018.