Das Risikoregelwerk CRAF der Xiting AG – Schluss mit kritischen Berechtigungen und SoD!
Selbst in hochentwickelten Geschäftsumgebungen sind die Herausforderungen der Berechtigungsverwaltung und die Vermeidung von Konflikten in Rollen und Berechtigungen für Endbenutzer allgegenwärtig. In diesem Streben nach effizienten und sicheren Zugriffskontrollen haben wir mit unserem CRAF (Critical Authorizations Framework) ein Instrument zur Risikominimierung und Compliance-Optimierung mittels der Möglichkeit eines kundenindividuellen Risikoregelwerk geschaffen. Die Verwaltung von kritischen Berechtigungen und Funktionstrennungskonflikten (engl. Segregation of Duties – SoD) kann eine enorme Herausforderung für Unternehmen darstellen, die sensible Daten schützen und gleichzeitig die betriebliche Effizienz gewährleisten müssen. SAP Security ist mehr als nur ein technisches Schlagwort; sie bildet das Rückgrat moderner Geschäftsinfrastrukturen. In der heutigen digitalen Landschaft, in der Daten gleichbedeutend mit Macht sind, ist der Schutz dieser Daten von höchster Priorität.
Daher werden wir in diesem Blogbeitrag eingehend untersuchen, wie das CRAF-Risikoregelwerk von Xiting Unternehmen dabei unterstützt, diese Herausforderungen zu bewältigen und eine umfassende Kontrolle und Sicherheit für Ihre Berechtigungslandschaft zu erlangen. Das Xiting CRAF-Tool ist ein umfangreiches Werkzeug im Bereich Risikoanalyse zur Steigerung Ihrer SAP-Sicherheit. Doch was macht es so besonders? Welche Bedeutung hat eine ganzheitliche Systemsicherheit? Welche Möglichkeiten werden Ihnen im Kontext von SAP Security und einem kundenindividuellen Regelwerk geboten? Welche Unterstützungen werden Ihnen für ihr Access Mangement geboten? Wie können Sie das CRAF autark oder im Kontext anderer Module der XAMS einsetzen? Lassen Sie uns gemeinsam in das Thema eintauchen.
Falls Sie schon immer mal wissen wollten, welche SAP-Tabellen eigentlich die geläufigsten und wichtigsten im Kontext von SAP Security sind, können Sie sich gerne meine Liste „Die TOP 50 SAP Security Tabellen“ kostenlos herunterladen. In meinem Blog „Die TOP 20 SAP IT Basis-Tabellen mit besonderem Schutzbedürfnis in SAP S/4HANA“ bin ich zudem genauer auf Tabellenberechtigungen und deren Schutzbedürftigkeit eingegangen. Viel Spaß beim Lesen.
Table of Contents
Die Bedeutung einer ganzheitlichen SAP-Systemsicherheit
Bevor wir uns dem Xiting CRAF-Tool zuwenden, ist es entscheidend, den Wert einer ganzheitlichen Herangehensweise an die SAP-Systemsicherheit zu verstehen. SAP-Systeme sind nicht nur Lagerhäuser für Unternehmensdaten; sie sind Ökosysteme, die nahtlos mit anderen Systemen, Drittanbieteranwendungen, Plattformen oder auch Cloud Applikationen interagieren. Ein isolierter Blick auf die Sicherheit reicht da nicht aus. Das Erkennen, Analysieren und Abwehren von Bedrohungen an mehreren Fronten ist der Schlüssel. Nur auf was müssen Sie alles achten und welche Bedrohungen könnten sich auf Ihre gesamtheitliche SAP-Systemsicherheit auswirken? Daher habe ich zuvor fünf wichtige Themenbereiche in der Welt der SAP Security dargestellt, welche es zu beachten gilt:
Schutz vor Datenverlust und Cyberangriffen
SAP-Systeme enthalten eine Fülle von Unternehmensdaten, darunter sensible Finanzinformationen, Kundeninformationen und betriebswichtige Prozesse. Ein umfassender Schutz vor Datenverlust und Cyberangriffen ist daher von entscheidender Bedeutung. Eine ganzheitliche SAP-Systemsicherheit gewährleistet, dass Datenintegrität, Vertraulichkeit und Verfügbarkeit zu jeder Zeit sichergestellt sind.
Einhaltung von Vorschriften und Compliance
Viele Branchen und Regionen haben strenge Vorschriften und Compliance-Anforderungen, die Unternehmen erfüllen müssen. Eine solide SAP-Systemsicherheit gewährleistet die Einhaltung dieser Vorschriften, sei es DSGVO (engl. GDPR) in Europa, HIPAA im Gesundheitswesen oder andere branchenspezifische Bestimmungen. Dies minimiert das Risiko von Strafen und rechtlichen Konsequenzen.
Prävention von Insider-Bedrohungen
Neben externen Bedrohungen ist auch die Prävention von Insider-Bedrohungen von großer Bedeutung. Mit einer umfassenden Systemsicherheit können Unternehmen Überberechtigungen oder verdächtige Aktivitäten erkennen und darauf reagieren, bevor Schaden entsteht. Dies hilft potenzielle Datenlecks und Sabotage von Mitarbeitern zu verhindern.
Kontrolle über Berechtigungen und Zugriffe
Die Vergabe und Verwaltung von Berechtigungen in SAP ERP und S/4HANA Systemen können komplex sein. Eine ganzheitliche Systemsicherheit ermöglicht es Unternehmen, die Kontrolle über dedizierte Berechtigungen und Zugriffe zu behalten. Dies bedeutet, dass nur autorisierte Mitarbeiter auf bestimmte Daten und Funktionen zugreifen können, wodurch das Risiko von Missbrauch und Fehlern minimiert wird.
Fortschrittliche Technologien und Lösungen
Die Sicherheitslandschaft entwickelt sich ständig weiter, und es ist wichtig, Schritt zu halten. Eine ganzheitliche SAP-Systemsicherheit nutzt fortschrittliche Technologien und Lösungen, um Bedrohungen frühzeitig zu erkennen und zu bekämpfen. Dies umfasst Intrusion Detection Systems, Verschlüsselungstechnologien, fortgeschrittene Authentifizierungsmethoden und ausgefeilte Analyse- sowie Monitoring-Tools wie das Xiting CRAF.
Das Xiting CRAF
Das Xiting CRAF-Tool ist nicht nur ein weiteres Sicherheitsprodukt; es ist eine Revolution. Es ermöglicht Unternehmen zum einem, sich gegen Bedrohungen zu schützen und zum anderen bietet es gleichzeitig auch integrale Werkzeuge an, um Ihre gesamte SAP-Sicherheitsinfrastruktur proaktiv zu überwachen und zu verwalten. Dabei ist das CRAF nicht nur für Ihre heutige Sicherheitslandschaft relevant. Mit seiner Fähigkeit zur Anpassung und Skalierung ist es bereit, zukünftige Sicherheitsherausforderungen zu meistern, eine klare Risikobewertung durchzuführen und ein nachhaltiges Berechtigungskonzept dauerhaft zu gewährleisten. Während Unternehmen wachsen und sich entwickeln, bleibt das Bedürfnis nach robusten Sicherheitssystemen bestehen. Das CRAF-Tool wird an vorderster Front dabei sein, um sicherzustellen, dass Ihre SAP-Systeme geschützt sind. Das Tool kann Ihnen in Sekundenschnelle Schwachstellen in der aktuellen Rollen- und Berechtigungsverwaltung identifizieren und Verbesserungsvorschläge machen, um die Sicherheit Ihres SAP-Systems zu erhöhen.
Best Practice Regelwerk der Xiting AG
Insgesamt stellt das best practice CRAF-Regelwerk der Xiting AG umfassende und bewährte Inhalte für die unzähligen Herausforderungen innerhalb der SAP-Berechtigungsanalyse bereit. Es zeigt, wie über 50 Jahre Entwicklererfahrungen und die erfolgreiche Umsetzung von hunderten Berechtigungsprojekten in ein leistungsstarkes Instrument umgewandelt werden können, dass Ihr Unternehmen dabei unterstützt, in einer sich ständig verändernden Geschäftswelt erfolgreich zu sein. Durch die sorgfältige Integration von bewährten Verfahren und Berechtigungsanalysen aus zahlreichen Projekten in verschiedenen Branchen und Unternehmensgrößen bietet das CRAF-Regelwerk eine praxiserprobte Lösung für Ihre Herausforderungen. Es berücksichtigt bereits im Auslieferungszustand vielfältige Anforderungen und Compliance-Standards, denen Unternehmen heute ausgesetzt sind, und stellt sicher, dass Sie diese erfüllen können. Mit diesem best practice Regelwerk können Sie bereits direkt nach dem Tool Import Ihre Systemanalyse starten und es sukzessive um Ihre kundenindividuellen Parameter anreichern. So können Sie bspw. out-of-the-box mit unserer CRIT_01 Analysevariante eine umfassende Prüfung auf die wichtigsten Kritikalitäten in Ihren Rollen oder für Benutzer prüfen. Wollen Sie weitläufige HCM-Berechtigungen überprüfen oder sogar Datenschutzzugriffe in Ihren Rollen gemäß DSGVO zum Schutz personenbezogener Daten analysieren? Kein Problem, nutzen Sie hierfür unsere vordefinierten Analysevarianten, wie in Abbildung 1 zu sehen.
Mit der Änderung des Lizenzmodells seitens SAP für SAP S/4HANA ist ein ordentliches Berechtigungsmanagement und die Berechtigungsvergabe in die Fachbereiche per Rollen auch im Hinblick auf den Kostenblock, wichtiger denn je. Zusammengefasst, in der Zukunft werden die zugewiesenen Berechtigungen bis auf Objektebene eingepreist. Mit unserem CRAF können Sie sich direkt vor der Umstellung auf diesen neuen zwingenden Lizensierungsprozess vorbereiten und somit sehr hohe Kosten sparen.
Erstellung eines individuellen Regelwerks
Jedes Unternehmen ist einzigartig – und ebenso seine Sicherheitsbedürfnisse. Mit der steigenden Anzahl an Applikationen und Systemen wächst auch die Notwendigkeit, komplexe SAP Berechtigungskonzepte effizient und sicher zu verwalten. In Zusammenspiel mit dem Xiting CRAF können Sie schnell und einfach individuelle Regelwerke für Ihre spezifischen Geschäftsprozesse und Systeme erstellen. Dabei geht es nicht nur um die Definition von reinen Zugriffsrechten, sondern auch um das Einbinden von firmenspezifischen Sicherheitsstandards, Anforderungen aus den Fachabteilungen sowie externen Compliance-Anforderungen. Das Besondere am Xiting CRAF ist seine hohe Flexibilität: Unternehmen können die eigenen Regelwerke jederzeit anpassen, sodass sie genau zu ihren individuellen Bedürfnissen und Herausforderungen passen. Das Ergebnis ist ein maßgeschneiderter Sicherheitsmechanismus, der nicht nur Schutz bietet, sondern auch den administrativen Aufwand deutlich reduziert.
Denken Sie an ein Pharmaunternehmen, das sich strengen internationalen oder GxP Vorschriften unterwerfen muss oder an ein Startup im FinTech-Bereich, das sich sowohl mit innovativen Technologien als auch mit Bankvorschriften auseinandersetzen muss. Das CRAF ermöglicht beiden, die individuellen Sicherheitsrahmen anzupassen und gleichzeitig sicherzustellen, dass Ihre vergebenen Berechtigungen stets konform dazu sind und eingehalten werden. Wollen Sie eine differenzierte Betrachtung zwischen einzelnen Abteilungen? Dann können Sie dies, wie in Abbildung 2 zu sehen, auch mit dem CRAF umsetzen.
Prüfung bis auf die Berechtigungsobjektwertebene
In der Welt der IT-Sicherheit steckt der Teufel oft im Detail. Daher steht im Mittelpunkt des Xiting CRAF Tools die Erkenntnis, dass Sicherheit nicht nur auf Oberflächentransaktionen oder SAP Fiori Apps basiert. Die Kontrolle von Benutzerrechten auf hohem Niveau ist zwar wichtig, doch die tatsächlichen Risiken verbergen sich häufig auf granularer Ebene. Genau hier setzt das Xiting CRAF an. Mit seiner Fähigkeit, Prüfungen bis auf die Berechtigungsobjektwertebene durchzuführen, bietet es Unternehmen eine unglaubliche Tiefe in der Sicherheitsüberprüfung. Dies eröffnet die Möglichkeit, selbst subtile Anomalien oder potenzielle Sicherheitslücken zu identifizieren, die in herkömmlichen Prüfungen möglicherweise übersehen werden. So muss man bspw. eine Einschränkung von Hintergrundjobadministrationsrechten nicht nur durch den Entzug der Transaktionen SM36 oder SM65 gewährleisten, sondern auch das dazugehörige wichtige Berechtigungsobjekt und dessen Ausprägung im Auge behalten. Dafür können Sie mit dem CRAF direkt eine Berechtigungs-ID für Ihr gewünschtes Zugriffsszenario erstellen oder auch bereits ausgelieferte IDs, wie in Abbildung 3 zu erkennen, nutzen.
Innerhalb dieser ID deklarieren Sie dann bis auf Berechtigungswertebene, welche granularen SAP-Berechtigungen für dieses Szenario kritisch sind.
Falls Sie sich nun mit der Herausforderung konfrontiert sehen, eine solche granulare Einordnung und Ausgestaltung von kritischen Berechtigungskonstellationen selber durchzuführen, kann ich Sie beruhigen. Wir liefern Ihnen bereits best-practive Inhalte im Auslieferungszustand des CRAFs mit, welche auf Basis unserer Jahrzehnte langen Berechtigungsprojekterfahrungen und Entwicklertätigkeiten aufbauen.
Die variable Nutzung des Xiting CRAF
Die Anforderungen an die IT-Sicherheit sind so vielfältig wie die Unternehmen selbst. Dies erfordert Werkzeuge, die sich flexibel an unterschiedliche Bedürfnisse anpassen lassen. Das Xiting CRAF stellt genau solch ein integrales Werkzeug dar.
Multivalenter Einsatz des Xiting CRAF
Mit der direkten Integration in unsere Module – dem Role Profiler, dem Role Designer und dem Security Architect – bietet es eine umfassende Palette von Möglichkeiten für die Erstellung und Verwaltung von Berechtigungskonzepten.
Innerhalb des Role Profiler können Sie detaillierte Analysen bestehender Rollen und Benutzer durchführen, um Redundanzen und Sicherheitslücken zu erkennen, wie Sie auch in Abbildung 5 sehen können. Hier gibt es verschiedene Reports, mit unterschiedlichem Fokus. Neben den allgemeinen kritischen SAP-Berechtigungen und Funktionstrennung können Sie bspw. auch reine Anzeigeberechtigungen oder gezielt kritischen transaktionale Zugriffe prüfen.
Mit dem Role Designer können maßgeschneiderte Rollen basierend auf den tatsächlichen Geschäftsanforderungen entwickelt werden und diese, wie in Abbildung 6 zu erkennen, noch während des initialen Rollenerstellungsprozesses mit Ihrem Regelwerk abgleichen.
Der Security Architect unterstützt Unternehmen bei der Erstellung eines ganzheitlichen Berechtigungskonzepts, das nicht nur die aktuellen, sondern auch zukünftige Anforderungen berücksichtigt. Mit der Integration des CRAF in den Security Architect können Sie sogar Echtzeitanalysen Ihres Regelwerks mit einem systemweiten internen Kontrollsystem (IKS) implementieren. Dadurch ist es möglich, sich mit Hilfe der IKS-Implementierung, auch Sicherheitswarnungen und periodische Berechtigungsanalysen einzurichten. Außerdem ermöglicht unser CRAF auch Modul ungebundene Adhoc-Analysen, wie in Abbildung 7 zu erkennen. Diese können Sie wie in den anderen Modulen, auf Rollen und Benutzerebene durchführen und dies sogar auch zentral über RFC-Verbindungen.
Ein weiterer Aspekt, den das CRAF ermöglicht, ist die Integration in Ihr Change-Management. Sollten Änderungen an Rollen vorgenommen wurden, welche dann auch auf die produktive Maschine transportiert werden sollen, können Sie vorher eine Rollentransportprüfung mittels dem hinterlegten Risikoregelwerk zwischenschalten und somit schon in den vornhinein kritischen Zugriffen auf dem produktiven System unterbinden.
Natürlich bieten wir Ihnen innerhalb der XAMS auch eine umfassende Protokollierung und Mitigationsoptionen für Ihre Risikobewertung an.
Gemeinsam ermöglichen diese vielseitigen Tools sowie Funktionen und deren Kopplung an das Xiting CRAF eine flexible, zielgerichtete und vor allem sichere Gestaltung Ihres SAP-Berechtigungskonzepts.
ECS-Integration
In der dynamischen Welt der Informationstechnologie ist die nahtlose Integration von Systemen der Schlüssel zur Effizienz. Mit der Integration der Easy-Content-Solution (ECS) von unserem langjährigen Partner ibs Schreiber GmbH in die XAMS profitieren Unternehmen von einer harmonisierten Plattform, die sowohl extensive Datengrundlagen durch eine Vielzahl an Regelwerken als auch Sicherheitsoptionen und -analysen vereint. Durch die Zusammenführung der beiden Komponenten ECS und CRAF können Benutzer von der Flexibilität und einem hohen Sicherheitsanspruch zehren. Dies bedeutet eine starke Reduzierung des Erstellungsaufwands von eigenen Regelwerken, weniger Komplexität bei der Berechtigungsanalyse, verbesserte Datenflüsse und letztlich optimierte Geschäftsprozesse und Berechtigungen. Für Unternehmen, die stets bestrebt sind, ihre IT-Infrastruktur zu optimieren, stellt diese Integration einen großen Schritt nach vorne dar.
Fazit
Die digitale Transformation bringt unzählige Vorteile mit sich, erfordert jedoch auch ein erhöhtes Maß an Wachsamkeit in Bezug auf die Sicherheit. Das Xiting CRAF Tool bietet eine ganzheitliche, zukunftssichere Lösung, die dafür sorgt, dass Unternehmen jeden Tag mit Zuversicht arbeiten können. In einer Welt, in der Daten zu den wertvollsten Ressourcen gehören, ist dieses Maß an Schutz nicht nur wünschenswert – es ist absolut notwendig. Darüber hinaus können Sie in Verbindung mit unseren zahlreichen XAMS-Modulen eine umfassende Risikoanalyse Ihrer gesamten Systeme fahren und dabei nicht nur Ihre Prozesse im Kontext der SAP-Berechtigungen optimieren, sondern sich auch einem bereits vordefinierten gesamtheitlichen schriftlichen Berechtigungskonzepts für SAP ERP und S/4HANA Ihrer gesamten Systemlandschaft erfreuen. Optional bieten wir bspw. auch ein Konzept für Ihre HANA-Datenbank an. Darüber hinaus bietet die XAMS für ABAP-Entwickler bspw. auch zahlreiche Analysemöglichkeiten für Eigenentwicklungen und deren Berechtigungsmanagement.
Dieser Artikel dient lediglich als Überblick für das Xiting CRAF-Tool und seine Funktionen innerhalb unserer Berechtigungssuite XAMS. Das CRAF ist in der Lage, noch viel mehr zu leisten. Unternehmen, die auf der Suche nach einer umfassenden Sicherheitslösung für ihre SAP-Systeme sind, sollten erwägen, sich tiefergehend mit dem CRAF-Tool zu beschäftigen. Schauen Sie doch gerne bei einem unserer wöchentlichen Webinare vorbei, um dieses Tool und unsere XAMS Suite näher kennenzulernen. Zudem bieten wir auch eine Vielzahl von verschiedenen Services und Produkte an, um Sie bei der Wartung Ihres Berechtigungswesen zu unterstützen.
- Top Pain Points bei SAP Fiori-Berechtigungen und deren Lösungen – ein Erfahrungsbericht - 20. November 2023
- Das Risikoregelwerk CRAF der Xiting AG – Schluss mit kritischen Berechtigungen und SoD! - 20. November 2023
- Die TOP 20 SAP IT Basis-Tabellen mit besonderem Schutzbedürfnis in SAP S/4HANA - 7. September 2023