Risikoanalyse und SoD-Prüfung mit der XAMS und die Integration von SAP GRC Access Control
In diesem Blog möchte ich Ihnen die verschiedenen Möglichkeiten aufzeigen, wie Sie eine Risikoanalyse mit Hilfe der Xiting Authorizations Management Suite (XAMS) durchführen können.
Eine Risikoanalyse kann in einem SAP-System auf zwei verschiedenen „Ebenen“ durchgeführt werden:
1. Risikoanalyse auf Rollenebene
Hier werden einzelne oder mehrere Berechtigungsrollen oder auch Sammelrollen auf kritische Berechtigungen oder SoD‘s (Segregation of Duties/Funktionstrennungs-Konflikte) geprüft.
2. Risikoanalyse auf Benutzerebene
Bei dieser Vorgehensweise werden alle zugewiesenen Berechtigungen eines oder mehrerer Benutzer gesamtheitlich betrachtet und analysiert.
Sollten die Berechtigungen auf der ersten Ebene (Rollen) keine kritischen Berechtigungen oder SoD‘s enthalten, können diese jedoch durch die Kombination mehrerer Rollen entstehen, weshalb auch eine Analyse auf Benutzerebene durchgeführt werden muss.
Table of Contents
Das Regelwerk der XAMS
Die XAMS stellt Ihnen seit dem Release von Service Pack 11 das so genannte CRAF (Critical Authorization Framework) zur Risikoanalyse bereit. Grundlage für die Risikoanalyse bildet das von Xiting erstellte Regelwerk. Dieses wurde in Anlehnung an den DSAG-Leitfaden, die SAP Security Guideline und mit eigenen Erfahrungswerten aus den Bereichen Entwicklung und Projektdurchführung erstellt. Mit jedem neuen Service Pack wird es kontinuierlich angepasst und verbessert.
Das Regelwerk besteht aus kritischen Einzelberechtigungen, wie auch den relevantesten und unternehmensunabhängigen kritischen Kombinationen (SoD‘s). Da ein solches Regelwerk jedoch nicht die Anforderungen jedes Kunden zu 100% abdecken kann, besteht die Möglichkeit Regeln kundenindividuell anzupassen, zu entfernen oder vollständig neu zu definieren.
Welche Rolle spielt SAP GRC Access Control in Verbindung mit der XAMS?
Wenn Sie bereits ein bestehendes SAP GRC Access Control System haben, in welchem Sie ihr Regelwerk bereits individualisiert haben, können wir dieses in die Analysereports der XAMS integrieren.
Somit steht Ihnen ihr bisheriges individuelles Regelwerk auch in der XAMS zur Verfügung und Sie können die Vorteile der erweiterten Nutzung des Regelwerkes in vollen Zügen nutzen. Dadurch reduziert sich der Pflegeaufwand somit auf nur ein einziges Regelwerk, welches die gesamtheitliche Datengrundlage aus GRC und der XAMS integriert. Die Anbindung der XAMS an das vorhandene GRC AC-Regelwerk findet mit Hilfe eines Web-Services im GRC-System statt. Ab sofort können Sie die Analysen wahlweise mit dem XAMS CRAF-Regelwerk oder Ihrem GRC Access Control-Regelwerk durchführen lassen.
Weitere Hilfreiche Informationen zum Aufbau eines GRC Regelwerkes finden Sie in den beiden Blogs Business Risks / Rule Set und Rule set – Rules & Rule Types meines Kollegen Alessandro Banzer.
Welche Analysemöglichkeiten habe ich in der XAMS?
In der XAMS finden sich verschiedene Reports und Analysemöglichkeiten, um Berechtigungen auf Regelverstöße zu prüfen. Die klassische Version der Analyse ist mit Hilfe der „Watchdog“-Berichte im Xiting Role Profiler auffindbar. Hier können jederzeit „Ad-Hoc“-Prüfungen auf Rollen- und Benutzerebene durchgeführt werden. Es muss lediglich die Selektion entsprechend auf die zu analysierenden Rollen oder Benutzer eingeschränkt werden. Anschließend können Sie entscheiden, ob die Analyse auf kritischen Berechtigungen oder kritischen Kombinationen durchgeführt werden soll.
Ist ein GRC Access Control System vorhanden und an die XAMS angebunden, so steht dieses für die Risikoanalyse ebenfalls zur Verfügung.
Die Ergebnisse der Analyse werden Ihnen übersichtlich in einer Tabelle angezeigt. Hier haben Sie jederzeit die Möglichkeit, in die weiteren Details abzuspringen und sich auch die Definition eines bestimmten Risikos/SoD-Konflikts anzeigen zu lassen.
Um die Ergebnisse besser präsentieren zu können, besteht die Option diese in einer Excel-Datei zu generieren. Hier finden Sie auf den diversen Tabellenblättern alle Informationen zu den vorhandenen Konflikten, deren Definition so wie vorhandenen Mitigationen.
Mit Hilfe einer solchen Mitigation kann ein Risiko reduziert und eine kompensierende Maßnahme (z. B. 4-Augen Prinzip) definiert und dem Risiko zugeordnet werden. Somit gilt durch Zuweisung einer solchen Mitigation zu einem Risiko beispielsweise auf Benutzerebene das Risiko für den User als „vertretbar“.
Risikoüberprüfung mit Hilfe des Role Designer der XAMS
Eine weitere Analysemöglichkeit besteht bereits während der Rollen-Design-Phase beispielsweise in Re-Design-Projekten, die in den Xiting Role Designer integriert ist. Mit diesem XAMS-Tool haben Sie die Möglichkeit ein Rollen-Set mit Hilfe von Statistikdaten virtuell aufzubauen und die Rollen noch bevor sie „real“ in der PFCG angelegt werden auf Risiken zu überprüfen. Da die Rollen zu diesem Zeitpunkt nur im Xiting Role Designer angelegt und mit Transaktionen befüllt sind, findet die Analyse auf Basis der Transaktionen und den SU24-Vorschlagswerten statt. Das Ergebnis gibt Ihnen einen ersten Indikator, ob bei der tatsächlichen Erstellung der Rolle bereits Risiken oder Konflikte vorhanden wären.
Somit können sie in Re-Design-Projekten bereits bei der Rollen-Konzipierung viele SoD‘s und kritische Berechtigungen verhindern und die unternehmensinternen Compliance-Vorgaben von Beginn an gewährleisten.
Das Ergebnis bekommen Sie auch hier übersichtlich angezeigt:
Möchten Sie die Risikoanalyse jedoch bevorzugt in ein Sicherheitskonzept integrieren oder in Ihrem IKS (Internes Kontrollsystem) hinterlegen, bietet Ihnen der Security Architect die Möglichkeit die Risikoanalyse direkt in ihr unternehmenseigenes Sicherheitskonzept zu integrieren, welches wir Ihnen durch unser Konzeptgenerierungsmodul (Security Architect) zur Verfügung stellen. Dadurch können Sie relevante Prüfungen in einem regelmäßigen Zyklus durchführen und somit Ihre komplette SAP-Systemlandschaft überwachen.
Zusätzlich haben Sie die Möglichkeit den aktuellen Status, ebenso wie vergangene Analyseergebnisse zu betrachten und miteinander zu vergleichen. Dadurch entsteht unmittelbar eine SOLL-IST-Analyse.
Die Prüfungsergebnisse können Sie sich nun übersichtlich in einer Tabelle anzeigen lassen:
Alternativ können Sie sich die Prüfergebnisse auch direkt in ein entsprechendes Sicherheitskonzept generieren lassen, mit welchem Sie zusätzlich zum reinen Analyseergebnis noch weitere Informationen zur Verfügung stellen können.
Auch hier können Sie durch einen „Klick“ auf die rote Ampel in weitere Detailansichten navigieren:
Die Möglichkeiten mit Hilfe des XAMS-Moduls Security Architect eine globale Systemüberprüfung durchzuführen, können Sie im Blog Sichere Systeme durch die SAP-Sicherheitsüberprüfung mit XAMS nachlesen.
Was mache ich mit den gefundenen Risiken?
Die Ergebnisse müssen nun bewertet und entweder bereinigt oder „mitigiert“ werden. Eine Bereinigung von Risiken beginnt immer auf der Rollenebene. Das bedeutet, es ist zu prüfen, ob das Risiko bzw. der SoD-Konflikt aus der Rolle entfernt werden kann. Anschließend kann auf Benutzerebene überprüft werden, ob weitere Risikoüberschreitungen durch den Entzug von Berechtigungsrollen verhindert werden können.
Ist eine Bereinigung nicht möglich, sollte eine Mitigation hinterlegt werden. Dieses kann z. B. der Fall sein, wenn in einem Unternehmen nur wenige Angestellte in der Buchhaltung arbeiten und somit keine klare Prozesstrennung möglich ist. Wird nun bei der Buchhaltung ein entsprechender Konflikt gefunden, kann dieser mit einer Mitigation hinterlegt werden.
Durch die Mitigation ist es Ihnen möglich, gewisse Risiken für spezifische Benutzer zu „erlauben“ und ggf. eine alternative Prozesskontrolle zu definieren und zu hinterlegen. Diese Mitigationen werden im Regelfall „temporär“ aktiviert (mit einem „gültig bis“-Datum), um zu gewährleisten, dass ein regelmäßiger Review der bekannten Risiken durchgeführt wird.
Fazit
Eine Risikoanalyse ist in der heutigen Zeit für viele Unternehmen unabdingbar, um z. B. Comliance-Anforderungen zu erfüllen und die Sicherheit eines Systems zu gewährleisten.
Mit der XAMS haben sie die Möglichkeit Risiken bereits während der Entstehung (Rollenbau/Design), im laufenden Betrieb und bei regelmäßigen internen Kontrollen aufzudecken, zu bereinigen oder eine Mitigation zu hinterlegen.
Durch die Integration des GRC Access Control-Regelwerkes in die XAMS können Sie die Nutzung Ihres GRC AC Systems und der XAMS ergänzen und großflächig erweitern. Die Risikoanalyse kann individuell oder auch im Rahmen unserer Services, wie z. B. der SAP-Sicherheitsüberprüfung implementiert und durchgeführt werden.
Mehr erfahren zu SAP GRC Access Control