von Sükrü ilkel Birakoglu, Senior Director
Die Aufgabentrennung oder Segregation of Duties (SoD) ist ein interner Prozess, der Fehler und Betrug verhindern soll. Dabei wird sichergestellt, dass mindestens zwei Personen für die verschiedenen Bestandteile einer Aufgabe verantwortlich sind.
SoD bedeutet, dass Aufgaben, die üblicherweise von einer einzigen Person erledigt werden könnten, in mehrere Teilaufgaben unterteilt werden, damit nicht eine Person allein die Kontrolle über ein geschäftskritisches System hat. Die Lohn- und Gehaltsabrechnung ist beispielsweise ein administrativer Bereich, in dem sowohl Betrug als auch Fehler ein hohes Risiko darstellen können. Ein gängiges Beispiel für eine Aufgabentrennung in der Lohn- und Gehaltsabrechnung ist, dass ein Mitarbeiter für den buchhalterischen Teil der Aufgabe zuständig ist und ein anderer für die Unterzeichnung der Schecks.
Obwohl dies die Sicherheit verbessert, kann sich die Aufteilung von Aufgaben in separate Komponenten auch negativ auf die betriebliche Effizienz auswirken und die Kosten, die Komplexität und den Personalbedarf erhöhen. Aus diesem Grund wenden die meisten Unternehmen SoD nur auf die am stärksten gefährdeten und geschäftskritischen Prozesse des Unternehmens an.
Die Umsetzung der passenden Aufgabentrennung (SoD) in ERP-Systemen wie SAP trägt zu dieser Komplexität bei, wenn man alle betriebsrelevanten Aufgaben berücksichtigt, die mit einem SAP-System ausgeführt werden können. Dies erfordert eine kontinuierliche Überwachung der SoD-Konflikte sowie der Ausführung der Geschäftsprozesse im Zusammenhang mit diesen Konflikten, um Betrug in SAP-Systemen zu verhindern.
Wenn Sie ein SAP-System in Betracht ziehen, sollte eine Person nicht mehr als eine dieser Transaktionskomponenten beaufsichtigen: Genehmigung von Transaktionen, Buchung von Transaktionen und Handhabung der zugehörigen Assets. So sollte beispielsweise ein Mitarbeiter, der Bestellungen genehmigen kann, nicht für die Bearbeitung der Zahlungen zuständig sein.
Um die SoD-Prinzipien in SAP-Systemen zu berücksichtigen, sollten Sie die folgenden vier Prozesse umsetzen:
- SoD-Konzeption
- SoD-Implementierung
- SoD-Bewertung
- SoD-Optimierung
Im Prozess der SoD-Konzeption sollten Unternehmen eine Organisationsstruktur aufsetzen, in der die Rollen jedes Mitarbeitertyps skizziert sind. Diese Business-Rollen – beispielsweise Kundenbetreuer, Einkäufer, Verkäufer – sollten bestimmte Funktionen umfassen. Hierzu zählen zum Beispiel das Anlegen eines Lieferanten- oder Kundenstamms, die Erstellung eines Zahlungsauftrags, die Genehmigung eines Zahlungsauftrags, etc.
Jeder dieser Funktionen können Transaktionen, Services, Remote-Function-Calls oder andere systembezogene Aktionen und APIs in SAP-Systemen zugeordnet werden. Aus diesem Grund ist es wichtig, festzulegen, welche Aktionen zu welchen Funktionen gehören, und sie mithilfe der technischen SAP-Rollen im System korrekt anzuwenden. Die SoD-Konzeption ist ein langwieriger und komplizierter Prozess, der aufgrund der Komplexität der Geschäftsprozesse, die in SAP-Systemen ausgeführt werden, auch fehleranfällig ist.
Im Prozess der SoD-Implementierung bilden Sie Ihre geschäftlichen Rollen auf technische Rollen in SAP-Systemen ab. Technische Rollen umfassen die Transaktionen, die in SAP-Systemen ausgeführt werden können. Anschließend können Sie die technischen Rollen den SAP-Benutzern zuweisen, die die geschäftlichen Transaktionen in den SAP-Systemen ausführen.
Die SoD-Bewertung ist der komplizierteste Prozess, selbst wenn Sie die Phasen der SoD-Konzeption und der SoD-Implementierung ordnungsgemäß und gewissenhaft umgesetzt haben. Sie müssen Ihre SAP-Systeme überwachen, um zu prüfen, ob alle Beteiligten diese Vorgaben auch bei jeder Änderung befolgen. Hier kommen die SoD-Tools ins Spiel.
SoD-Tools prüfen, ob Benutzer kritische Transaktionen oder deren Kombinationen in der bestehenden Organisationsstruktur durchführen dürfen, da immer ein Betrugsrisiko besteht. Das Wort „bestehend“ deutet bereits darauf hin, dass die meisten Unternehmen noch nicht einmal die erforderlichen Schritte zur SoD-Entwicklung und SoD-Implementierung umgesetzt haben.
SoD-Tools können sehr praktisch sein, wenn es darum geht, eine Liste der Benutzer mit Zugriff auf kritische Standard-Transaktionen zu erstellen, die es nahezu überall gibt (beispielsweise SU01 – Benutzer-Transaktion, SE16 – Lesen von Tabellen). Dies allein kann schon viel Zeit einsparen und einen guten Überblick darüber geben, wie gut oder schlecht es um die Rollen-Management bestellt ist. Wenn Sie in einem SAP-System viele Benutzer sehen, die kritische Transaktionen ausführen können, beispielsweise SU01, SM59, SE16, dann gab es in der Phase der SoD-Konzeption mehrere Probleme – unabhängig von den Geschäftsprozessen des Unternehmens an sich.
Auf zweiter Ebene können Sie eine Liste der Benutzer erstellen, die Zugriff auf typische Kombinationen kritischer Transaktionen haben, wie beispielsweise die Erstellung von Zahlungsaufträgen und deren Genehmigung. Die Bewertung auf Geschäftsprozess-Ebene ist ebenfalls eine recht komplizierte Aufgabe in SAP-Systemen. Hier sollte eine Lösung für kontinuierliches Monitoring und Reporting zum Einsatz kommen, wie beispielsweise Logpoint BCS for SAP.
Mit Logpoints Lösung für die SoD-Bewertung und SoD-Überwachung ist es möglich, Benutzer zu ermitteln, denen widersprüchliche Rollen zugewiesen wurden – sozusagen die SoD-Problemfälle bei Berechtigungen. Mit Logpoint können Sie auch Aktionen in SAP-Systemen erkennen, die zu SoD-Konflikten führen können.
Eines der Dashboards der Logpoint-Lösung zeigt SoD-Konfliktsituationen an, die aufgrund der aktuellen Rollenzuweisung im SAP-System auftreten können. Die Anzahl der Benutzer mit Rollen, die zu SoD-Konflikten führen können, wird ebenfalls aufgeführt.
Eine Liste der SoD-Verletzungen in einem SAP-System sowie eine Liste der Benutzer mit ihren entsprechenden Rollen, die zu SoD-Verstößen führen
Auf weiteren Dashboards erhalten Sie detailliertere Informationen über die tatsächliche Nutzung von Rollen, die zu SoD-Konflikten führen. Falls beispielsweise ein Benutzer eine Bestellung generiert und auch die Konditionsstammdaten zu dieser Bestellung geändert hat, wird diese Aktion in Echtzeit erfasst und in Logpoint SIEM angezeigt.
Eine Liste der Aktionen, die zu SoD-Verletzungen in einem SAP-System führen
In der Phase der SoD-Optimierung korrigieren Sie die SoD-Konflikte in Ihren SAP-Systemen auf Basis Ihrer Erkenntnisse aus der Phase SoD-Bewertung. Die Lösung Logpoint BCS for SAP liefert Ihnen umfassende Informationen zu SoD-Konflikten in Ihren SAP-Systemen. Diese Informationen können Sie als Input für die Phase der SoD-Optimierung nutzen.
Falls Sie weitere Informationen zu Logpoint BCS für die SAP-Sicherheit sowie den Logpoint-Lösungen für die Bedrohungserkennung benötigen, können Sie unserer Expertin Sükrü ilkel Birakoglu jederzeit eine E-Mail-Nachricht senden: [email protected]