Security Weaver Produkte zur Verbesserung der Sicherheit Ihrer SAP-Systemlandschaft

(Last Updated On: 14. November 2016)

Security Weaver ist kein Neuling auf dem Markt und bietet mit seinem Produkt einen lösungsorientierten Ansatz, um insbesondere das Rollen- und Berechtigungssystem auf Vordermann zu birngen. Der Security Weaver Separations Enforcer sorgt dafür, dass in den im System genutztn rollen eine Segregation of Duties (SOD) gegeben ist, also kein SAP-Benutzer alleine Transaktionen tätigen kann, die gewöhnlicherweise nach dem Vier-Augen-Prinzip entschieden werden müssen – egal ob nun in betriebswirtschaftlicher oder technischer Sicht. Somit sichert das Produkt wieder etwas mehr den positiven Ausgang Ihrer Wirtschaftsprüfungen ab. Das tool unterstützt außerdem das Erweitern der internene SOD-Matrix durch kundenspezifische, eigene Transaktionen.

Das Tool prüft alle auf dem System existierenden Rollen nach Redundanzen und Konflikten in Berechtigungsobjekten. Dadurch müssen diese Konflikte nicht mehr manuell aufgeklärt werden. Dies hilft insbesondere beim Reinigen von alten Legacy Systemen und beim Durchführen regelmäßiger Revisionen zur Selbstkontrolle. Zusätzlich hilft das Tool zügig festzustellen, ob das zuweisen einer bestimmten Rolle oder eines Profils zu einem Benutzer Risiken beinhaltet oder nicht. So kann die Anfrage eines Benuzters, eine bestimmte Rolle zu erhalten, schneller positiv oder negativ beantwortet werden als früher. Desweiteren bietet das Tool eine Übersicht darüber, wie oft eine Rolle im System aktuell zugewiesen wurde und hilft somit beim Identifzieren von „Karteileichen“ und „Weitschüssen“. Desweiteren ist es Basis-Administratoren nun möglich, die Auswirkungen von Änderungen an einer Rolle zu sehen, bevor diese Änderungen überhaupt gespeichert bzw. transportiert werden.

Die Prüfungen des Tools helfen biem Erfüllen wichtiger Standards wie dem Sarbanes-Oxley Act (SOX), dem Foreign Corrupt Pracitces Act (FCPA) und dem Health insurance Portability and Accountability Act (HIPAA)

Zusätzlich ermöglicht das Tool, sich anzusehen, welche User von welchen Transaktionen Gebrauch gemacht haben und welche Daten sie modifiziert haben. Nicht nur das: Es ist auch möglich, User zu sperren, experien oder zu löschen, basierend auf der Aktivitäten, die in ihrem Konto aufgezeichnet werden. Außerdem spürt das Tool auf, wenn an einem Computer mehrere SAP-Benutzer arbeiten, und meldet dies.

Security Weaver bringt auch ein internes Rollenmanagement mit, welches automatisch ausasgekräfitge Dokumentationen zu den entwickelten Rollen erzeugt und deren Transport in die weitere Systemlandschaft vorbereitet. Außerdem ist es möglich, einen Genehmigungsprozess zu implemeniteren, über den Manager die Aktivierung von Rollen erst genehmigen müssen. Dieser Genehmigungsprozess basiert auf Wunsch komplett auf E-Mail und passiert daher auch von mobilen Geräten aus, von überall auf der Welt, ohne Zugang zum SAP-System zu erfordern.

Auch das Testen der rollen ist über die sogenannte Validation Workbench möglich. Sobald die Testphase abgeschlossen ist, werden die Rollen automatisch in einen Transportauftrag verschoben und transportiert. Desweiteren baut das Tool ein systemunabhängiges, zentrales Rollenverzeichnis auf, sodass Administratoren auf einen Schlag alle in der Systemlandschaft eingesetzten Rollen im Blick haben.

Ein weiteres Produkt von Security Weaver ist Emergency Access. Dieses Tool verwaltet den sogenannten Firefighting-Zugang, also einen Notfall-Zugriff auf das SAP-System mit angehobenen Berechtigungen. So kann es beispielsweise möglich sein, den Zugriff basierend auf vorkonfigurierter Konditionen bereitzustellen und dabei die Aktivitäten des Benutzers eindeutig mitzuprotokollieren. Die Aktivitäten im Protokoll können im toolinternen Reporting übersichtlich dargestellt und nachvollzogen werden.

Somit ist es einem Administrator möglich, sich selbst  Notfallbrechtigungen zuzuweisen, natürlich nicht ohne dass seine Tätigkeiten exakt protokolliert werden. es ist aber auch möglich, betriebswirtschaftlichen SAP-Anwendern bestimmte Berechtigungen nur für eine kurze Zeit zu geben und danach wieder automatisiert zu entziehen, so dass auch dieser Prozess vollautomatisch ablaufen kann und der User nicht dauerhaft mit angehoebenen Berechtigungen im System unterwegs ist.

Der Zugang zu Notfallberechtigungen kann eine Authentifzierung durch digitale signaturen erfordern, was wiederum die Anforderungen der US Food and Drug Administration (FDA) erfüllt. Diese Notfallrollen müssen dann von sogenannten Role Approvers genehmigt werden, bevor sie dem Antragsteller zugewiesen werden.

Das sogenannte Security Weaver Transaction Archive sammelt sammelt eine ausführungshistorie von SAP Transaktoinscodes innerhlab von ABAP Systemen. die Daten können dann zur Erfolgskontrolle von Schulungen, zur forensischen Analyse oder zur statistischen Auswertung genutzt werden. Die Statistik zeigt nicht nur den Transaktionscode an, sondern auch beispielsweise, welche programme damit augseführt wurden, welche tabellen in der SE16 aufgerufen wurden, welche schaltflächen angeklickt wurden, welche Berichte aufgerufen wurden und ob Transaktionen im Anzeige- oder im Änderungsmodus aufgerufen wurden.

Eine findige Unternehmensberatung kann Sie bei der Implementierung der von Security Weaver angebotenen Technologien unterstützen. Egal ob Sie den Prozess intern oder extern etablieren: Er trägt auf jeden Fall zur Erhöhung Ihrer internen Systemsicherheit und der Verbesserung Ihrer Effizienz bei Rolleneskalationen bei.

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren …

1 Antwort

  1. 6. Juli 2017

    […] Security Weaver Produkte zur Verbesserung der Sicherheit Ihrer SAP-Systemlandschaft […]

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.