So analysieren Sie SOD-Verstöße in SAP ERP und S / 4HANA: eine Übersicht

Beim Einrichten Ihres SAP-Berechtigungskonzepts beachten Sie zwei Regeln:
1. Zugriff minimieren (insbesondere auf sehr riskante Transaktionen / Daten)
2. Vermeiden Sie riskante Kombinationen von Zugriffsberechtigungen, z. B. das Erstellen eines Lieferanten und das Buchen einer Rechnung für denselben Lieferanten.

REMEDYNE verfügt über integrierte Steuerelemente für verschiedene SOD-Anwendungsfälle, z. B. SOD-Risiken, die Sie in der SOD-Matrix von SAP GRC Access Controls finden. Sie können jedoch ganz einfach Ihre eigenen neuen Regeln einrichten. Hier erklären wir einige Grundlagen, die Sie zu Beginn Ihrer Reise verstehen sollten.

Wo speichert SAP Informationen darüber, wer ein SAP Business Object erstellt oder geändert hat?

Wenn ein Benutzer einen Lieferanten im SAP-System erstellt, wird der Benutzername zusammen mit den Lieferantenstammdaten in gespeichert Tabelle LFA1. Die Felder sind LFA1: ERNAM (erstellt von).
Wenn nun ein Benutzer Daten für den Lieferanten ändert, werden Änderungen in SAP protokolliert Dokumente ändern: Änderungsbelege existieren für> 1500 Geschäftsobjekte in SAP ERP oder S / 4HANA, und Kunden können auch ihre eigenen Änderungsbelegarten erstellen. Grundsätzlich ist ein Änderungsbeleg ein einfacher Datensatz, der nur Informationen darüber enthält, welches Objekt von wem (Benutzername), wann und die Änderungsdetails (alter Wert / neuer Wert) geändert wurden. Alle Änderungsbelege werden in den Tabellen CDHDR und CDPOS gespeichert.

Wie können Sie die Daten nutzen?

Wir verwenden das obige Beispiel zum Erstellen oder Ändern eines Lieferanten und zum Buchen / Ändern einer Rechnung: Es gibt 4 mögliche SOD-Kombinationen, die Sie überprüfen müssen, um 100% der Risiken in den Szenarien abzudecken:

  1. Benutzer erstellt Lieferanten und bucht Rechnung
  2. Benutzer erstellt Lieferanten-Änderungsrechnung
  3. Benutzer wechselt Anbieter und bucht Rechnung
  4. Benutzer ändert Anbieter und ändert Rechnung

In allen Fällen kann der Benutzer versuchen, einen gefälschten Lieferanten / eine gefälschte Rechnung einzurichten oder die Bankdaten zu ändern und eine Zahlung umzuleiten.

Um alle 4 Szenarien abzudecken, müssen 4 Abfragen Daten aus verschiedenen Quellen abrufen, die Benutzernamen vergleichen und sicherstellen, dass die Rechnung vom selben Anbieter stammt:

  1. Benutzer erstellt Lieferanten und bucht Rechnung: Tabelle - Tabelle
  2. Benutzer erstellt Lieferanten hinzufügen Änderungsrechnung: Tabelle - Änderungsbeleg (Typ BELEG _oder_ INCOMINGINVOICE)
  3. Benutzer wechselt Lieferanten und bucht Rechnung: Dokumenttabelle ändern
  4. Benutzer ändert Lieferanten und ändert Rechnung: Dokument ändern - Dokument ändern

Die beteiligten Tabellen sind LFA1 und BKPF für Lieferant bzw. Rechnung, und die Änderungsbelegarten sind KRED (für den Lieferanten) und BELEG (Buchhaltungsbeleg) oder INCOMINGINVOICE (für MM-Rechnungen).

In diesem einfachen Beispiel gibt es 6 (!) Kombinationen, die Notwendigkeit, um alle möglichen Szenarien zu erfassen, abgedeckt werden.

Da das Lesen von Daten aus einer Tabelle und der Zugriff auf Daten in einem Änderungsdokument auf unterschiedliche Weise funktioniert, sind unterschiedliche Methoden und Tools erforderlich.

Wie REMEDYNE hilft, auf die Daten zuzugreifen und sie zu korrelieren

Wir haben 3 Tools entwickelt, die das Leben erleichtern und es ermöglichen, alle Transaktionen zu erkennen, bei denen ein Benutzer eine Transaktion mit hohem Risiko ausführt und Daten ändert oder eine Kombination von Transaktionen mit hohem Risiko entschuldigt / eine Kombination von Daten ändert.
Für einzelne Transaktionen, die als risikoreich gelten, können Sie die verwenden Einzelaktionstool: Hiermit können Sie definieren, welches Geschäftsobjekt und Änderungsdokument Sie überwachen möchten und sogar welches Feld Sie als kritisch betrachten, z. B. nur Änderungen an Bankdaten des Anbieters überwachen.
Für Kombinationen von Transaktionen können Sie die verwenden SOD-Tool und / oder der SQVI Query Viewer zusammen mit unserem Mapping-Tool. Das SOD-Tool ermöglicht den Zugriff auf Daten in Änderungsdokumenten und korreliert automatisch nur Änderungsdokumente, die „zusammengehören“, wie z. B. Rechnungen, die im Lieferumfang enthalten sind gleich Anbieter, der geändert wurde. Mit den SAP-Standard-SQVI-Transaktionen können Sie Analysen für Daten in Tabellen erstellen und ausführen.

Diese drei Tools sind ein eigenes Framework für die Verwaltung von Zugriffsverletzungen und können von Benutzern ohne Codierung eingerichtet werden.

In unserer Knowledge Base finden Sie Beispiele zum Einrichten von SOD-Steuerelementen mit diesen Tools.

Vom Risiko zur Minderung

Zugriffsrisiken wie aus der SOD-Matrix von SAP GRC Access Controls können in einigen Fällen vermieden werden, indem die SAP-Berechtigungsrollen geändert oder Benutzern bei der Neuorganisation von Arbeit und Prozessen unterschiedliche Rollen zugewiesen werden. In vielen Fällen können Unternehmen es jedoch nicht vermeiden, Benutzern Berechtigungskombinationen mit hohem Risiko zu erteilen, einfach weil es nicht so viele Benutzer gibt. In diesem Fall finden Sie Restrisiken in SAP GRC Access Controls und akzeptieren diese. Mit dem Zugriffsverletzungsmanagement von REMEDYNE können Sie Kontrollen für jedes verbleibende Risiko in SAP GRC einrichten und alle damit verbundenen Aktivitäten überwachen. Sie können Aktivitäten überprüfen und eine Vergütungskontrolle für diese Risiken durchführen lassen.