Konzepte der SAP Security
SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Sie können nicht auf alles selbst ein Auge haben. Verhindern Sie daher, dass Ihre Kollegen Benutzern keine Benutzergruppe zuordnen, und sichern Sie so die korrekte Berechtigungsprüfung bei der Benutzerstammdatenpflege. Sie möchten nicht, dass ein Benutzer ohne Benutzergruppe in Ihren SAP-Systemen angelegt werden kann? Benutzer ohne Benutzergruppe können von allen Administratoren mit einer Berechtigung für beliebige Benutzergruppen geändert werden. Außerdem sollten Sie unvollständige Berechtigungsprüfungen bei der Zuordnung von Rollen und Profilen an Benutzer ohne Berechtigungsgruppe unterbinden. Denn es ist möglich, einem Benutzer zuerst Rollen und Berechtigungen zuzuweisen und erst später eine Benutzergruppe zuzuordnen, für die keine Berechtigung zur Zuordnung von Rollen und Profilen vorliegt. Sie möchten schließlich für einen bestehenden Benutzer die Benutzergruppe ändern, ohne eine Berechtigung für die neue Benutzergruppe zu haben? Wir zeigen Ihnen im folgenden Abschnitt, wie Sie die Absicherung Ihrer Benutzerstammdatenpflege vornehmen können.
Kritische Berechtigungen sind Berechtigungen, mit denen es möglich ist, sicherheitsrelevante Konfigurationen im SAP-System einzusehen bzw. zu ändern oder Aktivitäten auszuführen, die aus rechtlicher oder betriebswirtschaftlicher Sicht als kritisch einzustufen sind. Dazu gehört auch der Zugriff auf sensible Daten, die z. B. personenbezogen sind. Kritische Berechtigungen an sich sind nur dann wirklich kritisch und stellen ein Risiko dar, wenn diese in die falschen Hände gelangen. Bei der Nutzung von kritischen Berechtigungen sollten Sie in jedem Fall den Grundsatz der restriktiven Vergabe von Rechten beachten. Es gibt keine allgemeinen Risikodefinitionen; darum sollte jedes Unternehmen für sich die Compliance-Vorgaben definieren. Die Identifikation kritischer SAP-Berechtigungen ist eine wichtige Aufgabe und sollte in jedem Unternehmen durchgeführt werden. Besonderes Augenmerk sollte nicht nur auf die Vergabe der Transaktionen gerichtet werden, sondern auch auf die Werteausprägungen der einzelnen Berechtigungsobjekte. Es ist wichtig zu erwähnen, dass präventive regelmäßige Kontrollen nicht zwingend aufwendig sein müssen. Sie führen jedoch zu einer besseren Transparenz und Sicherheit.
Zu umfangreiche Berechtigungen beim HR-Reporting verhindern
Die für das System verantwortlichen Personen sollten Rollenbeschreibungen am besten vorab mit Ihren Fachbereichen erarbeiten und außerhalb von SAP SuccessFactors dokumentieren (wie bspw. in Abb. 2). Bei Rückfragen können sie mit dieser Grundlage genau erklären, warum jemand eine bestimmte Berechtigung bekommen hat. Die Rollenbeschreibungen und der Bericht helfen dabei, DSGVO-konform zu arbeiten. Da sich der Bericht automatisch aktualisiert, haben Unternehmen keinen zusätzlichen Aufwand für das Dokumentieren der Änderungen – eine ungeliebte (und oft „vergessene“) Aufgabe weniger.
Da der Pflegeaufwand zu groß wäre, wenn einzelne Berechtigungen in den Benutzerstammsatz eingetragen würden, können Berechtigungen zu Berechtigungsprofilen zusammengefaßt werden. Änderungen an Zugriffsrechten werden für alle Benutzer wirksam, die das Profil im Stammsatz eingetragen haben.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Repariere defekte Feldliste in SU24-Vorschlagswerten: Diese Funktion überprüft, ob alle in den Berechtigungsvorschlägen verwendeten Berechtigungsobjekte konsistent sind, d. h. zu den Berechtigungsobjektdefinitionen aus Transaktion SU21 passen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Bei einem Wert von 8 besteht eine Inkonsistenz in der Definition des Berechtigungsobjekts und der Prüfung im Code – dies sollte nicht passieren! Beträgt der Wert 12, ist die Berechtigung nicht Teil Ihres Berechtigungspuffers.