Systemeinstellungen
Security Audit Log konfigurieren
Erhöhte Anforderungen an die Compliance und die Ausgestaltung Interner Kontrollsysteme konfrontieren Unternehmen mit einer steigenden Anzahl an Regeln darüber, wie SAP- (und weitere IT-)Systeme technisch geschützt werden müssen. Im SAP Berechtigungskonzept werden solche Rechtsnormen und unternehmensinterne Regeln konkretisiert. So ist dafür gesorgt, dass jeder Nutzer nur die Berechtigungen erhält, die er für seine Tätigkeit benötigt. Das unternehmerische Risiko lässt sich damit auf ein Mindestmaß reduzieren.
Das Konzept für Eigenentwicklungen ist für jede Firma obligatorisch, in der eigene Software geschrieben wird. Es nennt Vorgaben bspw. zu Aufbau, Namensgebung und Dokumentation der Programmkomponenten, insbesondere aber auch zum Umgang mit sicherheitskritischen Aspekten. Dabei sollte die Formulierung nicht zu allgemein gehalten werden, sondern explizit auf die Besonderheiten der Programmierung in SAP eingehen.
DIE „TOP SEVEN“
Besonders in Systemlandschaften, die schon lange in Betrieb sind, finden sich historisch gewachsene Berechtigungsstrukturen. Statt kleiner, modularer, stellenbezogener Rollen werden bestehende Rollen immer weiter ausgebaut und an verschiedene Mitarbeiter unterschiedlicher Stellen vergeben. Dies führt zwar kurzfristig zu weniger Verwaltungsaufwand, lässt aber die Komplexität der Rolle im Laufe der Zeit massiv ansteigen. Dadurch geht die Effizienz bei der Berechtigungsentwicklung immer mehr verloren.
Systembenutzer sind ebenfalls für den anonymen Zugriff gedacht. Sie werden in technischen Abläufen verwendet, die einen Benutzer erfordern, wie z. B. in Batch-Läufen oder RFC-Verbindungen. Mit ihnen ist daher keine Dialoganmeldung am SAP-System möglich, sondern nur die Anmeldung per RFC-Aufruf. Für einen Systembenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern (siehe auch die Erläuterung unter »Servicebenutzer«) greifen nicht. Das Passwort eines Systembenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Das AIS Cockpit befindet sich zurzeit noch in der Pilotauslieferung ohne SAP-Default-Auditstrukturen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Daher muss eine der folgenden explizit codierten Berechtigungsprüfungen für die Anweisung CALL TRANSACTION erfolgen.