Konzepte der SAP Security
IKS für die Geschäftsprozesse in SAP-Systemen
Nach diesen Vorbereitungen geht es nun an die Ausprägung des User-Exits in der soeben angelegten Validierung. Dazu kopieren Sie die User-Exit-Definition im angelegten kundeneigenen Programm, bestimmen einen Namen für die User-Exit-Definition (z. B. UGALI) und legen ein neues Textelement an.
Zum Lesen oder Ändern von Daten muss ein Benutzer sowohl das Privileg haben, eine bestimmte Aktion ausführen zu dürfen, als auch das Privileg, auf das Objekt zugreifen zu können. In SAP HANA werden die folgenden Privilegien unterschieden.
Mitigierung von GRC-Risiken für SAP-Systeme
Sind die Änderungen an Ihren SU24-Daten mit Schritt 2a nicht erkannt worden oder haben Sie Transporte aus anderen Systemlandschaften in Ihr System importiert, haben Sie die Möglichkeit, die Zeitstempeltabellen zurückzusetzen und somit noch einmal von vorn anzufangen. Lassen Sie dafür den Report SU24_AUTO_REPAIR in einem System, das noch auf dem Stand des Altrelease ist, laufen, sodass das Modifikationsflag korrekt gesetzt wird (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Anschließend legen Sie einen Transport an und transportieren Ihre SU24- Daten in das System, das auf dem Stand des neuen Release ist. Löschen Sie nun Ihre Zeitstempeltabellen. Dafür können Sie den Report SU25_INITIALIZE_TSTMP verwenden. Ab SAP NetWeaver 7.31 haben Sie die Auswahlmöglichkeiten, den Referenzzeitstempel aus den SU22-Daten zu setzen oder die Inhalte der Zeitstempeltabellen zu löschen. Anschließend können Sie Schritt 2a erneut ausführen.
Werten Sie die Kritikalität der Sicherheitshinweise für Ihr Unternehmen aus und berücksichtigen Sie dabei auch die Risiken, die durch das Einspielen der SAP-Hinweise entstehen können. Dies können z. B. Risiken oder Aufwände durch Veränderung und die entsprechenden Tests in einem produktiv genutzten Geschäftsprozess sein. Abhängig von dieser Auswertung entscheiden Sie, welche Sicherheitshinweise Sie direkt einspielen und welche Hinweise im Rahmen des nächsten Wartungszyklus implementiert werden sollen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Bei mittelgroßen Unternehmen lohnt sich der Einsatz in der Regel ebenfalls.
Möchten Sie den Zugriff auf die Tabellen explizit über das Berechtigungsobjekt S_TABU_NAM gewähren, können Sie für jeden Tabellenzugriff eine Parametertransaktion erstellen.