Optimierung der SAP-Lizenzen durch Analyse der Tätigkeiten Ihrer SAP-User
Über die Wichtigkeit des Berechtigungskonzept bei der Umstellung auf SAP S/4HANA
Bei der Sicherheitsbetrachtung von SAP-Transportlandschaften ist nicht nur das Produktivsystem prüfungsrelevant. Auch die anderen Systeme, einschließlich der Entwicklungssysteme, sind in die Risikobetrachtungen einzubeziehen. Noch immer wird dort häufig das Profil SAP_ALL genutzt, anstelle konkreter Rollen. Dieser Beitrag zeigt hier die wesentlichen Risikofelder auf.
Sicherheitswarnungen des Security Audit Logs können Sie außerdem über das Alert-Monitoring Ihres Computing Center Management Systems (CCMS) überwachen. Die erzeugten Sicherheitswarnungen entsprechen dabei den Auditklassen der Ereignisse, die im Security Audit Log definiert sind. Viele Unternehmen haben zusätzlich die Anforderung, die Ereignisse des Security Audit Logs auch in anderen Anwendungen darzustellen. Hierzu ist eine Auswertung durch externe Programme erforderlich, die über die XMI-BAPIs (XML Metadata Interchange) erfolgen kann. Für eine entsprechende Konfiguration müssen Sie der Dokumentation zur XMI-Schnittstelle folgen. Außerdem können Sie das Beispielprogramm RSAU_READ_AUDITLOG_ EXTERNAL als Vorlage nutzen. Eine Beschreibung zu diesem Programm finden Sie im SAP-Hinweis 539404.
Vergabe von Rollen
Bei der Anzeige oder dem Buchen von Belegen im SAP-Finanzwesen reichen Ihnen die Standardberechtigungsprüfungen nicht aus? Nutzen Sie die Belegvalidierung, BTEs oder BAdIs für zusätzliche Berechtigungsprüfungen. Das Buchen von Belegen und häufig auch deren Anzeige wird durch Standardberechtigungsprüfungen geschützt; diese erfüllen aber gegebenenfalls nicht Ihre Anforderungen.
Wir empfehlen Ihnen daher, einen Hintergrundjob über die Transaktion PFUD einzuplanen, der einen regelmäßigen Benutzerabgleich durchführt (siehe Trick 17, »Transaktion PFUD regelmäßig einplanen«). Haben Sie übrigens gewusst, dass Sie über den Profilparameter auth/tcodes_not_checked die Transaktionsstartberechtigung für die Transaktionen SU53 und SU56 ausschalten können? Tragen Sie hierzu den Wert SU53, SU56 oder SU53 SU56 für den Profilparameter ein. Damit benötigt der Endanwender nicht mehr die Berechtigungen für die Ausführung dieser Transaktionscodes über das Berechtigungsobjekt S_TCODE.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Die Korrekturen und eine Übersicht über die erforderlichen Support Packages finden Sie in den SAP-Hinweisen 1411741 und 1465495.
Diese sind jedoch nachvollziehbar zu dokumentieren, damit ein externer Prüfer, wie es eben der IT-Prüfer des Wirtschaftsprüfers ist, verplausibilisieren kann.