System-Trace-Funktion ST01
SAP Berechtigungstrace – Einfache Übersicht über Berechtigungen
Im Rahmen der Einführung eines Security-Patch-Prozesses werden Sie, abhängig von Ihrem Release- und Support-Package-Stand, viele Sicherheitshinweise auswerten müssen. In diesem Fall können Sie mithilfe des Reports RSECNOTE bzw. mithilfe des EarlyWatch Alerts auswerten, welche Sicherheitshinweise durch den SAP Active Global Support als besonders kritisch eingestuft wurden. Der Report RSECNOTE wird seit März 2013 nur noch sehr eingeschränkt gepflegt und enthält daher nur wenige neue Sicherheitshinweise. Trotzdem bietet er gute Anhaltspunkte für die initiale Bereinigung von Sicherheitslücken.
Im Rahmen des Erkennens von Berechtigungsproblemen sollte dokumentiert werden, was die Gefahren sind, wenn die aktuelle Situation beibehalten wird. Oftmals wollen Verantwortliche im Unternehmen keine Korrektur vornehmen, weil diese Kosten und Arbeit verursacht. Wenn das aktuelle Konzept funktioniert und Sicherheitslücken abstrakt sind, scheuen sich viele Verantwortliche, etwas zu ändern. Aus diesen Gründen sollte zunächst dokumentiert werden, welche Probleme und Gefahren lauern, wenn das aktuelle Konzept nicht korrigiert wird: Zunächst erhöht sich die Gefahr von Betrug, Diebstahl sowie Datenschutz- und Sicherheitsverstößen. Die Dokumentation kann helfen zu erkennen, wo Gefahren liegen. Es besteht grundsätzlich das Problem, dass dem Unternehmen ein finanzieller Schaden entsteht, wenn nicht gehandelt wird. Eine weitere Gefahr besteht darin, dass Anwender mit ihren Berechtigungen experimentieren und Schaden verursachen, der sich durch eine saubere Berechtigungsstruktur vermeiden lässt. Ebenfalls ein Problem ist der erhöhte Administrationsaufwand der Berechtigungsvergabe und -Verwaltung. Der Aufwand steigt an, wenn die aktuelle Rollenzuordnungen nicht transparent und optimal strukturiert sind.
Automatische Synchronisation in der Zentralen Benutzerverwaltung verwenden
Bitte beachten Sie, dass in Abhängigkeit vom Ergebnis des Reports RSUSR003 eine System-Log-Meldung vom Typ E03 erzeugt wird. Sollte ein kritisches Merkmal (rot hinterlegt) erkannt werden, wird der Meldungstext »Programm RSUSR003 meldet ›Security violation‹« in das System-Log geschrieben. Falls kein kritisches Merkmal erkannt wurde, wird stattdessen die Meldung »Programm RSUSR003 meldet ›Security check passed‹« ausgegeben. Diese Meldung erfolgt, da die Information zum Passwortstatus der Standardbenutzer hochgradig sicherheitsrelevant ist und Sie die Zugriffe darauf nachvollziehen können sollten. Sie können der Benutzer- und Systemadministration Änderungsberechtigungen für den Report RSUSR003 erteilen oder nur eine Ausführungsberechtigung mit dem Berechtigungsobjekt S_USER_ADM und dem Wert CHKSTDPWD im Feld S_ADM_AREA vergeben. Diese Berechtigung beinhaltet keine Änderungsberechtigungen für die Benutzerverwaltung und kann daher auch an Auditoren vergeben werden.
Sie können den Benutzerabgleich direkt in der Transaktion PFUD durchführen. Hier können Sie zwischen den Abgleichsarten Profilabgleich, Abgleichindirekter Zuordnungen aus Sammelrollen und Abgleich HR-Organisationsmanagement für bestimmte PFCG-Rollen wählen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
DDIC existiert in allen Mandanten außer im Mandanten 066.
Es werden jedoch nur Profile und keine Rollen in den Berechtigungspuffer geladen.