SAPS = Geschwindigkeit × Durchsatz
Rechtebasierte Workflows in der Buchhaltung
Zu einem sicheren SAP-System gehört nicht nur ein gutes Rollenkonzept. Es muss auch überprüft werden, ob ein Nutzer eine bestimmte Rolle überhaupt (noch) besitzen soll. Die regelmäßige Überprüfung der Rollenzuordnung wird als Rezertifizierung bezeichnet. In diesem Blogbeitrag möchte ich Ihnen die Notwendigkeit von Rezertifizierungen näherbringen und unser eigenes Tool, den EasyReCert, vorstellen. Die Notwendigkeit der Rezertifizierung - Szenarien: Beispiel 1: Das „Azubi Problem“ Stellen Sie sich folgendes Szenario vor: Ein neuer Mitarbeiter (beispielsweise ein Azubi oder Trainee) durchläuft im Rahmen seiner Einarbeitung verschiedene Abteilungen und arbeitet in verschiedenen Projekten mit. Natürlich wird Ihrem Mitarbeiter gleich zu Beginn ein SAP User zur Verfügung gestellt, welcher mit entsprechenden Rollen versehen ist. Beim Durchlauf der einzelnen Projekte und Abteilungen benötigt der Mitarbeiter immer wieder neue Berechtigungen, um den Anforderungen gerecht zu werden. Nachdem der Mitarbeiter seine Einarbeitung erfolgreich abgeschlossen hat und nun eine feste Stelle besetzt, verfügt er immer noch über Berechtigungen, die zur Bearbeitung seiner Aufgaben nicht nötig sind. Dies verletzt das Prinzip des „least privilede“ und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Beispiel 2: Der Abteilungswechsel Ein Szenario, welches wohl in jedem Unternehmen vorkommt, ist der Abteilungswechsel. Sollte bei einem Abteilungswechsel nicht automatisch eine komplette Neuvergabe der Rollen durchgeführt werden und der Mitarbeiter seine alten Berechtigungen einfach mitnehmen, können sehr schnell kritische Kombinationen von Berechtigungen auftreten. So verletzt ein Mitarbeiter, der beispielsweise über Berechtigungen in der Kreditoren- und Debitorenbuchhaltung verfügt, das Prinzip SoD („Segregation of Duties“) und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Rezertifizierung im Rahmen einer Revision: Die beiden genannten Beispiele zeigen, dass eine regelmäßige Überprüfung der Rollenvergabe potentielle Sicherheitsrisiken für Ihr Unternehmen aufzeigt und sich diese so beheben lassen.
Simulationen mit SAP-Benchmarks liefern uns also wertvolle Ergebnisse, die uns helfen, reale SAP-Systeme zu konfigurieren. Einige Punkte können SAP-Benchmarks dagegen nicht berücksichtigen. Die Benchmarks berücksichtigen nur die Transaktionsverarbeitung (Online Transaction Processing, OLTP) der entsprechenden Anwendung, da diese normalerweise als performancekritischer eingestuft werden als das Reporting (Online Analytical Processing, OLAP). (Das Buchen von Kundenaufträgen, Lieferungen und Rechnungen ist wichtiger als das Reporting über diese Prozesse.) Reporting-Aktivitäten sind normalerweise datenbanklastiger; daher wird in einem realen SAP-System der Anteil der Datenbanklast im Verhältnis zur Dialog- und Verbuchungslast größer sein; typischerweise wird der Anteil der Datenbankinstanz zwischen 10 und 30 % liegen. Das Verhältnis der Anzahl der Dialog- Workprozesse zur Anzahl der Verbuchungs-Workprozesse ist darüber hinaus von den konkreten Anforderungen an das System abhängig.
Verarbeitung über Schnittstellen
Um den Kontrollen durch die Iris-Scanner und letztendlich seiner eigenen Festnahme zu entkommen, lässt er sich von einem Arzt illegal neue Augen einsetzen und agiert fortan unter einer neuen Identität. Mithilfe der neuen Augen gelingt ihm letztendlich der Zutritt in den gesicherten Bereich der „Precogs“ und er kann mit seinen Nachforschungen beginnen. Durch dieses „Biohacking“ täuscht er nicht nur die biometrischen Sicherheitssysteme – er kompromittiert das höchste Kontrollsystem der Polizei. Alles nur Geschichten!? „Tolle Geschichten!“, denken Sie nun. Auf eine einfach Verkleidung fällt doch heute keiner mehr rein. Und überhaupt: Biometrische Sicherheitssysteme und Augentransplantation? Es ist nicht umsonst ein Science-Fiction-Film! Was hat das nun mit RFC Sicherheit zu tun? In Ordnung, ich kann Ihre Zweifel verstehen. Aber, wie gefällt Ihnen denn beispielsweise die folgende Geschichte. RFC Sicherheit und die Kunst des Identitätswandels Deutschland, überall, 2017: Johannes Voigt ist seit einigen Jahren Mitarbeiter in einem mittelständischen Unternehmen. Er gilt als zuverlässiger und gewissenhafter Entwickler aus der ITAbteilung. In Wahrheit fühlt er sich immer häufiger ungerecht behandelt. Er beschließt, dass er seinen Frust nicht länger mit sich herumtragen möchte.
Die Support Packages wurden erfolgreich in ein System (Test- oder Entwicklungssystem) eingespielt. Sie haben den Modifikationsabgleich durchgeführt. Vorgehensweise Laden Sie die Support Packages in das nächste System (Qualitäts- oder Produktivsystem). Dabei müssen Sie die folgenden Fälle unterscheiden: Ihre Systeme haben ein gemeinsames Transportverzeichnis: Releasestand 3.x: Falls die *.ATT-Dateien nicht vorhanden sind, führen Sie RSEPSDOL im Quellsystem aus und dann RSEPSUPL im Zielsystem. Wenn die *.ATT-Dateien vorhanden sind, führen Sie nur RSEPSUPL im Zielsystem aus. Releasestand 4.x: Wählen Sie SPAM Support Package Hochladen im Zielsystem. Ihre Systeme haben kein gemeinsames Transportverzeichnis: Releasestand 3.x: Führen Sie RSEPSDOL im Quellsystem aus, um die *.ATT-Dateien zu erzeugen, falls sie noch nicht vorhanden sind. Übertragen Sie mit ftp alle Dateien mit der Extension *.PAT im Binärmodus und alle mit der Extension *.ATT im ASCII-Modus aus dem Verzeichnis /usr/sap/trans/EPS/in (UNIX und AS/400) bzw. :\usr\sap\trans\EPS\in (Windows NT) des Quellsystems in das Transportverzeichnis des Zielsystems. Führen Sie RSEPSUPL im Zielsystem aus. Releasestand 4.x: Übertragen Sie mit ftp im Binärmodus alle Dateien mit der Extension *.PAT aus dem Verzeichnis /usr/sap/trans/EPS/in (UNIX und AS/400) bzw. :\usr\sap\trans\EPS\in (Windows NT) des Quellsystems in das Transportverzeichnis des Zielsystems. Wählen Sie SPAM Support Package Hochladen im Zielsystem. Spielen Sie die Support Packages wie gewohnt ein. Importieren Sie den Modifikationsabgleich-Transport. Schritte der SPAM Der SAP Patch Manager informiert Sie in der Statuszeile über den Schritt, der gerade ausgeführt wird. Wenn Sie wissen möchten, welche Schritte für welches Szenario ausgeführt werden, dann führen Sie das Programm RSSPAM10 aus.
Mit "Shortcut for SAP Systems" werden Aufgaben im Bereich der SAP Basis vereinfacht und fehlende Funktionen des Standards ergänzt.
Angreifer haben schnell einen gefährlichen Wissensvorsprung vor diesen Nutzergruppen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Stellen Sie sicher, dass Sie wirklich an alles Nötige gedacht haben! (fehlende Testdaten, nicht repräsentative Testumgebung, instabil).