Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden
BERECHTIGUNGEN FÜR BATCH-VERARBEITUNG IM SAP NETWEAVER UND S/4HANA-UMFELD
Bestimmte SAP-Berechtigungen, darunter solche zur Tabellenpflege (S_TABU_*) bedürfen aus Gründen des Datenschutzes besonderer Aufmerksamkeit. Hierbei spricht man von so genannten Kritischen Berechtigungen. Im Zuge der Berechtigungsplanung sollte ein Unternehmen festlegen, welche Berechtigungen als kritisch anzusehen sind, welche Rollen welche kritischen Berechtigungen bzw. Werte für kritische Berechtigungsfelder erhalten dürfen etc. Das Bundesamt für Sicherheit in der Informationstechnik hat detaillierte Hinweise zur Definition kritischer Berechtigungen zusammengestellt.
Die Passwörter der Benutzer sind im SAP-System als Hash-Werte abgelegt. Die Qualität der Hash-Werte und damit deren Sicherheit, hängt aber von den eingesetzten Hash-Algorithmen ab. Die früher in den SAP-Systemen eingesetzten Hash-Algorithmen sind nicht mehr als sicher einzustufen; sie können innerhalb kurzer Zeit mit einfachen technischen Mitteln geknackt werden. Sie sollten daher die Passwörter in Ihrem System auf verschiedene Weise absichern. Zuerst sollten Sie den Zugang zu den Tabellen, in denen die Hash-Werte der Passwörter abgelegt sind, stark einschränken. Dies betrifft die Tabellen USR02 und USH02 sowie in neueren Releases die Tabelle USRPWDHISTORY. Am besten weisen Sie diesen Tabellen eine eigene Tabellenberechtigungsgruppe zu, wie es in Tipp 55, »Tabellenberechtigungsgruppen pflegen«, beschrieben wird. Zusätzlich sollten Sie auch die Zugriffe über das Berechtigungsobjekt S_TABU_NAM kontrollieren.
Die Transaktionen SU22 und SU24 richtig verwenden
Wir verfolgen bei einem Redesign das Prinzip der stellenbezogenen Arbeitsplatzrollen, um das Jobprofil der Mitarbeiter technisch abzubilden. Um den Aufwand für gleiche Jobprofile mit unterschiedlichen organisatorischen Zugehörigkeiten zu minimieren, werden die Organisationseinheiten über eine Zusatzrolle vererbt. Die Trennung der technischen und organisatorischen Anforderungen erleichtert die Rollenentwicklung und -änderung erheblich. Benötigen bestimmte Personen, beispielsweise Teamleiter, erweiterte Berechtigungen, werden dafür Key-User-Rollen entwickelt, welche die bestehende Arbeitsplatzrolle erweitern.
Wenn Sie die Konfigurationsvalidierung nutzen, empfehlen wir Ihnen trotzdem die gelegentliche Nutzung der AGS Security Services, wie des EarlyWatch Alerts und des SAP Security Optimization Services, die wir in Tipp 93 »AGS Security Services nutzen«, beschreiben. SAP hält die Vorgaben und Empfehlungen in den AGS Security Services aktuell und passt sie an neue Angriffsmethoden und Sicherheitsvorgaben an. Haben Sie im Rahmen eines Security Services neue Sicherheitsaspekte erkannt, können Sie Ihre Zielsysteme entsprechend einstellen und diese Aspekte künftig ebenfalls überwachen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Auch könnte es sein, dass Mitarbeiter ihren SAP-Benutzer aufgrund eines Positionswechsels nicht mehr nutzen oder dass Externe eine Zeit lang nicht am SAP-System arbeiten.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Wer über wertvolles, persönliches Eigentum verfügt, übernimmt hierfür Verantwortung – so wie bspw. ein Hausherr.