Löschen von Versionen
Mitigierung von GRC-Risiken für SAP-Systeme
Viele Unternehmen konvertieren gerade ihre aktuellen SAP Systeme von einem ERP Stand auf ein SAP S/4HANA System. Durch diese Konvertierung kommen auf die jeweiligen Unternehmen viele technische und auch organisatorische Komponenten zu. Hierbei ist der Zeitfaktor zur Ermittlung, Organisation und Implementierung der notwendigen Komponenten nicht zu unterschätzen. Der Bereich Security wird hierbei oft gedanklich vernachlässigt, kann aber im Nachhinein zu großen Problemen und ggf. imagebedingten Schäden – und daraus resultierenden finanziellen Einbußen – führen. Daher sollte die Implementierung eines vollumfänglichen Berechtigungskonzeptes so früh wie möglich innerhalb der Projektphase berücksichtigt werden, da hier mehrere Komponenten ineinandergreifen.
Die Berechtigungen in SAP-Systemen bilden die Grundlage für das Identity & Access Management. Sie ermöglichen den Benutzern Zugriff auf die für die Ausübung ihrer Tätigkeiten notwendigen Anwendungen. Da fachliche und organisatorische Anforderungen Änderungen unterliegen, müssen SAP-Berechtigungen regelmäßig einer Kontrolle und Nachbearbeitung unterzogen werden. Nur so ist gewährleistet, dass Prozesse sicher und technisch vollständig korrekt abgebildet werden.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Sie können sich die Inhalte der geprüften Berechtigungsfelder anschauen, indem Sie doppelt auf die jeweiligen Variablen klicken. Auf der Registerkarte Variablen 1 werden die Variablen mit den jeweiligen Werten, die für diese Berechtigungsprüfung herangezogen werden, angezeigt. Diese Werte entsprechen den Werten, die Sie auch im Systemtrace für Berechtigungen sehen. Wenn eine Berechtigungsprüfung mit SY-SUBRC = 0 endet, obwohl keine passenden Berechtigungen vorliegen, prüfen Sie, ob die Prüfung lokal über die Transaktionen SU24 oder global über die Transaktion SU25 bzw. AUTH_SWITCH_OBJECTS abgeschaltet wurde.
Spielen Sie den SAP-Hinweis 1695113 in Ihr System ein. Mit diesem Hinweis werden die Reports RSUSR200 und RSUSR002 um die Selektion verschiedener Benutzersperren oder -gültigkeiten erweitert. Dabei können Sie nun in der Selektion unterscheiden, ob Sie Benutzer mit Administrator- oder Passwortsperren in der Auswahl berücksichtigen oder diese ausschließen möchten. Zusätzlich können Sie im Report RSUSR200 selektieren, ob die Benutzer am Tag der Selektion gültig sein sollen oder nicht. Wählen Sie dazu im Selektionsbild des Reports RSUSR200 im Abschnitt Selektion nach Sperren im Feld Benutzersperren (Administrator) aus, ob Sie die Benutzersperren als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren wollen. Dabei werden lokale und globale Administratorsperren berücksichtigt. Auch können Sie im gleichen Abschnitt im Feld Kennwortsperren (Falschanmeldungen) diese als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren. Dies bewirkt ein Filtern nach Benutzern, die aufgrund falscher Passwortanmeldungen gesperrt sind und für die eine Passwortanmeldung nicht mehr möglich ist. Diese Selektionskriterien können Sie gemeinsam oder separat auswählen. Alternativ können Sie auch die Option Nur Benutzer ohne Sperren verwenden und zusätzlich im Abschnitt Selektion nach Gültigkeit des Benutzers zwischen Benutzer heute gültig und Benutzer heute nicht gültig wählen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Daher sollten Sie solche Einträge bereits vorher bereinigen und gegebenenfalls zwei unterschiedliche Rollen erstellen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Ergänzen oder ändern Sie die Berechtigungen, ändert sich der Pflegestatus entweder auf Gepflegt oder auf Verändert.