Standardberechtigung
SAP FICO Berechtigungen
Nutzen Sie den Standardreport RSUSR003 (bzw. die dazugehörige Transaktion RSUSR003) zur Prüfung der Standardbenutzer auf Initialpasswörter und zur Sicherstellung der Sicherheitsrichtlinien, die diesen Benutzern zugeordnet sind. Dazu können Sie auf der Startseite ein eigenes Layout definieren und verwenden. Nach der Ausführung des Reports wird Ihnen eine Übersicht der vorhandenen Standardbenutzer in den unterschiedlichen Mandanten angezeigt. Diese beinhaltet den Passwortstatus, ein Sperrkennzeichen, die Gründe für die Sperre, die Anzahl der Falschanmeldungen, die Gültigkeitszeiträume der Benutzer sowie die den Benutzern zugeordneten Sicherheitsrichtlinien. Die Sicherheitsrichtlinien werden Ihnen angezeigt, damit Sie nachvollziehen können, ob für diese Benutzer spezielle Anmeldebedingungen oder Passwortregeln gelten.
Bei einer SAP-Security-Prüfung steht insbesondere die Berechtigungsvergabe im Mittelpunkt. Sie ermöglicht Benutzern erst die Arbeit am SAP-System, kann sich jedoch u. U. ungewollt zu Funktionstrennungskonflikten oder gar gesetzeskritischen Befugnissen aufsummieren. Daher sind regelmäßig Tools zur technischen Analyse einzusetzen, die den Status quo der Berechtigungsvergabe und somit die Grundlage für eine Optimierung liefern.
Berechtigungen für Spoolaufträge vergeben
Damit Sie diesen Tabelleneintrag transportieren können, müssen Sie in der Transaktion SE09 in die Objektliste des Transportauftrags gehen und dort manuell einen Eintrag mit dem Objektschlüssel R3TR TABU KBEROBJ anlegen. Per Doppelklick gelangen Sie dann zum Pflegebild für die Schlüsselliste, in der Sie einen Eintrag mit * anlegen müssen. Dies bewirkt, dass alle Einträge der Tabelle KBEROBJ transportiert werden, die mit einem Leerzeichen beginnen. Anschließend müssen Sie noch das Feld RESPAREA zur Organisationsebene erheben. Folgen Sie dazu bitte der Anleitung in unserem Tipp 49, »Neue Organisationsebenen hinzufügen«. Wenn Sie mehr als eine Kostenstellen- oder Profit-Center-Hierarchie mit Vererbungslogik für die Berechtigungen nutzen, müssen Sie dies im Customizing der Kostenrechnungskreise über die Transaktion OKKP einstellen. Dort können Sie in den jahresunabhängigen Grunddaten entscheiden, welche Hierarchien Sie verwenden möchten. In den jahresabhängigen Grunddaten definieren Sie dann, welche Hierarchien pro Geschäftsjahr verwendet werden sollen. Sie können für die Kostenstellen und Profit-Center jeweils bis zu drei Hierarchien für die Berechtigungsvergabe nutzen.
Ich zeige auf, wie SAP-Berechtigungen durch den Einsatz des Three-Lines-of-Defense-Modells bewertet und überwacht werden können. Diese Methode kann angewandt werden, auch wenn das Modell nicht für alle Unternehmensrisiken genutzt wird. Sie erfahren, wie die verschiedenen Beteiligten in die Verteidigungslinien integriert und das Wissen für den Prozess harmonisiert werden. Außerdem auch, welche Tools jeweils für Kontrollen und Bereinigungen eingesetzt werden können. Dies gewährleistet beispielsweise, dass Führungskräfte in der Lage sind, die Risiken zu bewerten und Maßnahmen ableiten zu können und dass Administratoren die Risiken technisch bereinigen können.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Die erste Anforderung nach zusätzlichen Prüfungen bei der Durchführung von Belegbuchungen können Sie mithilfe der Belegvalidierung umsetzen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Auch können Sie Berechtigungsprüfungen in Standardtransaktionen ergänzen, wenn die bestehenden Prüfungen Ihre Anforderungen nicht abdecken.