Analyse von Berechtigungen
Berechtigungskonzept – Rezertifizierungsprozess
Grundsätzlich empfehlen wir Ihnen, starke Verschlüsselungsmechanismen einzusetzen und die meisten Benutzer auf eine SSO-Anmeldung umzustellen. Die Hash-Werte der Benutzerpasswörter sollten Sie dann, wie oben beschrieben, löschen. Releaseabhängige Informationen zur SNC-Client-Verschlüsselung finden Sie im SAP-Hinweis 1643878.
Manche Abfragen sind auch mit der Transaktion SUIM ein wenig umständlich. Mit SAP Query können Sie schnell Abfragen zusammenbauen, die individuelle und komplexere Datenauswertungen ermöglichen. Wollen Sie schnell wissen, welche gültigen Benutzer aktuell einen ändernden Zugriff auf eine bestimmte Tabelle haben oder über welche Rollen die Benutzer die Berechtigung für eine bestimmte Transaktion erhalten? Für Datenabfragen dieses Typs ist das SAP-Standardwerkzeug, das Benutzerinformationssystem, für die meisten Recherchefälle eine hervorragende Lösung. Allerdings passiert es spätestens bei der nächsten Prüfung durch die Revision, dass gezielte Abfragen mit Datenkombinationen – und damit mehrere SUIM-Abfragefolgen – innerhalb kurzer Zeit geliefert werden müssen. SAP Queries können diese Tätigkeit erleichtern. Eine SAP Query ist im Wesentlichen eine übersichtliche Methode, um Tabellen abseits der Transaktion SE16 nach bestimmten Daten zu durchforsten. Dabei gibt es die Möglichkeit, mehrere Tabellen zu verknüpfen (Join), wodurch aus mehreren SE16-Abfragen nur eine SAP Query wird. Wollen Sie z. B. wissen, über welche Rollen die Benutzer die Berechtigung beziehen, die Transaktion SCC4 auszuführen, können Sie über die Transaktion SUIM zwar mit einer Abfrage feststellen, welche Benutzer die Transaktion ausführen können und sich in einer anderen Abfrage anzeigen lassen, welche Rollen dies ermöglichen – jedoch gibt es hier kein Ergebnis, in dem beides angezeigt wird.
Nach fehlenden Berechtigungen tracen
Ein rotes Symbol wird bei den Berechtigungsprüfungen im EWA nicht vergeben, da die Bewertung für jedes Unternehmen individuell vorgenommen werden muss. Auch gibt es unterschiedliche Anforderungen innerhalb der Systemlandschaft, z. B. an Produktiv- oder Entwicklungssystem. Der EWA ist bewusst nicht kundenspezifisch einstellbar, denn er soll Kunden auf von SAP als kritisch eingestufte Einstellungen hinweisen.
Ich zeige auf, wie SAP-Berechtigungen durch den Einsatz des Three-Lines-of-Defense-Modells bewertet und überwacht werden können. Diese Methode kann angewandt werden, auch wenn das Modell nicht für alle Unternehmensrisiken genutzt wird. Sie erfahren, wie die verschiedenen Beteiligten in die Verteidigungslinien integriert und das Wissen für den Prozess harmonisiert werden. Außerdem auch, welche Tools jeweils für Kontrollen und Bereinigungen eingesetzt werden können. Dies gewährleistet beispielsweise, dass Führungskräfte in der Lage sind, die Risiken zu bewerten und Maßnahmen ableiten zu können und dass Administratoren die Risiken technisch bereinigen können.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Wenn Sie das Feld ACTVT für die Berechtigungsprüfung der Aktivität verwenden, müssen Sie über den Button Zulässige Aktivitäten die Aktivitäten auswählen, die Sie über den Quellcode Ihres Programmes abprüfen.
Demzufolge können wichtige Parameter, wie die Zielmaschine, der Mandant, der Hintergrundbenutzer oder auch die Passworteigenschaft überblicksartig geprüft werden.