Mitigierung von GRC-Risiken für SAP-Systeme
Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden
In bestimmten Prozessen sollen für die Belegbuchungen zusätzliche Prüfungen ausgeführt werden. Dies kann z. B. bei der Buchung über Schnittstellen in kundeneigenen Prozessen erforderlich sein, wenn die Buchung nur unter bestimmten Voraussetzungen oder auf bestimmte Konten möglich sein soll.
Der Security Optimization Service für ABAP enthält mehr Sicherheitsprüfungen als der entsprechende Abschnitt im EWA. Insbesondere die Anzahl der Berechtigungsprüfungen ist höher. Insgesamt sind im SOS aktuell 110 Berechtigungsprüfungen definiert, einschließlich 16 kritischen Berechtigungsprüfungen für HR. Die vollständige Liste aller Sicherheitsprüfungen im SOS finden Sie im SAP Service Marketplace auf der Seite https://service.sap.com/sos über Media Library (Security Optimization Service > ABAP Checks).
Massenänderungen in der Tabellenprotokollierung vornehmen
SAP_NEW stellt ein spezifisches Berechtigungsprofil dar, in dem die konkreten Berechtigungsänderungen zwischen zwei SAP-Releaseständen zusammengefasst sind. Zu unterscheiden ist dabei zwischen der Auslieferung des SAP_NEW-Profils durch SAP und der Generierung einer SAP_NEW-Rolle mit einem dazugehörigen Profil durch Sie als SAP-Kunden (siehe auch den SAPHinweis 1711620). Abhängig von der Vorgehensweise zur Berechtigungsnachpflege kann die Berechtigung SAP_NEW jedem Benutzer in einem Entwicklungs- und Qualitätssicherungssystem unmittelbar nach dem technischen Systemupgrade zugewiesen werden. Ziel ist es jedoch, in der Produktionsumgebung jedem Benutzer möglichst nur Berechtigungen zuzuweisen, die er für seine Geschäftsvorfälle benötigt. Im Umfeld von Upgrades müssen die hierzu korrekten Berechtigungen ermittelt und in entsprechende Berechtigungsrollen integriert werden.
Da das Rollenmenü angepasst wurde, muss nun auch die PFCG-Rolle angepasst werden. Wechseln Sie hierzu auf die Registerkarte Berechtigungen, und wählen Sie den Button Berechtigungsdaten ändern. Wenn Sie den Expertenmodus verwenden, achten Sie darauf, dass die Voreinstellung Alten Stand lesen und mit neuen Daten abgleichen beibehalten wird. Nun werden die neuen Vorschlagswerte für diesen externen Service geladen. Nachdem Sie die PFCG-Rolle gepflegt haben, können Sie das Profil generieren und sofort einsetzen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Upgradenacharbeiten für Vorschlagswerte und Rollen müssen nicht nur bei einem Releasewechsel, sondern auch nach dem Einspielen von Plug-ins, Support Packages, Enhancement Packages oder weiteren Softwarekomponenten, wie z. B. Partnerlösungen, vorgenommen werden.
Wenn das aktuelle Konzept funktioniert und Sicherheitslücken abstrakt sind, scheuen sich viele Verantwortliche, etwas zu ändern.