Prüfung auf Programmebene mit AUTHORITY-CHECK
Berechtigungen für Spoolaufträge vergeben
Definieren Sie explizite Berechtigungsprüfungen auf Codeebene immer dann, wenn Sie Transaktionen aus ABAP-Programmen starten oder auf kritische Funktionen bzw. Daten zugreifen. Dies ist die einfachste und effektivste Verteidigung, um Ihre Geschäftsanwendungen vor Missbrauch zu schützen, denn Berechtigungsprüfungen auf Programmierebene können zwei Aspekte sicher gewährleisten: Unvollständige oder fehlerhafte Prüfung der ausgeführten Transaktionsstartberechtigungen führen zu Compliance-Verstößen. Komplexe Berechtigungsprüfungen können auch für die parametrisierte Verwendung von CALL TRANSACTION hinreichend durchgeführt werden.
Für den Fall, dass dennoch solche Konflikte auftreten, sind regelmäßige Kontrollen als Teil eines internen Kontrollsystems festzuschreiben. Des Weiteren finden sich im Berechtigungskonzept Inhalte wie z. B. die Einbindung des Dateneigentümers, sicherheitsrelevante Systemeinstellungen, Vorgaben zur Pflege der Berechtigungsvorschlagswerte (Transaktion SU24) und Dokumentationspflichten.
Gewährleistung einer sicheren Verwaltung
Die indirekte Rollenvergabe verwendet für die Zuweisung der PFCG-Rollen zu den entsprechenden Anwendern die Auswertungswege PROFLO und PROFLINT. Diese Auswertungswege ignorieren allerdings das Objekt CP (zentrale Person), die den Geschäftspartner in SAP CRM darstellt. In Transaktion PFUD, die für den Benutzerabgleich sorgt, werden die Auswertungswege US_ACTGR und SAP_TAGT verwendet. Auch hier ist das Objekt CP nicht bekannt.
In bestimmten Prozessen sollen für die Belegbuchungen zusätzliche Prüfungen ausgeführt werden. Dies kann z. B. bei der Buchung über Schnittstellen in kundeneigenen Prozessen erforderlich sein, wenn die Buchung nur unter bestimmten Voraussetzungen oder auf bestimmte Konten möglich sein soll.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Anders als der Berechtigungstrace ist ein Systemtrace hauptsächlich für kurze Zeiträume ausgelegt.
Mit diesen Informationen gewappnet, geht es an die Konzeptarbeit.