Herausforderungen im Berechtigungsmanagement
SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Im Zuge eines umfassenden Schutzes Ihres Systems von innen sowie von außen ist es unabdingbar, vor allem die SAP Standardbenutzer genauer zu betrachten. Sie haben weitreichende Berechtigungen, die bei einem Missbrauch hohe Schäden in Ihrem System anrichten. Dabei ist zu beachten, dass sie sehr wichtig für die Betriebsausführung Ihres SAP Systems sind und nicht gelöscht werden dürfen. Da die dazugehörigen Standardpasswörter jedoch schnell recherchierbar sind, müssen diese umgehend nach Auslieferung des SAP ERP geändert werden. Eine detaillierte Prüfung dieser User können Sie durch den Report RSUSRS003 ausführen. Außerdem ist es empfehlenswert, bestimmte Standardnutzer bis zur eigentlichen Nutzung inaktiv zu setzen.
Neben diesen Voraussetzungen können auch andere Einstellungen dafür sorgen, dass die Transaktion ohne Prüfung ausgeführt werden darf: Die Prüfung der Berechtigungsobjekte ist über Prüfkennzeichen (in der Transaktion SU24) ausgeschaltet. Dies ist nicht für Berechtigungsobjekte der Bereiche SAP NetWeaver und SAP ERP HCM möglich, betrifft also z. B. nicht die Prüfung auf S_TCODE. Die Prüfungen für bestimmte Berechtigungsobjekte können für alle Transaktionen global ausgeschaltet sein (in Transaktion SU24 oder SU25). Dies ist nur möglich, wenn der Profilparameter AUTH/NO_CHECK_IN_SOME_CASES den Wert Y hat. Zusätzlich können ausführbare Transaktionen aber auch durch die Zuordnung eines Referenzbenutzers entstehen; die ausführbaren Transaktionen des Referenzbenutzers werden ebenfalls berücksichtigt.
Grenzen von Berechtigungstools
Auch die Vergabe von Kombinationen kritischer Berechtigungen (z.B. Rechnung buchen und Zahllauf starten), allgemein bekannt unter dem Begriff „Funktionstrennungskonflikte“, sind zu überprüfen und gegebenenfalls mit den Verantwortlichen in den Fachbereichen zu klären, warum diese im System existieren. Sollten hierfür kompensierende Kontrollen implementiert sein, ist es hilfreich, wenn auch die IT-Abteilung darüber Bescheid weiß, um den IT-Prüfer diese Kontrollen benennen zu können. Dieser kann in weiterer Folge diese Information an seine Prüferkollegen weitergeben.
Wenn Sie die Kommunikation zwischen dem Client und den Anwendungsservern nicht verschlüsseln, ist es für einen Dritten erstaunlich einfach, den Benutzernamen und das dazugehörige Passwort abzufangen. Verschlüsseln Sie diese Schnittstelle daher unbedingt! Es gibt häufig Unklarheit darüber, ob das Passwort in SAP-Systemen im Standard verschlüsselt ist und ob es während der Kommunikation zwischen dem Client und den Anwendungsservern im Standard eine Verschlüsselung gibt. Dieses Unwissen kann zu fatalen Sicherheitslücken in Ihrer Systemlandschaft führen. Wir möchten Ihnen daher an dieser Stelle erklären, wie Sie die Passwörter in Ihrem System absichern und sich gegen ein Abgreifen der Passwörter während der Übertragung schützen können.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Deshalb sollten Sie sehr gut prüfen, ob das Werkzeug, das Sie gerade näher ins Auge fassen, tatsächlich für Ihre Zwecke geeignet ist.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Beachten Sie hierbei, dass Sie später keine Änderungen mehr an der Bedeutung der Meldung und der Anordnung der Variablen vornehmen dürfen, denn dies würde die Lesbarkeit älterer Protokolldateien verhindern.