Anforderungen an ein Berechtigungskonzept umsetzen
Aktuelle Situation prüfen
Im Bereich der Konzernkonsolidierung sorgt ein Berechtigungskonzept dafür, dass keine Daten bewusst manipuliert werden können, um z.B. Bilanzen zu verändern. So kann erheblicher finanzieller- oder Reputationsschaden gegenüber Banken und Stakeholdern verhindert werden. Des Weiteren muss der Zugriff auf Finanzdaten von Teilbereichen eines Konzerns, wie einzelne Geschäftsbereiche oder Gesellschaften nur den Mitarbeitern vorbehalten sein, die diese auch aufrufen dürfen, da ihre laufenden Tätigkeiten dies erfordern. Daraus resultiert, dass z.B. ein Controller eines Geschäftsbereichs nur die konsolidierten Zahlen seines Geschäftsbereichs einsehen kann, nicht aber die Zahlen des gesamten Konzerns. Weitere Berechtigungsrollen werden bspw. für externe Wirtschaftsprüfer benötigt. Diese prüfen sämtliche Zahlen des gesamten Konzerns, dürfen somit aber nur einen Lesezugriff auf diese Daten besitzen.
Werden im Rollenmenü einer Einzelrolle Transaktionen geändert, wird diese Option automatisch dem Bearbeiter vorgeschlagen. Bei dieser Option gleicht der Profilgenerator die bereits vorhandenen Berechtigungsdaten mit den Berechtigungsvorschlägen der Transaktion SU24 der über das Rollenmenü gepflegten Transaktionen ab. Werden bei diesem Abgleich neue Berechtigungen in den Berechtigungsbaum aufgenommen, werden diese mit dem Aktualisierungstatus Neu gekennzeichnet. Berechtigungen, die bereits vor dem Abgleich vorhanden waren, wird der Aktualisierungstatus Alt zugewiesen.
Den Berechtigungspuffer prüfen und auffrischen
Bei einer SAP-Security-Prüfung steht insbesondere die Berechtigungsvergabe im Mittelpunkt. Sie ermöglicht Benutzern erst die Arbeit am SAP-System, kann sich jedoch u. U. ungewollt zu Funktionstrennungskonflikten oder gar gesetzeskritischen Befugnissen aufsummieren. Daher sind regelmäßig Tools zur technischen Analyse einzusetzen, die den Status quo der Berechtigungsvergabe und somit die Grundlage für eine Optimierung liefern.
Wenn Sie die Kommunikation zwischen dem Client und den Anwendungsservern nicht verschlüsseln, ist es für einen Dritten erstaunlich einfach, den Benutzernamen und das dazugehörige Passwort abzufangen. Verschlüsseln Sie diese Schnittstelle daher unbedingt! Es gibt häufig Unklarheit darüber, ob das Passwort in SAP-Systemen im Standard verschlüsselt ist und ob es während der Kommunikation zwischen dem Client und den Anwendungsservern im Standard eine Verschlüsselung gibt. Dieses Unwissen kann zu fatalen Sicherheitslücken in Ihrer Systemlandschaft führen. Wir möchten Ihnen daher an dieser Stelle erklären, wie Sie die Passwörter in Ihrem System absichern und sich gegen ein Abgreifen der Passwörter während der Übertragung schützen können.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Die Vorgehensweise dafür ist im Detail in unserem Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«, beschrieben.
Sie können also eine Whitelist pflegen.