Mitigierung von GRC-Risiken für SAP-Systeme
Anwendungsberechtigungen
Ein rotes Symbol wird bei den Berechtigungsprüfungen im EWA nicht vergeben, da die Bewertung für jedes Unternehmen individuell vorgenommen werden muss. Auch gibt es unterschiedliche Anforderungen innerhalb der Systemlandschaft, z. B. an Produktiv- oder Entwicklungssystem. Der EWA ist bewusst nicht kundenspezifisch einstellbar, denn er soll Kunden auf von SAP als kritisch eingestufte Einstellungen hinweisen.
Mit der apm Suite stellen Sie sich Ihre individuelle GRC/SOX-konforme Lösung für SAP Berechtigungen nach Bedarf zusammen. Hilfreich ist das zum Beispiel, um SAP Rollen optimal zu verwalten, für die Ermittlung kritischer Rechte, den SAP Benutzerantrag, das Auditieren von Notfallusern oder den Passwort Self Service. Mit der apm Suite verlieren Sie nie den Überblick über Ihre Compliance im SAP Berechtigungsmanagement.
S_TABU_NAM in ein Berechtigungskonzept integrieren
Planen Sie den Report RHAUTUPD_NEW einmal täglich, am besten nach Mitternacht bzw. vor dem ersten Anmelden der Anwender ein. Dieser Hintergrundjob ist für den täglichen Abgleich zuständig. Führen Sie den Report RHAUTUPD_NEW mit der Option Bereinigung durchführen wöchentlich oder monatlich aus. Dadurch werden z. B. Profile samt ihrer Benutzerzuordnung gelöscht, wenn keine passende PFCG-Rolle existiert, oder fehlerhafte Zuordnungen zwischen Benutzern und Rollen bereinigt.
Achten Sie bei der Verwendung von Verschlüsselungsmechanismen darauf, dass Sie den Zugriff auf die PSE-Dateien (PSE = Personal Security Environment) im Dateisystem des Servers und in der Datenbank verhindern. Legen Sie dazu eine eigene Tabellenberechtigungsgruppe für die Tabelle SSF_PSE_D an, und schränken Sie den Zugriff von Programmen auf das Verzeichnis /sec im Dateisystem ein. Details zur Absicherung der Schlüsseltabellen finden Sie im SAP-Hinweis 1485029.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Dort wird Ihnen der neue Benutzerstammsatz mit den vorbelegten Feldern angezeigt.
Anschließend laden Sie die Tracedaten, indem Sie auf Trace auswerten klicken.