SAP S/4HANA: Analyse und einfache Anpassung Ihrer Berechtigungen
Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten
Im Zuge eines umfassenden Schutzes Ihres Systems von innen sowie von außen ist es unabdingbar, vor allem die SAP Standardbenutzer genauer zu betrachten. Sie haben weitreichende Berechtigungen, die bei einem Missbrauch hohe Schäden in Ihrem System anrichten. Dabei ist zu beachten, dass sie sehr wichtig für die Betriebsausführung Ihres SAP Systems sind und nicht gelöscht werden dürfen. Da die dazugehörigen Standardpasswörter jedoch schnell recherchierbar sind, müssen diese umgehend nach Auslieferung des SAP ERP geändert werden. Eine detaillierte Prüfung dieser User können Sie durch den Report RSUSRS003 ausführen. Außerdem ist es empfehlenswert, bestimmte Standardnutzer bis zur eigentlichen Nutzung inaktiv zu setzen.
Mit dem SAP NetWeaver Application Server ABAP 7.31 hat sich die Funktionsweise der Transaktion SU25 geändert, insbesondere von Schritt 2a zum automatischen Vorschlagswerteabgleich mit SAP-Werten. Hier wird nun anhand von Zeitstempeln verglichen, welche Datensätze aktualisiert wurden. Damit ist es möglich, Schritt 2a auch gesondert für nachträglich installierte Softwarekomponenten auszuführen. Ein weiterer Vorteil ist, dass die zu bearbeitenden Objekte aufgrund des Zeitstempels besser identifiziert werden können. Vor SAP NetWeaver 7.31 sind die abzugleichenden Anwendungen für Schritt 2a mit ihren Basisreleaseversionen registriert worden, was Sie in den Tabellen USOB_MOD bzw. TCODE_MOD nachsehen können.
Anmeldesperren sicher einrichten
Um eine Übersicht der im System gepflegten Organisationen und ihrer Struktur zu erhalten, empfehlen wir Ihnen, die Org.-Kopierer (im Lesemodus!) für die verschiedenen Organisationsfelder über die Transaktionen EC01 bis EC15 aufzurufen. Über das Customizing in der Transaktion SPRO lässt sich im Bereich Unternehmensstruktur sowohl die Definition der Organisationsfelder als auch deren jeweilige Zuordnung vornehmen und einsehen.
Über den SAP-Hinweis 1854561 wird für den Parameter auth/authorization_trace ein neuer möglicher Wert ausgeliefert: F (Trace eingeschaltet mit Filter). Damit können Sie den Berechtigungstrace auf Werte einschränken, die über den Filter einstellbar sind. Die Filter definieren Sie in der Transaktion STUSOBTRACE (siehe den SAP-Hinweis 1847663).
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Werten Sie die Sicherheitshinweise mithilfe der Systemempfehlungen direkt nach dem SAP Security Patch Day aus.
Daher ist nicht nur die einmalige Einrichtung der Berechtigungen relevant, sondern die ständige Überwachung und Kontrolle der Berechtigungsvergabe.