Anmeldung am Anwendungsserver einschränken
Rollentyp
Die Sicherheit eines SAP-Systems ist nicht nur von der Absicherung des Produktivsystems abhängig. Die Entwicklungssysteme sollten ebenfalls betrachtet werden, da hier über zu transportierende Änderungen in der Entwicklungsumgebung und im Customizing oder über mangelhaft konfigurierte Schnittstellen Einfluss auf das Produktivsystem genommen werden kann. Abhängig von der konzeptionellen Granularität der Zuständigkeiten im Entwicklungs- und Customizing-Umfeld sind evtl. genauere Berechtigungsprüfungen durchzuführen.
Liegen solche Informationen aus der Vergangenheit vor, sollte überprüft werden, ob alle Themen entsprechend den Anmerkungen umgesetzt wurden. Sollte die eine oder andere Empfehlung nicht umgesetzt worden sein, ist dieser Umstand auf jeden Fall nachvollziehbar zu dokumentieren, bzw. sollte eine nachvollziehbare Begründung vorgebracht werden können. Es reicht jedoch nicht, sich nur auf die vorgebrachten Verbesserungspotentiale zu konzentrieren, denn es muss sichergestellt sein, dass all jene Punkte, welche in der Vergangenheit nicht moniert wurden, auch weiterhin passen. Die Vorbereitung wird wesentlich erschwert, wenn keine hilfreichen Kommentare oder Berichte aus dem vergangenen Geschäftsjahr vorliegen oder wenn es sich um eine Erstprüfung bzw. um einen Wechsel des Wirtschaftsprüfers handelt. Was sieht sich der IT-Prüfer im Rahmen der Jahresabschlussprüfung alles an? Es gibt Themen, die sich jeder Prüfer ansieht, weil es dazu Standards gibt, jedoch ist es üblich, dass der Wirtschaftsprüfer abhängig von der Strategie der gesamten Prüfung, zusätzliche Prüfungshandlungen in der IT-Prüfung vornimmt. In diesem Newsletter wollen wir uns auf die wichtigsten Standardprüfungsthemen auf der Prozessebene und der darin definierten IT-Kontrollen im Zusammenhang des SAP®-Systems konzentrieren.
Massenpflege von abgeleiteten Rollen vornehmen
Den Benutzern sind zu viele Profile zugeordnet? Mithilfe von Referenzbenutzern können Sie dieses Problem umgehen. Im SAP-System wird die Anzahl der Zuordnungen von Profilen zu Benutzern durch eine technische Einschränkung begrenzt. Dies wird schon seit Längerem nicht mehr durch den Kernel verursacht, sondern liegt in der Struktur der verwendeten Datenbanktabellen begründet. Die Tabelle USR04 enthält die Profilzuordnungen zu den Benutzern. Dabei sind pro Benutzer 3.748 Zeichen im Feld PROFS für die Liste der Profilnamen vorgesehen. Profilnamen haben eine maximale Länge von 12 Zeichen; daher können im Feld PROFS maximal 312 Profile pro Benutzer eingetragen werden. Sollten Sie ein Rollenkonzept einsetzen, in dem die Berechtigungen für Teilprozesse jeweils in einer Rolle abgelegt werden, kann dies dazu führen, dass einige Ihrer Benutzer die maximale Anzahl der zugeordneten Profile überschreiten. Wir zeigen Ihnen daher im Folgenden, wie Sie dieses Problem durch den Einsatz von Referenzbenutzern umgehen.
Schützen Sie Ihr System vor unbefugten Aufrufen von RFC-Funktionsbausteinen über das Berechtigungsobjekt S_RFC, indem Sie die erforderlichen Berechtigungen mithilfe der statistischen Nutzungsdaten ermitteln. In vielen Unternehmen liegt das primäre Augenmerk im Berechtigungsumfeld auf dem Schutz von Dialogzugriffen. Für jede erforderliche Transaktion entscheiden Sie im Einzelnen, welche Personengruppen Zugriff erhalten dürfen. Oft wird dabei übersehen, dass für das kritische Berechtigungsobjekt S_RFC eine analoge Berechtigungszuweisung erfolgen muss. Sind die Berechtigungen zum externen RFC-Zugriff (RFC = Remote Function Call) über Funktionsbausteine unsauber definiert und den Anwendern zugewiesen, wird der Primärschutz für startbare Anwendungen durch das Berechtigungsobjekt S_TCODE schnell umgangen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Die Information, welche Werte eingetragen werden können, können Sie aus dem Systemtrace für Berechtigungen lesen und manuell in der PFCG-Rolle pflegen.
Die zu bevorzugende und auch umfassendere Variante einer programmatischen Berechtigungsprüfung ist jedoch die Verwendung des Funktionsbausteins AUTHORITY_CHECK_TCODE.