Herausforderungen im Berechtigungsmanagement
Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Im Jahr 2020 gab es in Deutschland 82.761 Fälle von Computerbetrug. Fünf Jahre zuvor war die Zahl der Fälle noch deutlich niedriger - 23.562 Fälle - und haben ab dann stetig zugenommen. Je kleiner der Personenkreis mit Zugriff, desto kleiner wird das Risiko, dass Daten in falsche Hände gelangen können. Ein effizientes und durchdachtes Berechtigungsmanagement trägt maßgeblich zur Risikominimierung bei und ist ein guter Schutz vor unerlaubten Zugriffen, Datenmissbrauch und Industriespionage. Ohne ein schlüssiges, durchdachtes Konzept ist die Regelung von Zugriffen und Berechtigungen für die User bzw. KeyUser eines SAP-Systems eine ernstzunehmende Sicherheitslücke.
In der alltäglichen Rollenpflege kommt es häufig dazu, dass Sie die Berechtigungsdaten einer Einzelrolle erneut ändern müssen, nachdem Sie die Rolle zusammen mit den generierten Berechtigungsprofilen bereits in einem Transportauftrag aufgezeichnet haben. Bisher mussten Sie in diesem Fall einen neuen Transportauftrag anlegen, weil bei jeder Einzelrollenaufzeichnung auch die Tabellenschlüssel der generierten Profile und Berechtigungen aufgezeichnet, aber bei späteren Änderungen der Rollendaten nicht angepasst werden.
Vorteile von Berechtigungstools
Ein weit aufwendigerer Weg ist die Identifikation über das Business-Rollen- Customizing. Identifizieren Sie hier zuerst den technischen Namen der Bereichsstartseite bzw. des logischen Links im Customizing Ihrer Business-Rolle in der Transaktion CRMC_UI_PROFILE. Bei einer Bereichsstartseite prüfen Sie nun noch den technischen Namen des dazugehörigen logischen Links. Im nächsten Schritt wechseln Sie in das Navigationsleisten-Customizing in der Transaktion CRMC_UI_NBLINKS und identifizieren zu dem technischen Namen Ihres logischen Links die dazugehörige Ziel-ID im View Logischen Link definieren. Wenn Sie die Ziel-ID als Suchparameter in der Tabelle CRMC_UI_COMP_IP verwenden, erhalten Sie als Suchergebnis die Informationen zu Komponentenname, Komponentenfenster sowie Inbound- Plug.
Mithilfe des Buttons Transportaufzeichnung aktivieren können Sie die Änderungen in den Rollen in einem Transportauftrag speichern. Informationen zur Gültigkeit des Reports PFCG_ORGFIELD_ROLES erhalten Sie im SAP-Hinweis 1624104.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Abschließend wollen wir Ihnen einige Empfehlungen für die Absicherung des Dateizugriffs mit auf den Weg geben.
Um sicherzustellen, dass Sie mit Ihren Upgradearbeiten keine Informationen verlieren, können Sie außerdem die Daten der Transaktion SU24 über Schritt 3 (Transport der Kundentabellen) in die Transaktion SU25 in einen Transportauftrag schreiben und freigeben.