Änderungsbelege der Zentralen Benutzerverwaltung verwenden
Konfigurationsvalidierung einsetzen
Sammelrolle SAP_AUDITOR_TAX: Die Sammelrolle SAP_AUDITOR_TAX setzt sich aus modulspezifischen Einzelrollen zusammen und ist als Vorschlag für die Nur-Leserolle der Steuerprüfer zu sehen (Details zu dieser Rolle finden Sie im SAP-Hinweis 445148). Die in der Sammelrolle SAP_AUDITOR_TAX enthaltenen Transaktionen und Reports wurden um zusätzliche Prüfungen erweitert, die den Prüfungszeitraum abgrenzen. Einige der in der Sammelrolle SAP_AUDITOR_TAX enthaltenen Transaktionen und Reports wurden darüber hinaus um eine Protokollierung der Aufrufparameter erweitert, um dem Steuerpflichtigen zu ermöglichen, die Prüfungshandlungen der Steuerprüfer besser nachvollziehen zu können.
Der Report RSUSR008_009_NEW (Liste der Benutzer mit kritischen Berechtigungen) wird ab SAP Web Application Server 6.20 mit den folgenden Support Packages bereitgestellt: Release 6.20, beginnend mit SAPKB62039 Release 6.40, beginnend mit SAPKB64003 Sie können die alten Reports RSUSR008 und RSUSR009 bis zum Release 6.40 weiterverwenden. Der Report RSUSR008_009_NEW wird mit den alten SAPVorschlägen für kritische Berechtigungsdaten ausgeliefert, die schon für den Report RSUSR009 verwendet wurden.
Benutzerstammdaten automatisiert vorbelegen
Kontrollieren Sie zunächst in der Transaktion SCC4, ob die Ausführung von eCATT erlaubt ist. Starten Sie dann die Transaktion SECATT. Beim Einstieg können Sie Testskripte und Testkonfigurationen definieren und ändern. Erstellen Sie zunächst ein Testskript. Stellen Sie es sich als Blaupause vor oder als Ablaufvorschrift dazu, wie neue, abgeleitete Rollen erstellt werden. Das Testskript wird später Ihre Aufzeichnung enthalten. Geben Sie dem Skript einen sprechenden Namen, z. B. Z_MASSENERSTELLUNG_ABLEITUNGEN. Klicken Sie dann auf den Button Objekt anlegen. Sie gelangen nun zur Registerkarte Attribute, auf der Sie die allgemeinen Rahmendaten angeben. Wechseln Sie anschließend auf die Registerkarte Editor. Nun geht es zur Aufzeichnung, in der eCATT-Sprache Muster genannt. Klicken Sie auf den Button Muster, und geben Sie an, dass Sie die Transaktion PFCG aufzeichnen möchten, indem Sie die Einstellungen UIAnsteuerung und TCD (Record) wählen. Das System wird vorschlagen, die Schnittstelle dazu »PFCG_1« zu nennen; dies können Sie einfach bestätigen. Mit der Bestätigung des Dialogs wird sofort die Aufzeichnung gestartet; Sie landen daher in der Transaktion PFCG. Wir wollen die Anlage einer Einzelrolle aufzeichnen, die von einer Referenzrolle abgeleitet wird. Gehen Sie die entsprechenden Schritte in der Transaktion PFCG durch, und versuchen Sie, überflüssige Schritte zu vermeiden – denn jeder Schritt, den Sie durchführen, macht Ihre Aufzeichnung größer und unübersichtlicher. Geben Sie den Namen der abgeleiteten Rolle ein – diesen können wir später beim Abspielen mit eCATT beeinflussen – und legen Sie die Rolle an. Weisen Sie nun die Referenzrolle zu. Beachten Sie, dass die Transaktion PFCG wirklich ausgeführt wird, die Rolle also tatsächlich im System angelegt wird! Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja.
Kritische Berechtigungen sind Berechtigungen, mit denen es möglich ist, sicherheitsrelevante Konfigurationen im SAP-System einzusehen bzw. zu ändern oder Aktivitäten auszuführen, die aus rechtlicher oder betriebswirtschaftlicher Sicht als kritisch einzustufen sind. Dazu gehört auch der Zugriff auf sensible Daten, die z. B. personenbezogen sind. Kritische Berechtigungen an sich sind nur dann wirklich kritisch und stellen ein Risiko dar, wenn diese in die falschen Hände gelangen. Bei der Nutzung von kritischen Berechtigungen sollten Sie in jedem Fall den Grundsatz der restriktiven Vergabe von Rechten beachten. Es gibt keine allgemeinen Risikodefinitionen; darum sollte jedes Unternehmen für sich die Compliance-Vorgaben definieren. Die Identifikation kritischer SAP-Berechtigungen ist eine wichtige Aufgabe und sollte in jedem Unternehmen durchgeführt werden. Besonderes Augenmerk sollte nicht nur auf die Vergabe der Transaktionen gerichtet werden, sondern auch auf die Werteausprägungen der einzelnen Berechtigungsobjekte. Es ist wichtig zu erwähnen, dass präventive regelmäßige Kontrollen nicht zwingend aufwendig sein müssen. Sie führen jedoch zu einer besseren Transparenz und Sicherheit.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Daher stehen vor allem diese Prüfkriterien im besonderen Fokus der Berechtigungsanalyse sicherheitsrelevanter Ausprägungen eines jeden Berechtigungsadministrator.
Sie vergleichen die Einstellungen in Ihren SAP-Systemen mit den Empfehlungen von SAP.