Auswertungswege in SAP CRM für eine indirekte Rollenzuordnung anpassen
Kundeneigene Berechtigungen
Das ABAP Test Cockpit erreichen Sie über das Kontextmenü des zu prüfenden Objekts über Prüfen > ABAP Test Cockpit. Beachten Sie, dass die globale Checkvariante des Code Inspectors, die Sie in der Transaktion SCI angelegt haben und die als Default in der Transaktion ATC (ATC-Konfiguration) eingetragen ist, die Sicherheitstests der erweiterten Programmprüfung des SAP Code Vulnerability Analyzers beinhaltet.
Achten Sie darauf, bei der Programmierung Ihrer Berechtigungsprüfung immer den Returncode SY-SUBRC abzuprüfen und zu definieren, was im Falle einer nicht erfolgreichen Berechtigungsprüfung passieren soll, d. h. wenn SY-SUBRC ungleich 0 ist. In den meisten Fällen kommt es zu einer Fehlermeldung, und das Programm wird abgebrochen.
Pflege der Berechtigungsobjekte (Transaktion SU21)
Kritische Berechtigungen sind Berechtigungen, mit denen es möglich ist, sicherheitsrelevante Konfigurationen im SAP-System einzusehen bzw. zu ändern oder Aktivitäten auszuführen, die aus rechtlicher oder betriebswirtschaftlicher Sicht als kritisch einzustufen sind. Dazu gehört auch der Zugriff auf sensible Daten, die z. B. personenbezogen sind. Kritische Berechtigungen an sich sind nur dann wirklich kritisch und stellen ein Risiko dar, wenn diese in die falschen Hände gelangen. Bei der Nutzung von kritischen Berechtigungen sollten Sie in jedem Fall den Grundsatz der restriktiven Vergabe von Rechten beachten. Es gibt keine allgemeinen Risikodefinitionen; darum sollte jedes Unternehmen für sich die Compliance-Vorgaben definieren. Die Identifikation kritischer SAP-Berechtigungen ist eine wichtige Aufgabe und sollte in jedem Unternehmen durchgeführt werden. Besonderes Augenmerk sollte nicht nur auf die Vergabe der Transaktionen gerichtet werden, sondern auch auf die Werteausprägungen der einzelnen Berechtigungsobjekte. Es ist wichtig zu erwähnen, dass präventive regelmäßige Kontrollen nicht zwingend aufwendig sein müssen. Sie führen jedoch zu einer besseren Transparenz und Sicherheit.
Die Verwendung von Vorschlagswerten bringt nicht nur bei der Erstellung bzw. Pflege von PFCG-Rollen Vorteile, sondern auch bei der Berechtigungspflege als Nacharbeit eines Upgrades. Des Weiteren können diese Werte als Grundlage für Risikodefinitionen herangezogen werden. Vor dem Erstellen von PFCG-Rollen ist die Pflege der Vorschlagswerte für die verwendeten Transaktionen sinnvoll. Hierbei müssen Sie allerdings nicht alle Vorschlagswerte, die von SAP ausgeliefert werden, komplett überarbeiten.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Wir empfehlen Ihnen, den Namen der RFC-Verbindung für jedes ERP-System der Systemlandschaft beizubehalten und nur die Verbindungsdaten in den RFC-Verbindungen zu ändern.
Den SAP Code Vulnerability Analyzer können Sie mit dem Report RSLIN_SEC_LICENSE_SETUP aktivieren, müssen für ihn allerdings zusätzliche Lizenzgebühren zahlen.