Den Berechtigungspuffer prüfen und auffrischen
Kundeneigene Berechtigungen
Im Jahr 2020 gab es in Deutschland 82.761 Fälle von Computerbetrug. Fünf Jahre zuvor war die Zahl der Fälle noch deutlich niedriger - 23.562 Fälle - und haben ab dann stetig zugenommen. Je kleiner der Personenkreis mit Zugriff, desto kleiner wird das Risiko, dass Daten in falsche Hände gelangen können. Ein effizientes und durchdachtes Berechtigungsmanagement trägt maßgeblich zur Risikominimierung bei und ist ein guter Schutz vor unerlaubten Zugriffen, Datenmissbrauch und Industriespionage. Ohne ein schlüssiges, durchdachtes Konzept ist die Regelung von Zugriffen und Berechtigungen für die User bzw. KeyUser eines SAP-Systems eine ernstzunehmende Sicherheitslücke.
Die konkreten Berechtigungsobjektausprägungen für SAP_NEW werden über die SAP-Komponente SAP_BASIS zur Verfügung gestellt. Deshalb ist ein SAP_NEW-Profil immer an ein konkretes Basisrelease gebunden. Verfahren Sie wie folgt: Mit der Transaktion SU02 entfernen Sie alle alten, einzelnen Profile aus dem zusammengesetzten Profil SAP_NEW, einschließlich des Profils, das zu dem Startrelease Ihres Upgrades gehört. Weisen Sie nun das reduzierte Berechtigungsprofil SAP_NEW allen Benutzern im Upgradevorbereitungssystem zu, sodass gewährleistet ist, dass alle Benutzer wie gewohnt arbeiten können. Dieser Schritt kann ausgelassen werden, wenn Sie eine andere Methode zur Identifizierung von fehlenden Berechtigungen verfolgen. Überprüfen Sie nun alle Berechtigungen in allen restlichen Profilen innerhalb des Sammelprofils SAP_NEW, die einen höheren Releasestand haben als das Upgradestartrelease der Softwarekomponente SAP_BASIS. Ordnen Sie alle benötigten Berechtigungen allen produktiv genutzten Rollen in Ihrem Berechtigungskonzept zu. Sie können dies für jedes Zwischenrelease einzeln durchführen. Im nächsten Schritt passen Sie die Berechtigungen in Ihren produktiv genutzten Rollen in der Transaktion PFCG an und entfernen anschließend die korrespondierenden Berechtigungen aus dem Profil SAP_NEW mithilfe der Transaktion SU02. Wiederholen Sie die Schritte 3 bis 4, bis das Berechtigungsprofil SAP_NEW leer ist. Arbeiten Sie während der Rollenanpassungsphase in einem Entwicklungssystem und transportieren Sie die getätigten Anpassungen Ihrer Berechtigungsrollen in Ihr Qualitätssicherungssystem. Nach erfolgreichem Abnahmetest transportieren Sie diese noch ins Produktivsystem. Nun können Sie das Profil SAP_NEW allen Benutzern entziehen. Anschließend können Sie mit der Rollennachbereitung im Rahmen des Releasewechsels in der Transaktion SU25 fortfahren (siehe auch Tipp 43, »Berechtigungen nach einem Upgrade anpassen«).
Den Verantwortungsbereich RESPAREA zur Organisationsebene machen
Der Komfort bei der Konfiguration und Auswertung des Security Audit Logs wurde verbessert. Dafür wurden die maximale Anzahl markierter Meldungen in der Detailauswahl auf 40 Ereignisse erhöht, eine Vorwärtsnavigation für die dargestellten Objekte ergänzt und die Detailauswahl in Transaktion SM20 um die technischen Ereignisnamen ergänzt. Sie finden die Korrekturen und eine Übersicht über die erforderlichen Support Packages in SAP-Hinweis 1963882.
Diese fehlende Funktionalität wird mit dem SAP-Hinweis 1902038 ausgeliefert und kann nur über die jeweiligen Support Packages für die SAP NetWeaver Releases 7.31 sowie 7.40 eingespielt werden. Die Änderungsbelege der ZBV werden für das Änderungsbelegobjekt USER_CUA geschrieben. Die Analyse der Änderungsbelege können Sie über die folgenden Wege aufrufen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Selektieren Sie nun mithilfe der Wertehilfe die soeben erstellte Variante, und führen Sie diese aus.
Das System ermittelt die Menge (M1) aller Organisationsobjekte, die diesen Organisationseinheiten zugeordnet sind.