Fallstricke beim Excel-basierten Berechtigungswesen umgehen
Den Zeichenvorrat für die Benutzer-ID einschränken
In vielen SAP-Umgebungen gibt es historisch gewachsene Berechtigungsstrukturen, die unnötige Sicherheitslücken verursachen. Diese sollten genau geprüft werden.
Sie haben Anwendungen selbst entwickelt und möchten Vorschlagswerte für diese pflegen? Das geht am einfachsten mithilfe des Berechtigungstrace. Auch bei selbst entwickelten Anwendungen werden Berechtigungsprüfungen durchgeführt. Diese Anwendungen müssen somit in die PFCG-Rollen aufgenommen werden. Werden sie in einem Rollenmenü gepflegt, wird Ihnen auffallen, dass neben den Startberechtigungen (wie z. B. S_TCODE) keine weiteren Berechtigungsobjekte in die PFCG-Rolle übernommen werden. Der Grund dafür ist, dass auch für kundeneigene Anwendungen Vorschlagswerte gepflegt werden müssen, um sicherzustellen, dass die PFCG-Rollenpflege regelkonform abläuft, und um die Pflege für Sie zu erleichtern. Bisher mussten die Werte von kundeneigenen Anwendungen entweder manuell in der PFCG-Rolle nachgepflegt werden, oder die Vorschlagswertepflege in der Transaktion SU24 wurde manuell durchgeführt.
Den Zeitstempel in der Transaktion SU25 verwenden
Das Berechtigungsobjekt P_ABAP (HR-Reporting) ist für die Ausführung von Berichten nicht erforderlich, sondern soll vielmehr die Performance bei der Ausführung verbessern. Zusätzlich kann es genutzt werden, wenn in Reports Berechtigungen für Infotypen erforderlich sind, die der Anwender in anderen Fällen aber nicht erhalten soll, was häufiger vorkommt. So ist für die Ausführung der Berichte der Reisekostenabrechnung auch die Anzeigeberechtigung für den Infotyp 0008 (Basisbezüge) erforderlich. Auch die Zahlungsträgerprogramme des Rechnungswesens benötigen P_ABAP-Berechtigungen für die Verarbeitung personenbezogener Daten.
Das Three-Lines-of-Defense-Modell dient zur systematischen Herangehensweise an Risiken, die in Unternehmen auftreten können. Es bindet sowohl die operativen Kontrollen und auch das Risikomanagement, die Informationssicherheit und die interne Revision ein. Die durch die SAP-Berechtigungen entstehenden Risiken können hiermit bewertet und eingestuft werden. Die Überwachung der Risiken fließt in die Prozesse ein, so dass hier eine ständige Kontrolle durch verschiedene Instanzen erfolgt. Dies reduziert die Risiken erheblich und stellt eine saubere Berechtigungsvergabe sicher.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Auch die Standardbenutzer wie z.B. SAP* oder DDIC sollten gemäß dem Berechtigungskonzept bzw. den Empfehlungen von SAP korrekt implementiert sein.
Datenbankoperationen sind z. B. SELECT, UPDATE, ALTER, DROP und DEBUG.