Änderungsbelege
Organisatorische Zuordnung
Identifizieren Sie Schwachstellen in der Konfiguration Ihrer RFC-Schnittstellen, also RFC-Verbindungen, in denen Benutzer mit weitreichenden Berechtigungen (z. B. mit dem Profil SAP_ALL) eingetragen sind. Diese RFC-Verbindungen können für das sogenannte RFC-Hopping verwendet werden, bei dem Zugriffe auf ein SAP-System über eine solch umfangreich berechtigte RFC-Verbindung erfolgen.
Im Vorfeld wurden im Gros wichtige SAP Reports zum Thema Rollen- und Berechtigungsverwaltung vorgestellt. Da diese und das gesamte SAP System bekannterweise auf dem ABAP Coding aufbauen, ist die Analyse des Quellcodes, besonders bei der Nutzung von Eigenentwicklungen, genauso wichtig. Diese Inhouse Entwicklungen stellen oftmals gravierende Sicherheitslücken dar, da sie nur unzureichende Berechtigungsprüfungen im Coding besitzen. Um nach expliziten Strings zu suchen und die Eigenentwicklungen entsprechend zu kategorisieren kann der Report RS_ABAP_SOURCE_SCAN genutzt werden. Dadurch können vorhanden Programme im Backend nach gezielten Prüfmustern durch den Berechtigungsadministrator explizit überprüft und etwaige Fehlstellungen durch die entsprechenden Entwickler bereinigt werden. Berechtigungsrelevante Prüfmuster bei solch einem Scan sind bspw. “AUTHORITY-CHECK“ oder SQL Statements wie SELECT, UPDATE oder DELETE. Erstere prüft, ob überhaupt Berechtigungsprüfungen im Quellcode vorhanden sind. Die Prüfung auf Open SQL Muster analysiert die Codestruktur auf direkte SELECT, MODIFY oder INSERT Anweisungen, die vermieden bzw. berechtigungsseitig geschützt werden müssen. Die Best Practice Maßnahme ist in diesem Fall die Verwendung von SAP BAPIs. Das präventive Best Practice Vorgehen wäre es, Entwickler und Berechtigungsadministratoren schon während der Konzeptionierung der Eigenentwicklung gleichermaßen zu involvieren.
Das Berechtigungskonzept in der FIORI Oberfläche umsetzen
In vielen Unternehmen mit verteilter Organisation wird das Profit-Center zur Abbildung der dezentralen Einheiten verwendet. Berechtigungstechnisch war dies jedoch bisher für FI nur mit Zusatzprogrammierungen realisierbar. In integrierten Datenflüssen in SAP ERP prüft die sendende Applikation in der Regel nicht die Berechtigungsobjekte der empfangenden Applikation. So prüft die Finanzbuchhaltung (FI) in SAP keine Berechtigungen auf Kostenstellen und Profit-Center. Je nach Anwendungsfall kann dies jedoch geboten sein, z. B. wenn dezentrale Einheiten wie kleine Unternehmen im Unternehmen agieren und jeweils nur Daten für genau diese Einheit erfassen und ansehen sollen. Mit der Einführung des neuen Hauptbuchs hat SAP die Finanzbuchhaltung und die Profit-Center-Rechnung technisch verschmolzen, sodass sich die Frage nach der Berücksichtigung von Profit-Center-Berechtigungen in FI noch stärker stellt.
Nun muss die Struktur »mit Leben« gefüllt werden. Dazu müssen Sie als Erstes sinnvolle Unterordner in der kundeneigenen Struktur anlegen. Wie schon erwähnt, sind diese meist an die SAP-Module angelehnt. Achten Sie darauf, dass Sie Ihr Customizing für zusätzlich eingespielte Add-ons ebenfalls entsprechend ablegen, damit später die Arbeit von Supportorganisationen erleichtert wird. Rufen Sie die Transaktion SOBJ auf. Dort legen Sie Customizing-Objekte an, die später in Ihrer IMG-Struktur wiederverwendet werden. Es bietet sich an, das Objekt genau wie die dazugehörige Tabelle zu benennen. Dies vereinfacht die spätere Pflege in der IMG-Struktur. Hier entscheiden Sie auch, ob und wie die Tabellen möglicherweise im produktiven System gepflegt werden können. Dazu wählen Sie die entsprechenden Einträge in den Feldern Kategorie und Transport und markieren die Option Laufende Einstellung. Dies wiederholen Sie für alle kundeneigenen Customizing-Tabellen, die noch benötigt werden.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Daher empfehlen wir Ihnen immer den Abgleich der von Ihnen berücksichtigten Transaktionen mit den in Ihrem System gespeicherten Favoriten.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Kundeneigenes Customizing kommt bei fast jedem SAP-Kunden zum Einsatz.