SAP Security Automation
Was tun, wenn der Wirtschaftsprüfer kommt – Teil 1: Prozesse und Dokumentationen
Nutzen Sie schon BAPIs in der Benutzerpflege? Mit ihnen können Sie z. B. einen Self-Service für das Zurücksetzen des Passworts einrichten. Wir zeigen Ihnen, wie das geht und was Sie dabei beachten müssen. Gerade bei großen Systemlandschaften und Systemen, die nur sporadisch genutzt werden, vergessen Benutzer häufig ihr Passwort. Verschärfte Passwortregeln (z. B. zur regelmäßigen Änderung eines Passworts oder die Auflage zur Nutzung bestimmter Zeichentypen), die eigentlich der Sicherheit dienen sollen, tragen ihren Teil dazu bei. Vergessene Passwörter und die daraus häufig resultierenden Benutzersperren kommen dem Benutzer leider meist dann in die Quere, wenn der Zugriff zu einem System am dringendsten benötigt wird. Das Entsperren eines Benutzers und die Vergabe eines neuen Passworts erfolgt auch bei großen Serviceabteilungen mit 24-Stunden- Support selten in Echtzeit. Dieses Ihnen sicherlich bekannte Problem fördert nicht gerade die Zufriedenheit und Produktivität der Mitarbeiter. Ein Self- Service, der sich der Business Application Programming Interfaces (BAPIs) bedient, kann diesem entgegenwirken.
Im Zuge eines umfassenden Schutzes Ihres Systems von innen sowie von außen ist es unabdingbar, vor allem die SAP Standardbenutzer genauer zu betrachten. Sie haben weitreichende Berechtigungen, die bei einem Missbrauch hohe Schäden in Ihrem System anrichten. Dabei ist zu beachten, dass sie sehr wichtig für die Betriebsausführung Ihres SAP Systems sind und nicht gelöscht werden dürfen. Da die dazugehörigen Standardpasswörter jedoch schnell recherchierbar sind, müssen diese umgehend nach Auslieferung des SAP ERP geändert werden. Eine detaillierte Prüfung dieser User können Sie durch den Report RSUSRS003 ausführen. Außerdem ist es empfehlenswert, bestimmte Standardnutzer bis zur eigentlichen Nutzung inaktiv zu setzen.
Analyse von Berechtigungen
Customizing wird in den meisten Fällen über die Transaktion SPRO durchgeführt. Dies ist jedoch nur die Einstiegstransaktion für eine sehr umfassende Baumstruktur weiterer Pflegetransaktionen. Die meisten Customizing-Aktivitäten bestehen aber in der indirekten oder direkten Pflege von Tabellen. Daher kann eine stichprobenartige Überprüfung der Berechtigungsstruktur in diesem Umfeld auf Tabellenberechtigungen reduziert werden. Bei abgegrenzten Zuständigkeiten innerhalb des Customizings (z.B. FI, MM, SD etc.) ist hier also auf eine entsprechende Abgrenzung innerhalb der Tabellenberechtigungen zu achten. Unabhängig von vergebenen Transaktionsberechtigungen innerhalb des Customizings entspricht eine Vollberechtigung auf Tabellenebene kombiniert mit einer Tabellenpflegetransaktion wie etwa SM30 praktisch einer Vollberechtigung im Customizing. Normales Customizing der Fachbereiche bezieht sich im Allgemeinen auf mandantenabhängige Tabellen. Der Zugriff auf Systemtabellen sollte also möglichst auf die Basisadministration beschränkt werden.
Für die verschiedenen Benutzer in Ihrem SAP-System sollen unterschiedliche Anforderungen an die Passwortregeln, Passwortänderungen und Anmelderestriktionen gelten. Mit den neuen Sicherheitsrichtlinien können Sie diese benutzer- und mandantenspezifisch definieren. Es kommt immer wieder vor, dass es für verschiedene Benutzer in Ihrem SAP-System besondere Anforderungen an die Passwortregeln, Passwortänderungen und Anmelderestriktionen gibt. Dafür kann es unterschiedliche Gründe geben.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Bevor Sie die Systemempfehlungen einsetzen, empfehlen wir Ihnen die Implementierung der Korrekturen in den SAP-Hinweisen 1554475 und 1577059.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
So können Sie z. B. Ordner in Ihren Favoriten anlegen, um diese zu sortieren.