Ein Konzept für SAP-Berechtigungen beugt Systemfehlern und DSGVO-Verstößen vor
Grundlagen SAP Berechtigungen inklusive Fiori - Online Training
Die Passwörter der Benutzer sind im SAP-System als Hash-Werte abgelegt. Die Qualität der Hash-Werte und damit deren Sicherheit, hängt aber von den eingesetzten Hash-Algorithmen ab. Die früher in den SAP-Systemen eingesetzten Hash-Algorithmen sind nicht mehr als sicher einzustufen; sie können innerhalb kurzer Zeit mit einfachen technischen Mitteln geknackt werden. Sie sollten daher die Passwörter in Ihrem System auf verschiedene Weise absichern. Zuerst sollten Sie den Zugang zu den Tabellen, in denen die Hash-Werte der Passwörter abgelegt sind, stark einschränken. Dies betrifft die Tabellen USR02 und USH02 sowie in neueren Releases die Tabelle USRPWDHISTORY. Am besten weisen Sie diesen Tabellen eine eigene Tabellenberechtigungsgruppe zu, wie es in Tipp 55, »Tabellenberechtigungsgruppen pflegen«, beschrieben wird. Zusätzlich sollten Sie auch die Zugriffe über das Berechtigungsobjekt S_TABU_NAM kontrollieren.
Textbausteine in Berechtigungsrollen können Sie einzeln mithilfe der Transaktion SE63 übersetzen. Wenn Sie viele Rollen übersetzen müssen, gibt es aber auch Automatisierungsoptionen, die wir Ihnen hier vorstellen. Es gibt verschiedene Szenarien, in denen es interessant wird, die Texte von Berechtigungsrollen zu übersetzen, z. B. wenn Ihr Unternehmen international agiert. Auch kann es vorkommen, dass Sie ein Drittunternehmen mitsamt den dort genutzten SAP-Systemen übernommen haben oder Sie eine Vereinfachung der SAP-Systemlandschaft anstreben und dafür verschiedene Sparten in einem System vereinen. In allen genannten Fällen müssen Sie die Texte der Berechtigungsrollen vereinheitlichen oder übersetzen. Für die reine Übersetzung können Sie die Transaktion SE63 nutzen, die wir im ersten Abschnitt dieses Tipps erläutern. Im Regelfall müssen Sie aber bei den genannten Szenarien eine große Anzahl von Rollentexten übersetzen; daher erläutern wir im zweite Abschnitt wie Sie die Übersetzung mithilfe der Transaktion LSMW (Legacy System Migration Workbench) automatisieren und gehen auf den Aufbau eines kundeneigenen ABAP-Programms ein.
FAZIT
Sie nutzen den Report RSUSR010, und Ihnen werden nicht alle dem Benutzer oder der Rolle zugeordneten Transaktionscodes angezeigt. Wie kann das sein? Mit den verschiedenen Reports des Benutzerinformationssystemss (SUIM) können Sie die Benutzer, Berechtigungen und Profile im SAP-System auswerten. Einer dieser Reports, der Report RSUSR010, zeigt Ihnen alle ausführbaren Transaktionen für einen Benutzer, eine Rolle, ein Profil oder eine Berechtigung an. Anwender des Reports sind häufig unsicher darüber, was dieser Report tatsächlich anzeigt, da die Ergebnisse nicht zwingend mit den berechtigten Transaktionen übereinstimmen. Daher stellen wir im Folgenden klar, welche Daten für diesen Report ausgewertet werden und wie es zu diesen Abweichungen kommen kann.
Wenn Sie mehr zum Thema SAP Basis wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Üblicherweise werden hierzu die Berechtigungen gezählt, mit denen Änderungsaufzeichnungen im System gelöscht werden können oder elektronisch radiert werden kann. Auch im Entwicklungssystem ist die Nachvollziehbarkeit von Änderungen wichtig, deshalb sind die nachfolgend aufgeführten Berechtigungen nur sehr restriktiv bzw. nur an Notfallbenutzer zu vergeben.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Zunehmend ist es möglich auf Automatisierungen im Security-Umfeld zurückzugreifen.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Verwenden Sie hierzu die Transaktion SE18, in der Sie auch die Implementierungsbeispielklasse einsehen können.