Fehlende Definition eines internen Kontroll-Systems (IKS)
RSRFCCHK
Darüber hinaus müssen Sie beachten, dass Sie diesen Report nicht auf Systemen ausführen dürfen, die als Benutzerquelle für ein Java-System eingesetzt werden. Dies liegt darin begründet, dass bei einer Anmeldung am Java-System nur dann das Datum der letzten Anmeldung im ABAP-System aktualisiert wird, wenn eine passwortbasierte Anmeldung erfolgt ist. Andere Anmeldungsarten am Java-System aktualisieren das Datum der letzten Anmeldung im ABAP-System nicht.
Manche Abfragen sind auch mit der Transaktion SUIM ein wenig umständlich. Mit SAP Query können Sie schnell Abfragen zusammenbauen, die individuelle und komplexere Datenauswertungen ermöglichen. Wollen Sie schnell wissen, welche gültigen Benutzer aktuell einen ändernden Zugriff auf eine bestimmte Tabelle haben oder über welche Rollen die Benutzer die Berechtigung für eine bestimmte Transaktion erhalten? Für Datenabfragen dieses Typs ist das SAP-Standardwerkzeug, das Benutzerinformationssystem, für die meisten Recherchefälle eine hervorragende Lösung. Allerdings passiert es spätestens bei der nächsten Prüfung durch die Revision, dass gezielte Abfragen mit Datenkombinationen – und damit mehrere SUIM-Abfragefolgen – innerhalb kurzer Zeit geliefert werden müssen. SAP Queries können diese Tätigkeit erleichtern. Eine SAP Query ist im Wesentlichen eine übersichtliche Methode, um Tabellen abseits der Transaktion SE16 nach bestimmten Daten zu durchforsten. Dabei gibt es die Möglichkeit, mehrere Tabellen zu verknüpfen (Join), wodurch aus mehreren SE16-Abfragen nur eine SAP Query wird. Wollen Sie z. B. wissen, über welche Rollen die Benutzer die Berechtigung beziehen, die Transaktion SCC4 auszuführen, können Sie über die Transaktion SUIM zwar mit einer Abfrage feststellen, welche Benutzer die Transaktion ausführen können und sich in einer anderen Abfrage anzeigen lassen, welche Rollen dies ermöglichen – jedoch gibt es hier kein Ergebnis, in dem beides angezeigt wird.
Sicherheit in Entwicklungssystemen
Alle externen Services mit ihren Vorschlagswerten können Sie in der Transaktion SU24 anschauen bzw. pflegen. Der Zugriff auf externe Services bzw. auf alle CRM-Funktionen und auf die Daten innerhalb der CRM-Funktionen wird über PFCG-Rollen realisiert. Zum Erstellen dieser PFCG-Rollen müssen Sie zunächst ein Rollenmenü erstellen. Dazu führen Sie den Report CRMD_UI_ROLE_PREPARE aus. Sie können entweder den Namen der CRM-Business-Rolle (Benutzerrolle) oder den Namen der zugewiesenen PFCG-Rolle angeben. Außerdem ist es wichtig, dass Sie im entsprechenden Feld die Sprache angeben, in der die PFCG-Rolle gepflegt wird.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
Im Vorfeld wurden im Gros wichtige SAP Reports zum Thema Rollen- und Berechtigungsverwaltung vorgestellt. Da diese und das gesamte SAP System bekannterweise auf dem ABAP Coding aufbauen, ist die Analyse des Quellcodes, besonders bei der Nutzung von Eigenentwicklungen, genauso wichtig. Diese Inhouse Entwicklungen stellen oftmals gravierende Sicherheitslücken dar, da sie nur unzureichende Berechtigungsprüfungen im Coding besitzen. Um nach expliziten Strings zu suchen und die Eigenentwicklungen entsprechend zu kategorisieren kann der Report RS_ABAP_SOURCE_SCAN genutzt werden. Dadurch können vorhanden Programme im Backend nach gezielten Prüfmustern durch den Berechtigungsadministrator explizit überprüft und etwaige Fehlstellungen durch die entsprechenden Entwickler bereinigt werden. Berechtigungsrelevante Prüfmuster bei solch einem Scan sind bspw. “AUTHORITY-CHECK“ oder SQL Statements wie SELECT, UPDATE oder DELETE. Erstere prüft, ob überhaupt Berechtigungsprüfungen im Quellcode vorhanden sind. Die Prüfung auf Open SQL Muster analysiert die Codestruktur auf direkte SELECT, MODIFY oder INSERT Anweisungen, die vermieden bzw. berechtigungsseitig geschützt werden müssen. Die Best Practice Maßnahme ist in diesem Fall die Verwendung von SAP BAPIs. Das präventive Best Practice Vorgehen wäre es, Entwickler und Berechtigungsadministratoren schon während der Konzeptionierung der Eigenentwicklung gleichermaßen zu involvieren.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Ihre Berechtigungsprüfungen sollten nun in der Transaktion STUSOBTRACE sichtbar sein.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Außerdem stellen Berechtigungskonzepte sicher, dass Mitarbeiter keine Bilanzen schönen und so Stakeholdern und Steuerbehörden Schaden zugefügt wird.