Rollentyp
Effizienter SAP-Rollout durch zentrale, tool-gestützte Verwaltung
Werden zu den Berechtigungsobjekten auch Berechtigungsfelder benötigt, können Sie diese in der Transaktion SU20 anlegen. Beim Anlegen eines Berechtigungsobjekts in der Transaktion SU21 legen Sie zuerst einen Namen und eine Beschreibung für das Berechtigungsobjekt fest und weisen es anschließend einer Objektklasse zu. Anschließend weisen Sie die notwendigen Berechtigungsfelder zu. Handelt es sich bei einem dieser Felder um das Feld ACTVT (Aktivität), können Sie über den Button Zulässige Aktivitäten alle zu prüfenden Aktivitäten auswählen. Das Navigationsverhalten ist hier um einiges verbessert worden.
Im Rahmen des Erkennens von Berechtigungsproblemen sollte dokumentiert werden, was die Gefahren sind, wenn die aktuelle Situation beibehalten wird. Oftmals wollen Verantwortliche im Unternehmen keine Korrektur vornehmen, weil diese Kosten und Arbeit verursacht. Wenn das aktuelle Konzept funktioniert und Sicherheitslücken abstrakt sind, scheuen sich viele Verantwortliche, etwas zu ändern. Aus diesen Gründen sollte zunächst dokumentiert werden, welche Probleme und Gefahren lauern, wenn das aktuelle Konzept nicht korrigiert wird: Zunächst erhöht sich die Gefahr von Betrug, Diebstahl sowie Datenschutz- und Sicherheitsverstößen. Die Dokumentation kann helfen zu erkennen, wo Gefahren liegen. Es besteht grundsätzlich das Problem, dass dem Unternehmen ein finanzieller Schaden entsteht, wenn nicht gehandelt wird. Eine weitere Gefahr besteht darin, dass Anwender mit ihren Berechtigungen experimentieren und Schaden verursachen, der sich durch eine saubere Berechtigungsstruktur vermeiden lässt. Ebenfalls ein Problem ist der erhöhte Administrationsaufwand der Berechtigungsvergabe und -Verwaltung. Der Aufwand steigt an, wenn die aktuelle Rollenzuordnungen nicht transparent und optimal strukturiert sind.
Die Vergabe von kritischen Berechtigungen und Handhabung von kritischen Benutzern
Der Prozess der Benutzerverwaltung, also Benutzeranlage, -änderung und -deaktivierung sollte einerseits in schriftlich dokumentierter Form, entweder als eigenes Dokument oder als Teil des schriftlich dokumentierten Berechtigungskonzepts, vorliegen und andererseits auch gemäß der Dokumentation durchgeführt werden. Daher ist ein Abgleich auf zwei Ebenen vorzunehmen, einerseits sollte sichergestellt werden, dass die Dokumentation aktuell ist und andererseits sollte überprüft werden, ob der Prozess im zu prüfenden Wirtschaftsjahr auch eingehalten wurde. Mögliche Abweichungen sollten bereits argumentativ vorbereitet werden, es können immer Sonderfälle auftreten, die vom eigentlichen Prozess abweichen. Diese sind jedoch nachvollziehbar zu dokumentieren, damit ein externer Prüfer, wie es eben der IT-Prüfer des Wirtschaftsprüfers ist, verplausibilisieren kann. Sämtliche Dokumentationen sollten mit den wesentlichen Informationen (Ersteller, Datum, Version, etc.) versehen werden und in einem nicht veränderbaren Format (in der Regel PDF) vorliegen. Weitere Unterlagen können auch aus dem Ticket-System ausgegeben werden, sofern der Prozess durchgängig über das Ticketsystem dokumentiert ist.
Die SAP-Basis ist das Fundament eines jeden SAP-Systems. Viele nützliche Informationen dazu finden Sie auf dieser Seite: www.sap-corner.de.
Anders als beim EWA ist es für den SOS möglich, Benutzer aufzulisten, die weitreichende Berechtigungen benötigen. Sie können also eine Whitelist pflegen. Wir empfehlen Ihnen, mit den Ergebnissen des SOS wie folgt umzugehen: Prüfen Sie, ob alle identifizierten Benutzer die kritische Berechtigung benötigen. Ergänzen Sie die Benutzer, die diese Berechtigung benötigen, in der Whitelist. Entziehen Sie den anderen Benutzern diese Berechtigung.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Grundsätzlich empfehlen wir Ihnen, starke Verschlüsselungsmechanismen einzusetzen und die meisten Benutzer auf eine SSO-Anmeldung umzustellen.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Lassen Sie sich in solch einem Fall nicht entmutigen, sondern starten Sie mit der Bereinigung einer handhabbaren Menge kritischer SOS-Ergebnisse.