Transaktion PFUD regelmäßig einplanen
Konzepte der SAP Security
Bei der Tabellenprotokollierung muss sichergestellt sein, dass der SAP®-Hinweis 112388 (protokollierungspflichtige Tabellen) vollständig umgesetzt ist und zusätzlich alle Tabellen, welche finanzrelevante Daten beinhalten, von der Protokollierung umfasst werden. Das gilt selbstverständlich auch für alle Z-Tabellen! Als letzten Punkt der wichtigen Parametereinstellungen sind jene für die Definition der Kennworteinstellungen. Hier sollte sichergestellt werden, dass die Parameter ebenfalls gemäß der Unternehmensvorgaben eingerichtet sind. Die Überprüfung sollte allerdings nicht nur auf die globalen, für alle Benutzer gültigen, Einstellungen liegen, sondern auch all jene Benutzer umfassen, welche eigene Sicherheitsrichtlinien zugewiesen wurden. Gerade für diese muss eine entsprechende Begründung schriftlich vorliegen.
Ein wesentlicher Aspekt in der Risikobewertung eines Entwicklungssystems ist die Art der dort vorhandenen Daten. Normalerweise wird mindestens eine 3-System-Landschaft eingesetzt (Entwicklungs-, Test- und Produktivsystem). Dies dient u.a. dazu, dass (evtl. externe) Entwickler keinen Zugriff auf produktive bzw. produktionsnahe Daten haben. Da Entwickler mit den benötigten Entwicklerberechtigungen Zugriff auf alle Daten aller Mandanten des betroffenen Systems haben, sollten in einem Entwicklungssystem keine produktionsnahen Daten vorhanden sein. Auch eine Aufteilung in einen Entwicklungs- und einen Testmandanten (mit den sensiblen Daten) innerhalb des Systems schützt aus den oben genannten Gründen nicht vor unautorisierten Datenzugriffen. Nachfolgend wird davon ausgegangen, dass keine produktionsnahen Daten auf dem Entwicklungssystem existieren. Andernfalls müssen erweiterte Berechtigungsprüfungen in den Modulen durchgeführt und zuvor die Zugriffe auf produktionsnahe Daten gegenüber dem Produktivsystem durch die jeweiligen Dateneigentümer genehmigt werden. Da Entwickler wie beschrieben durch ihre Entwicklerrechte quasi über eine Vollberechtigung verfügen, kann der Entzug der nachfolgend aufgeführten Berechtigungen zwar die Hemmschwelle zur Ausführung unautorisierter Tätigkeiten erhöhen, letztendlich aber nicht verhindern.
Berechtigungsverwaltung in kundeneigenen Programmen koordinieren
Nachdem Sie die Entwicklung des User-Exits abgeschlossen haben, müssen Sie noch Ihre Validierung transportieren. Navigieren Sie hierzu zurück, und markieren Sie die angelegte Validierung. Nun können Sie die Objekte über den Menüpfad Validierung > Transport in einen Transportauftrag einbinden. Abschließend müssen Sie Ihre Validierung noch über die Transaktion OB28 aktivieren. Dabei müssen Sie beachten, dass dies nur für eine Validierung (gegebenenfalls mit mehreren Schritten) pro Buchungskreis und Zeitpunkt möglich ist. Nun wird Ihre Validierung mit zusätzlichen Prüfungen bei der Belegbuchung über eine Schnittstelle durchlaufen.
Mit der neuen Transaktion SAIS gelangen Sie in das AIS Cockpit, in dem Sie die verschiedenen themenbezogenen Auditstrukturen auswerten können. Bei der Durchführung eines Audits wählen Sie unter Auditstruktur eine der vorhandenen Strukturen aus und selektieren eine Prüfnummer im entsprechenden Feld. Für die Auditstrukturen können unterschiedliche Audits durchgeführt werden; daher müssen Sie immer zuerst ein Audit auswählen. Hierzu wählen Sie eine Prüfnummer aus oder legen ein neues Audit an. Nachdem Sie das Audit ausgewählt haben, wird Ihnen die Auditstruktur im Cockpit angezeigt. Sie können nun die einzelnen Schritte des Audits entlang der Definition in der Auditstruktur durchführen.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Nach dem Transport in das Zielsystem wird diese Rolle als Runtime-Objekt aktiviert.
Ist die maximale Größe aller Dateien für den Tag erreicht, wird die Aufzeichnung weiterer Ereignisse gestoppt.