Keine blinden Flecken: Eigenentwicklungen in der SAP-Berechtigungsprüfung

| Autor/in:Johannes Schwarzenberger
hand holding magnifying glass focusing on sap software on virtual screen, concept of erp, business, technology, and software solution

Warum Eigenentwicklungen nicht übersehen werden dürfen

In vielen Unternehmen stehen SAP-Standardberechtigungen im Vordergrund, wenn es um Compliance und Sicherheit geht. Doch neben den bekannten Standard-Transaktionen existieren oft zahlreiche Eigenentwicklungen (Y-/Z-Programme und -Transaktionen), die über Jahre hinweg entstanden sind. Werden diese individuellen Erweiterungen nicht berücksichtigt, können sich unbemerkt Sicherheitslücken einschleichen, die die Effektivität der gesamten Berechtigungsprüfung untergraben.

Risiko: Unbekannte Einfallstore für unbefugte Zugriffe

Eigenentwicklungen sind häufig weniger streng dokumentiert und selten im Fokus von Internen Revisionen oder Compliance-Audits. Dadurch können Zugriffsrechte unkontrolliert anwachsen und weitreichende Berechtigungen entstehen. Im Extremfall stehen kritische Geschäftsdaten oder sensible Finanzprozesse offen – ohne dass dies im Rahmen regulärer Prüfungen auffällt.

Praxis-Tipps für eine effektive Prüfung

  1. Bestandsaufnahme:
    Verschaffen Sie sich zunächst einen vollständigen Überblick über alle Eigenentwicklungen. Eine Auswertung der Y-/Z-Transaktionen und -Programme ist über die Tabellen TRDIR (Programme) sowie TSTC/TSTCT (Transaktionen und Texte) möglich. Diese Ausgangsbasis bildet den Grundstein für eine gezielte Prüfung.
  2. Nutzungs- und Relevanzprüfung:
    Konzentrieren Sie sich auf häufig genutzte Eigenentwicklungen, denn hier ist das Risiko am größten. Eine Nutzungsstatistik kann im Standard über die Transaktion ST03N erhoben werden. Beachten Sie, dass im SAP-Standard nur zwei Monate vorgehalten werden. Erhöhen Sie diesen Zeitraum auf bis zu zwölf Monate, um ein aussagekräftiges Bild zu erhalten. Die Software CheckAud bietet zudem die Möglichkeit, die Statistiken tabellarisch abzuziehen (Hinweis: Aktivierung der Nutzungsstatistiken im CheckScan erforderlich).
  3. Prozess-Sicht:
    Eine zentrale Dokumentation aller Eigenentwicklungen ist in der Praxis selten vorhanden. Nutzen Sie daher die personalisierten Nutzungsstatistiken, um gezielt mit den Fachbereichen ins Gespräch zu kommen. Ermitteln Sie, welche Prozesse hinter den verwendeten Z-Transaktionen stehen, und bewerten Sie das Risikoprofil jeder einzelnen Anwendung sowohl aus fachlicher als auch aus technischer Perspektive.
  4. Dokumentation und Bereinigung:
    Integrieren Sie alle aktiven Eigenentwicklungen in Ihre Compliance-Dokumentation und definieren Sie klare Verantwortlichkeiten für deren Nutzung und Pflege. Nicht genutzte Eigenentwicklungen können potenziell abgeschaltet werden. Vorsicht: Auch scheinbar inaktive Programme können indirekt von anderen Entwicklungen aufgerufen werden. Prüfen Sie daher vor dem Deaktivieren sorgfältig alle Abhängigkeiten.

Integration in bestehende Compliance-Strukturen

Die Prüfung von Eigenentwicklungen sollte ein fester Bestandteil Ihrer kontinuierlichen Compliance- und Security-Maßnahmen sein. Regelmäßige Reviews, verantwortungsvolle Pflege, umfassende Dokumentation und automatisierte Prüfmechanismen sorgen für langfristige Sicherheit und Transparenz – auch abseits der Standard-Transaktionen.

Fazit: Ganzheitliche Compliance auch für Eigenentwicklungen

Ein vollständiger SAP-Berechtigungs-Check endet nicht bei den Standardfunktionen. Durch die gezielte Einbeziehung und Überwachung von Y-/Z-Programmen sowie -Transaktionen schließen Sie versteckte Lücken, stärken die Systemintegrität und schützen Ihren Geschäftsbetrieb vor unentdeckten Risiken. Setzen Sie auf einen ganzheitlichen Ansatz – für maximale Sicherheit und nachhaltige Compliance.

Consent Management Platform von Real Cookie Banner