Die Analyse von Berechtigungsfehlern in SAP erfolgt häufig mit Hilfe technischer Analysewerkzeuge, beispielsweise über die Transaktion SU53 (Werte der letzten fehlgeschlagenen Berechtigungsprüfung) oder über den STAUTHTRACE (Systemtrace für Berechtigungen). Beide Werkzeuge liefern Informationen darüber, welche Berechtigungsprüfungen im System stattgefunden haben und ob diese erfolgreich waren oder fehlgeschlagen sind. Damit sind sie wichtige Hilfsmittel bei der Untersuchung von Berechtigungsproblemen. Bei der Auswertung der Ergebnisse ist jedoch zu beachten, dass technische Prüfergebnisse nicht immer unmittelbar mit einem fachlichen Berechtigungsbedarf gleichgesetzt werden können.
Technische Prüfungen fachlich richtig einordnen
Ein wesentlicher Punkt bei der Interpretation von Berechtigungsanalysen aus SU53 oder STAUTHTRACE besteht darin, dass beide Tools zunächst nur technische Prüfungen im System sichtbar machen. Hieraus lässt sich jedoch nicht automatisch ableiten, dass jedes angezeigte Berechtigungsobjekt für den betrachteten fachlichen Use Case tatsächlich benötigt wird. Im technischen Ablauf können beispielsweise auch Berechtigungsprüfungen auftreten, die aus allgemeinen Umfeldfunktionen einer Transaktion, optionalen UI-Funktionen oder zusätzlichen Verarbeitungsschritten resultieren. Fehlgeschlagene Prüfungen müssen daher im fachlichen Kontext bewertet werden. Es kann vorkommen, dass zusätzliche Prüfungen im Hintergrund ausgeführt werden und fehlschlagen, die fachliche Basisfunktion aber trotzdem weiterhin erfolgreich genutzt werden kann.
Ohne eine genaue Differenzierung besteht die Gefahr, dass Berechtigungsobjekte vorschnell in Rollen übernommen werden, obwohl sie für den eigentlichen Prozess nicht erforderlich sind. Dies kann bei der Rollenpflege problematisch sein, wenn Analyseergebnisse ungeprüft als Grundlage für Rollenänderungen verwendet werden, da es dadurch zu einer schleichenden Ausweitung von Berechtigungen kommen kann. Auf diese Weise besteht auch das Risiko, dass kritische Berechtigungen in vermeintlich harmlose Fachrollen eingebaut werden, obwohl sie für die vorgesehenen Tätigkeiten im System gar nicht erforderlich sind.
Voraussetzungen für belastbare Ergebnisse
Für eine belastbare Berechtigungsanalyse ist deshalb ein sauberer Testaufbau erforderlich. Der zu prüfende Use Case sollte vorab eindeutig definiert werden. Darüber hinaus sollten Berechtigungstests nach Möglichkeit mit eigens dafür vorgesehenen Testbenutzern und auf den konkreten Use Case abgestimmten Rollen durchgeführt werden. Bei der Bewertung von Analyseergebnissen sollten insbesondere folgende Fragen berücksichtigt werden:
- Use Case: Welcher fachliche Prozess oder Prozessschritt wurde konkret getestet und ist das in der Berechtigungsanalyse als fehlend ausgewiesene Berechtigungsobjekt für diesen Use Case fachlich überhaupt plausibel?
- Auswirkung auf den getesteten Prozess: Hatte die fehlgeschlagene Berechtigungsprüfung tatsächlich Auswirkungen auf den getesteten Prozess?
- Negativtest: Kann der getestete Prozess auch ohne Vergabe des fraglichen Berechtigungsobjekts erfolgreich ausgeführt werden?
Auf diese Weise lässt sich feststellen, welche Berechtigungen für einen fachlichen Prozess tatsächlich erforderlich sind und welche lediglich im technischen Ablauf geprüft werden.
Fazit
Werkzeuge wie SU53 und STAUTHTRACE leisten einen wichtigen Beitrag zur technischen Analyse von Berechtigungsprüfungen in SAP. Ihre Ergebnisse müssen jedoch immer im fachlichen Kontext interpretiert werden. Nur wenn technischer Prüfablauf, fachlicher Use Case und konkreter Testaufbau gemeinsam betrachtet werden, lassen sich Rollen präzise und im Sinne der Minimalberechtigung gestalten und unnötige Berechtigungsausweitungen vermeiden.