In vielen Prüfungen und Projekten bei unseren Kunden haben wir festgestellt, dass die Einstellungen in der Transaktion SE97 in den SAP-Systemen nicht gepflegt werden. Dies stellt aus Berechtigungssicht eine Sicherheitslücke bei den Zugriffen der Mitarbeiter auf die Daten im SAP-System dar. Was darunter zu verstehen ist und wie man die Transaktion SE97 pflegt, erläutern wir in diesem Beitrag.

In früheren SAP ERP-Systemen war die Nutzung von SAP Businesspartner optional. Nur in SAP CRM (Customer Relationship Management) mussten dies genutzt werden. In der ERP-Welt wurden die Geschäftspartner als Lieferanten (Kreditoren) und Kunden (Debitoren) abgebildet. Man hatte unter Umständen für einen Geschäftspartner, der gleichzeitig für das Unternehmen Kreditor und Debitor war, zwei Stammdatensätze – also eine redundante Datenhaltung.

Bei einer SAP-Security-Prüfung steht insbesondere die Berechtigungsvergabe im Mittelpunkt. Sie ermöglicht Benutzern erst die Arbeit am SAP-System, kann sich jedoch u. U. ungewollt zu Funktionstrennungskonflikten oder gar gesetzeskritischen Befugnissen aufsummieren. Daher sind regelmäßig Tools zur technischen Analyse einzusetzen, die den Status quo der Berechtigungsvergabe und somit die Grundlage für eine Optimierung liefern.

Bei Prüfungen von SAP-Berechtigungen stehen häufig die konkret an Benutzer zugeordneten Berechtigungen im Fokus. Dabei können Feststellungen aus falsch bzw. unsauber ausgeprägten Rollen resultieren. Durch falsche Ausprägungen von Rollen können sich Fehler einschleichen, die zu falschen Berechtigungszuordnungen führen können.

Jedes Unternehmen kennt die Situation, jedes Jahr wieder kündigt sich der Wirtschaftsprüfer an, um die Jahresabschlussprüfung durchzuführen und am Ende der Prüfung die Bilanz zu testieren. Im ersten Teil zu diesem Thema lag der Schwerpunkt auf den relevanten Prozessen und Dokumentationen. In diesem Teil liegt die Konzentration auf einer tieferen Ebene, nämlich direkt im SAP®-System. Die Vorgaben hierfür sollten im SAP®-Berechtigungskonzept bereits verschriftlicht sein.

Dieser Beitrag behandelt Risikothemen, die vom Entwicklungssystem ausgehen und sich auf die nachgelagerten Systeme bis hin zum Produktivsystem auswirken. Neben Änderungen im Entwicklungs- und Customizing-Umfeld sind dies auch die systemspezifischen Transportprozess-Schritte und vorhandenen Schnittstellen.

Bei der Sicherheitsbetrachtung von SAP-Transportlandschaften ist nicht nur das Produktivsystem prüfungsrelevant. Auch die anderen Systeme, einschließlich der Entwicklungssysteme, sind in die Risikobetrachtungen einzubeziehen. Noch immer wird dort häufig das Profil SAP_ALL genutzt, anstelle konkreter Rollen. Dieser Beitrag zeigt hier die wesentlichen Risikofelder auf.

Jedes Unternehmen kennt die Situation jedes Jahr wieder, dass sich der Wirtschaftsprüfer ankündigt, um die Jahresabschlussprüfung durchzuführen und am Ende der Prüfung die Bilanz zu testieren.

Mit den letzten Release-Ständen von SAP S/4HANA® hat SAP eine Vielzahl von Sicherheitseinstellungen optimiert. In diesem Artikel sind wesentliche Einstellungen beschrieben. Einige davon können Auswirkungen auf die Berechtigungen haben. Daher sind vor jedem Release-Wechsel diese Änderungen zu prüfen.