In diesem Artikel geht es um kritische Berechtigungen bzw. kritische Berechtigungsobjekte in SAP ERP bzw. SAP S/4HANA. Ich erkläre, was kritische Berechtigungen sind, gebe einen Überblick und wie man sie vermeiden bzw. beheben kann.
Die Vergabe von kritischen Berechtigungen und Berechtigungskombinationen im SAP-System sollte nur in Ausnahmefällen und äußerst restriktiv erfolgen, da der Missbrauch solcher Berechtigungen den ordnungsgemäßen Betrieb des SAP-Systems beeinträchtigen kann.
Kritische Berechtigungen – Definition
Kritische Berechtigungen sind Berechtigungen im SAP-System, die aus Sicht des Datenschutzes und der Datensicherheit ein Risiko darstellen. Durch kritische Berechtigungen kann die Sicherheit des SAP-Systems eingeschränkt werden. Es gibt allgemeine kritische Berechtigungen (z. B. Debugging-Rechte, Tabellenpflege, etc.) und unternehmensspezifische kritische Berechtigungen. Letztere werden von jedem Unternehmen je nach nationaler Gesetzgebung, Branche und Markt individuell festgelegt.
Im Rahmen des Berechtigungskonzeptes sind diese kritischen Berechtigungen zu definieren und aufzulisten sowie Kontrollmechanismen für die Vergabe festzulegen.
Kritische Berechtigungen sollten nicht oder nur in geringem Umfang vergeben werden, da hierdurch ein unberechtigter Datentransfer möglich ist. Im schlimmsten Fall können so unternehmenskritische Daten unerlaubt an Externe weitergegeben werden. Im Allgemeinen sind kritische Berechtigungen jedoch nur dann kritisch und stellen ein Risiko dar, wenn sie in die falschen Hände geraten.
Kritische Berechtigungen können in vier Kategorien eingeteilt werden:
- Sensitive Berechtigungen
- Verletzung legaler oder vertraglicher Regelungen
- Kritische fachliche Berechtigungen
- Abfluss von Geld, Produkten, Sachanlagen oder Leistungen
- Kritische Berechtigungskombinationen
- Keine Funktionstrennung
- Kritische administrative Berechtigungen
- Massive Störung des betrieblichen Ablaufs
Kritische Berechtigungen analysieren
Im SAP-System gibt es die Möglichkeit, kritische Berechtigungen zu analyiseren. Der Report RSUSR008_009_NEW ermöglicht es, Benutzer bzw. Rollen mit Kombinationen kritischer Berechtigungen zu prüfen. Der Report kann über den ABAP Editor (Transaktion SE38), die Programmausführung (Transaktion SA38) oder das Benutzerinformationssystem (Transaktion SUIM > Benutzer > mit kritischen Berechtigungen) aufgerufen werden.
Hierbei gibt es grundlegend drei Bereiche:
- Name der Variante
- Selektionskriterien
- Listaufbereitung
Im ersten Bereich kann man wählen, ob man eine Variante für kritische Kombinationen oder für kritische Berechtigungen festlegen möchte. Über die Buttons „Kritische Kombinationen“ bzw. „Kritische Berechtigungen“ in der Toolbar-Leiste kann man die Varianten hierfür pflegen. Das SAP-System hat hierbei bereits die Variante SAP_RSUSR009 mit ausgeliefert. Darin befinden sich bereits bekannte kritische Berechtigungen.
Im Bereich „Selektionskriterien“ kann man die Selektion einschränken. Hierbei kann man insgesamt Einschränkungen auf SAP-Benutzer und Rollen tätigen.
Der dritte Bereich „Listaufbereitung“ dient lediglich Einstellungen zur Anzeige der Ausgabe in der Liste.
Ab SAP-Release 7.52 besteht mit dem ABAP-Report RSUSR_UP_AND_DOWNLOAD_FOR_CA die Möglichkeit, die Definition der Regelwerke in Excel durchzuführen. Mit diesem Report können die bestehenden Regeln aus dem SAP-System im entsprechenden Format nach Excel exportiert und dort angepasst bzw. ergänzt werden. Anschließend kann die Excel-Datei wieder importiert werden.
Im SAP Hinweis 2785076 sind die neuen Funktionen des ABAP-Reports RSUSR008_009_NEW im Detail erläutert.
Überblick über kritische Berechtigungen
Nachfolgend sind die wichtigsten kritischen Berechtigungsobjekte in SAP ERP bzw. SAP S/4HANA aufgelistet. Hier ist immer Vorsicht geboten. Diese Objekte sollten in eine Variante zur Analyse und Auswertung kritischer Berechtigungen aufgenommen werden.
Berechtigungsobjekt | Beschreibung |
---|---|
S_BTCH_ADM | Hintergrundverarbeitung: Hintergrundadministrator |
S_BTCH_JOB | Hintergrundverarbeitung: Operationen auf Hintergrundjobs |
S_BTCH_NAM | Hintergrundverarbeitung: Hintergrundbenutzername |
S_ADMI_FCD | Systemberechtigungen |
S_CTS_ADMI | Administrationsfunktionen im Change and Transport System |
S_LOG_COM | Berechtigung zum Ausführen logischer Betriebssystemkommandos |
S_RZL_ADM | CCMS: Systemadministration |
S_ICF_ADM | Verwaltung für das Internet Communication Framework |
S_SPO_ACT | Spool: Aktionen |
S_SPO_DEV | Spooler: Geräteberechtigungen |
S_TMS_ACT | TemSe: Aktionen an/auf TemSe-Objekten |
S_USER_AUT | Benutzerstammpflege: Berechtigungen |
S_USER_PRO | Benutzerstammpflege: Berechtigungsprofil |
S_USER_GRP | Benutzerstammpflege: Benutzergruppen |
S_RFC | RFC-Zugriff auf Programm-Bausteine |
S_TABU_DIS | Tabellenpflege (über Standardtools wie z. B. SM30) |
S_TABU_CLI | Tabellenpflege mandantenunabhängiger Tabellen |
S_TABU_RFC | Mandantenvergleich und -kopie: Datenexport per RFC |
S_TABU_NAM | Tabellenzugriff über generische Standard-Tools |
S_DEVELOP | ABAP Workbench |
S_DBG | ABAP Debugger |
S_TRANSPRT | Transport Organizer |
S_SCD0 | Änderungsbelege |
Kritische Berechtigungen vermeiden
Als Ergebnis bzw. Auswertung des Reports RSUSR008_009_NEW werden Benutzer bzw. Rollen mit kritischen Berechtigungen angezeigt. Diese kritischen Berechtigungen sollten im Benutzerstamm entfernt werden. Dabei ist zunächst zu prüfen, warum diese Berechtigungen vergeben wurden. Werden sie wirklich benötigt? Nicht mehr benötigte Rollen sollten in der Transaktion PFCG entfernt werden. In einigen Fällen kann auch ein grundsätzliches Redesign der SAP-Berechtigungen erforderlich sein, insbesondere wenn das bisherige Berechtigungskonzept historisch gewachsen ist und nicht mehr den aktuellen Anforderungen im Unternehmen entspricht.
Im DSAG-Prüfleitfaden für SAP ERP wird im Detail erläutert, welche Prüfungen man im Rahmen von Berechtigungen in SAP ERP man befolgen sollte. Auch wenn dieses Dokument 2015 erstellt wurde, sind die Konzepte bzw. Methodiken heutzutage noch aktuell und sollten verfolgt werden.
Der aktuellere DSAG-Prüfleitfaden für SAP S/4HANA wurde im Dezember 2022 veröffentlicht und schildert Best-Practice-Empfehlungen der Revision und des Risikomanagement in SAP S/4HANA. Als Nachschlagewerke und Orientierungshilfen sind diese beiden Dokumente sehr zu empfehlen.
Über den Autor
Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.
ERP UP unterstützen
Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.