Überblick über kritische Berechtigungen in SAP ERP

In diesem Artikel geht es um kritische Berechtigungen bzw. kritische Berechtigungsobjekte in SAP ERP bzw. SAP S/4HANA. Ich erkläre, was kritische Berechtigungen sind, gebe einen Überblick und wie man sie vermeiden bzw. beheben kann.

Die Vergabe von kritischen Berechtigungen und Berechtigungskombinationen im SAP-System sollte nur in Ausnahmefällen und äußerst restriktiv erfolgen, da der Missbrauch solcher Berechtigungen den ordnungsgemäßen Betrieb des SAP-Systems beeinträchtigen kann.

Kritische Berechtigungen – Definition

Kritische Berechtigungen sind Berechtigungen im SAP-System, die aus Sicht des Datenschutzes und der Datensicherheit ein Risiko darstellen. Durch kritische Berechtigungen kann die Sicherheit des SAP-Systems eingeschränkt werden. Es gibt allgemeine kritische Berechtigungen (z. B. Debugging-Rechte, Tabellenpflege, etc.) und unternehmensspezifische kritische Berechtigungen. Letztere werden von jedem Unternehmen je nach nationaler Gesetzgebung, Branche und Markt individuell festgelegt.

Im Rahmen des Berechtigungskonzeptes sind diese kritischen Berechtigungen zu definieren und aufzulisten sowie Kontrollmechanismen für die Vergabe festzulegen.

Kritische Berechtigungen sollten nicht oder nur in geringem Umfang vergeben werden, da hierdurch ein unberechtigter Datentransfer möglich ist. Im schlimmsten Fall können so unternehmenskritische Daten unerlaubt an Externe weitergegeben werden. Im Allgemeinen sind kritische Berechtigungen jedoch nur dann kritisch und stellen ein Risiko dar, wenn sie in die falschen Hände geraten.

Kritische Berechtigungen können in vier Kategorien eingeteilt werden:

  1. Sensitive Berechtigungen
    • Verletzung legaler oder vertraglicher Regelungen
  2. Kritische fachliche Berechtigungen
    • Abfluss von Geld, Produkten, Sachanlagen oder Leistungen
  3. Kritische Berechtigungskombinationen
    • Keine Funktionstrennung
  4. Kritische administrative Berechtigungen
    • Massive Störung des betrieblichen Ablaufs

Kritische Berechtigungen analysieren

Im SAP-System gibt es die Möglichkeit, kritische Berechtigungen zu analyiseren. Der Report RSUSR008_009_NEW ermöglicht es, Benutzer bzw. Rollen mit Kombinationen kritischer Berechtigungen zu prüfen. Der Report kann über den ABAP Editor (Transaktion SE38), die Programmausführung (Transaktion SA38) oder das Benutzerinformationssystem (Transaktion SUIM > Benutzer > mit kritischen Berechtigungen) aufgerufen werden.

Report RSUSR008_009_NEW - Benutzer bzw. Rollen mit Kombinationen kritischer Berechtigungen

Hierbei gibt es grundlegend drei Bereiche:

  • Name der Variante
  • Selektionskriterien
  • Listaufbereitung

Im ersten Bereich kann man wählen, ob man eine Variante für kritische Kombinationen oder für kritische Berechtigungen festlegen möchte. Über die Buttons „Kritische Kombinationen“ bzw. „Kritische Berechtigungen“ in der Toolbar-Leiste kann man die Varianten hierfür pflegen. Das SAP-System hat hierbei bereits die Variante SAP_RSUSR009 mit ausgeliefert. Darin befinden sich bereits bekannte kritische Berechtigungen.

Variante SAP_RSUSR009 zu kritischen Berechtigungen

Im Bereich „Selektionskriterien“ kann man die Selektion einschränken. Hierbei kann man insgesamt Einschränkungen auf SAP-Benutzer und Rollen tätigen.

Der dritte Bereich „Listaufbereitung“ dient lediglich Einstellungen zur Anzeige der Ausgabe in der Liste.

Ab SAP-Release 7.52 besteht mit dem ABAP-Report RSUSR_UP_AND_DOWNLOAD_FOR_CA die Möglichkeit, die Definition der Regelwerke in Excel durchzuführen. Mit diesem Report können die bestehenden Regeln aus dem SAP-System im entsprechenden Format nach Excel exportiert und dort angepasst bzw. ergänzt werden. Anschließend kann die Excel-Datei wieder importiert werden.

Im SAP Hinweis 2785076 sind die neuen Funktionen des ABAP-Reports RSUSR008_009_NEW im Detail erläutert.

Überblick über kritische Berechtigungen

Nachfolgend sind die wichtigsten kritischen Berechtigungsobjekte in SAP ERP bzw. SAP S/4HANA aufgelistet. Hier ist immer Vorsicht geboten. Diese Objekte sollten in eine Variante zur Analyse und Auswertung kritischer Berechtigungen aufgenommen werden.

BerechtigungsobjektBeschreibung
S_BTCH_ADMHintergrundverarbeitung: Hintergrundadministrator
S_BTCH_JOBHintergrundverarbeitung: Operationen auf Hintergrundjobs
S_BTCH_NAMHintergrundverarbeitung: Hintergrundbenutzername
S_ADMI_FCDSystemberechtigungen
S_CTS_ADMIAdministrationsfunktionen im Change and Transport System
S_LOG_COMBerechtigung zum Ausführen logischer Betriebssystemkommandos
S_RZL_ADMCCMS: Systemadministration
S_ICF_ADMVerwaltung für das Internet Communication Framework
S_SPO_ACTSpool: Aktionen
S_SPO_DEVSpooler: Geräteberechtigungen
S_TMS_ACTTemSe: Aktionen an/auf TemSe-Objekten
S_USER_AUTBenutzerstammpflege: Berechtigungen
S_USER_PROBenutzerstammpflege: Berechtigungsprofil
S_USER_GRPBenutzerstammpflege: Benutzergruppen
S_RFCRFC-Zugriff auf Programm-Bausteine
S_TABU_DISTabellenpflege (über Standardtools wie z. B. SM30)
S_TABU_CLITabellenpflege mandantenunabhängiger Tabellen
S_TABU_RFCMandantenvergleich und -kopie: Datenexport per RFC
S_TABU_NAMTabellenzugriff über generische Standard-Tools
S_DEVELOPABAP Workbench
S_DBGABAP Debugger
S_TRANSPRTTransport Organizer
S_SCD0Änderungsbelege

Kritische Berechtigungen vermeiden

Als Ergebnis bzw. Auswertung des Reports RSUSR008_009_NEW werden Benutzer bzw. Rollen mit kritischen Berechtigungen angezeigt. Diese kritischen Berechtigungen sollten im Benutzerstamm entfernt werden. Dabei ist zunächst zu prüfen, warum diese Berechtigungen vergeben wurden. Werden sie wirklich benötigt? Nicht mehr benötigte Rollen sollten in der Transaktion PFCG entfernt werden. In einigen Fällen kann auch ein grundsätzliches Redesign der SAP-Berechtigungen erforderlich sein, insbesondere wenn das bisherige Berechtigungskonzept historisch gewachsen ist und nicht mehr den aktuellen Anforderungen im Unternehmen entspricht.

Im DSAG-Prüfleitfaden für SAP ERP wird im Detail erläutert, welche Prüfungen man im Rahmen von Berechtigungen in SAP ERP man befolgen sollte. Auch wenn dieses Dokument 2015 erstellt wurde, sind die Konzepte bzw. Methodiken heutzutage noch aktuell und sollten verfolgt werden.

Der aktuellere DSAG-Prüfleitfaden für SAP S/4HANA wurde im Dezember 2022 veröffentlicht und schildert Best-Practice-Empfehlungen der Revision und des Risikomanagement in SAP S/4HANA. Als Nachschlagewerke und Orientierungshilfen sind diese beiden Dokumente sehr zu empfehlen.

Über den Autor

Andreas Geiger

Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.

Mehr zu ERP UP

ERP UP unterstützen

Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.

Schreibe einen Kommentar