SAP-Berechtigungswesen

Inhalt

Vorwort

1 Einführung

1.1 Hinweise zum Buch

1.1.1 Kapitelübersicht

1.1.2 Zielgruppe

1.1.3 Abgrenzung

1.2 SAP R/3-Umfeld

1.2.1 SAP R/3-Sicherheitsaspekte

1.2.2 IT-Infrastruktur

1.2.3 Integration der Sicherheitsaspekte und der Infrastruktur

1.2.4 Weiterentwicklung mit Webarchitektur ( ITS)

1.2.5 mySAP Workplace/SAP Portal

1.3 Komplexe Systemlandschaften

1.4 Fazit

2 SAP R/3-Benutzer und Berechtigungen

2.1 Vorbemerkung – Sicherheit im SAP R/3-System

2.1.1 Risiken

2.1.2 Ziele

2.1.3 Aufwand

2.1.4 Nutzen

2.1.5 Umfeld

2.2 Benutzer – der SAP R/3-Anwender

2.2.1 Benutzerstammsatz

2.2.2 Benutzergruppen

2.2.3 Benutzertypen

2.2.4 Kennwort-Regelungen

2.2.5 SAP R/3-Standardbenutzer

2.2.6 Relevante SAP- Tabellen für Benutzerstammsätze

2.3 Das SAP R/3-Berechtigungskonzept

2.3.1 Profilgenerator

2.3.2 Transaktionen, Berechtigungsobjekte und Berechtigungen

2.3.3 Unternehmensstruktur und Organisationsebenen

2.3.4 Rollen

2.3.5 Berechtigungsprofile

2.3.6 Technische Vorgehensweise – SAP-Profilgenerator

2.3.7 Namenskonventionen

2.3.8 Relevante SAP- Tabellen für Berechtigungen und Rollen

2.3.9 Aufgabenteilung in der Administration

2.4 Systemvoreinstellungen

2.4.1 Instanzen und Profilparameter

2.4.2 Übernahme der SAP- Voschläge in die Kundentabellen

2.5 Berechtigungsprüfungen in den SAP-Anwendungen

2.6 Schutz von Tabellen

2.7 Schutz von Reports

2.7.1 Einführung in ABAP/4-Programme – Vorbemerkungen

2.7.2 Nutzung eigenentwickelter Transaktionen

2.8 Basissicherheit

2.8.1 Vorbemerkung

2.8.2 Betroffene Basisberechtigungen

2.9 HR-Sicherheit

2.9.1 Berechtigungsobjekte – Berechtigungshauptschalter

2.9.2 Personalnummernprüfung

2.9.3 Zusätzliche Stammdatenprüfung

2.9.4 Strukturelle Berechtigungen

2.9.5 Weitere aktivierbare Berechtigungsprüfungen

2.9.6 Fazit

2.10 Neuerungen zum Release 4.6

2.11 Zentrale Benutzerverwaltung und Global User Manager

2.11.1 Zentrale Benutzerverwaltung

2.11.2 Global User Manager

2.12 Historie der SAP- Technologien im Berechtigungsumfeld

2.12.1 Hintergrund

2.12.2 Objektorientiertes Konzept

2.12.3 Objektorientiertes Konzept mit S_TCODE

2.12.4 Migration und Migrationstools

2.13 Zusammenfassung und Fazit

2.13.1 Systemzugriffsschutz

2.13.2 Benutzerverwaltung

2.13.3 Berechtigungskonzept

2.13.4 Dokumentation des Zugriffsschutzsystems

2.13.5 Aufbewahrungsfristen

2.14 Wichtige SAP-Hinweise im Berechtigungsumfeld

3 Einbettung in das interne Kontrollsystem

3.1 Notwendigkeit eines internen Kontrollsystems

3.1.1 Ermittlung des Risikoumfeldes

3.1.2 Identifikation der Risikoquelle (Prozesse, Bereiche etc.)

3.1.3 Risikoanalyse

3.2 Überführung in die Kontrollumgebung

3.2.1 Struktur der Kontrollumgebung

3.2.2 Anforderungen an eine Kontrollumgebung

3.2.3 Kontrolltypen

3.2.4 Kontrollansätze

3.3 Identifikation der Umsetzung

3.3.1 SAP R/3-Berechtigungskonzept

3.3.2 Realisierung – Einschränkungen

3.3.3 Kompensierende Kontrollen

3.3.4 Einordnung der Berechtigungskontrollen

3.3.5 Dokumentation der Kontrollen

3.4 Monitoring und Prüfung des IKS

3.4.1 Interne Revision

3.4.2 Externer Wirtschaftsprüfer

3.4.3 Unternehmensbewusstsein

4 Vorgehensmodell beim Design eines Berechtigungskonzeptes

4.1 Das IBM-Phasenmodell

4.1.1 Überblick

4.1.2 Projektvorbereitung und Rahmenbedingungen

4.1.3 Definition der Funktionen (Rollen) im Unternehmen

4.1.4 Design-Grobkonzept – Erstellung einer Aufgaben/Funktionen-Matrix

4.1.5 Design-Feinkonzept – Erstellung einer Organisations- und

4.1.6 Realisierung – Erstellung der Einzelrollen und -profile Wertematrix

4.1.7 Realisierung – Erstellung der Sammelrollen

4.1.8 Test, Dokumentation und Review

4.1.9 Einrichtung der Benutzerstammsätze

4.1.10 Erstellung eines Betreuungskonzeptes

4.1.11 Produktivvorbereitung – Know-how- Transfer und Schulung

4.1.12 Anlaufbetreuung und Go-Live-Support

4.1.13 Monitoring und Review

4.2 Beteiligte Parteien

4.2.1 Allgemeines

4.2.2 Steering Committee

4.2.3 Projektleitung

4.2.4 Revision

4.2.5 Modul- bzw. Prozessspezialisten

4.2.6 Ansprechpartner aus den Fachbereichen

4.2.7 Benutzer- und Berechtigungsverwaltung

4.3 Wesentliche Aspekte im Detail

4.3.1 Die elf Grundregeln

4.3.2 Rahmenbedingungen

4.3.3 Detaillierungsgrad eines SAP-Berechtigungskonzeptes

4.3.4 Dokumentation der Berechtigungsrollen

4.3.5 Template-Ansatz

4.3.6 Namenskonventionen

4.4 Definition der Arbeitsbereiche

4.4.1 Definition des verwendeten SAP-Funktionsumfangs

4.4.2 Vorgehen bei der Definition der Rollen im Unternehmen

5 Vorgehensmodell zur Realisierung eines Berechtigungskonzeptes

5.1 Übersicht

5.2 Realisierung

5.2.1 Der Profilgenerator – Übersicht

5.2.2 Initialisierung des Profilgenerators

5.2.3 Von SAP zur Verfügung gestellte Rollen

5.2.4 Benutzermenüs

5.2.5 Generieren der Berechtigungen

5.2.6 Kopieren von Rollen und Vererbung

5.2.7 Sammelrollen

5.3 Test der implementierten Rollen

5.3.1 Voraussetzungen

5.3.2 Unit- Test

5.3.3 Rollenintegrations- Test

5.3.4 User-Acceptance- Test

5.3.5 Abschließender Review

5.3.6 Technische Durchführung der Rollentests

5.3.7 Manuelle Pflege von Berechtigungsdaten

5.4 Einrichten der Benutzerstammsätze

5.5 Produktivstart

5.6 Laufender Betrieb

5.6.1 Das Berechtigungskonzept im Produktivbetrieb

5.6.2 Benutzer- und Rollenadministration

5.6.3 Change-Request- Verfahren

5.7 Notfallkonzept

5.7.1 Hintergrund

5.7.2 Mehrstufiges Notfallkonzept

5.7.3 Abläufe und Prozesse für Beantragung und Protokollierung

5.8 Technische Details

5.8.1 Infosystem »Berechtigungen«

5.8.2 Reduzieren des Umfangs von Berechtigungsprüfungen

5.8.3 SAP_ALL und SAP_NEW

6 Prüfung von SAP R/3-Berechtigungskonzepten

6.1 Benutzerinformationssystem

6.1.1 Struktur

6.1.2 Fazit

6.2 Audit Information System

6.2.1 Historie

6.2.2 Ansatz

6.2.3 Struktur

6.2.4 System Audit

6.2.5 AIS- Teilbaum »Benutzerverwaltung«

6.2.6 Berechtigungen für das AIS

6.2.7 Rollenkonzept des AIS

6.2.8 Berechtigungen für die Prüfung von Berechtigungskonzepten

6.2.9 Datengewinnung und Auswerttechniken

6.2.10 Fazit

6.2.11 Weitere Informationen zum AIS

6.3 Direkter Tabellenzugriff

6.4 Ergänzende Prüfungsfelder

6.5 Weitere Prüfwerkzeuge

6.5.1 SAPAudit – CheckAud

6.5.2 ACE

6.5.3 APM

6.5.4 Weitere Tools

6.5.5 Fazit

7 SAP Enterprise Portal

7.1 Allgemeine Aspekte

7.2 Komponenten des Portals

7.2.1 Webserver

7.2.2 Applikationsserver

7.2.3 Laufzeit- und Entwicklungsumgebung

7.2.4 Verzeichnisdienst

7.2.5 Datenbank

7.2.6 Suchmaschinen

7.3 Zusammenspiel Portal und SAP R/3

7.3.1 Drag&Relate

7.4 Zugriffssteuerung und Verwaltung

7.4.1 Identifizierung und Authentisierung

7.4.2 Benutzerverwaltung

7.4.3 Rolle

7.4.4 Personalisierung

7.4.5 Synchronisierung

7.4.6 Single Sign-On

7.5 Weitere Sicherheitsmaßnahmen

7.5.1 Anforderungen

7.5.2 Risiken

7.5.3 Physische Sicherheit

7.5.4 Organisatorische Sicherheit

7.5.5 Einspielen von Aktualisierungen

7.5.6 Antivirus-Software

7.5.7 Sicherheitszone zum Internet

7.5.8 Intrusion Detection System

7.5.9 Verschlüsselung und Integritätssicherung

7.5.10 Sichere Konfiguration des Betriebssystems

7.5.11 Zusammenfassung

8 Zukünftige Entwicklungen und Wege

8.1 Vorbemerkungen

8.1.1 Zugriff auf Unternehmensverzeichnisse (LDAP)

8.1.2 Zentrale Benutzerverwaltung

8.1.3 Berechtigungs- und Rollenadministration (SAP Web AS)

8.1.4 Benutzerauthentifizierung

8.2 Weitere Themenpunkte

8.2.1 Auditing, Logging und Intrusion-Detection-Systeme

8.2.2 Weitere Transaktionen

8.2.3 Digitale Signaturen

8.3 Ausblick

Anhang

A Berechtigungsobjekte

B SAP-Hinweise

C Literaturverzeichnis

D Die Autoren

Index