Danke für’s Geschenk – mit SAP_ALL bezahlen
Autor: Tobias Harmes | 28. November 2019
Geld für Geschenke kann jeder gebrauchen. Weil viele Unternehmen das Risiko von SAP_ALL ignorieren, können entsprechend berechtigte User sich bequem von der Firma einen Bonus aufs Konto überweisen lassen. Dass dafür nicht mal firmeninternes Know-how über Finanzen benötigt wird, zeigt folgender Artikel.
Vorweg: Für den Fall, dass SAP_ALL in Ihrem System nicht vorkommt, ist dieser Artikel vielleicht interessant.
Offene Rechnungen finden für Dummies
Dafür rufe ich die Transaktion S_ALR_87012085 auf, um die Zahlungshistorie der Lieferanten einzusehen.
Gegebenenfalls hier noch mal ein Filter setzen, um hohe Summen größer 5.000€ zu finden.
Das Ergebnis kann dann nach Summe und Zeitpunkt der geplanten Überweisung hin untersucht werden.
Minimieren Sie ihr Risiko - Weg mit SAP_ALL
Es ist viel zu riskant, SAP_ALL einfach zu ignorieren. Wenn Sie Hilfe dabei benötigen, Ihre Berechtigungen auf die richtige Weise zu verändern, melden Sie sich bei uns!
Bankverbindung ändern und Tee trinken
Habe ich mich für einen „passenden“ Lieferanten entschieden, fehlt nur noch ein Schritt: Die Kontodaten des Lieferanten mit meinen eigenen auszutauschen. Dazu die Transaktion FK02 öffnen (bei S/4HANA Transaktion BP) und nach dem Lieferanten suchen.
Dann die Accountdaten öffnen und diese mit den eigenen Kontodaten austauschen.
Ach ja, und optional, nur wenn das Unternehmen das 4-Augen-Prinzip im Customizing aktiviert hat, dann nicht die FK08/FK09 vergessen, um die Änderung auch freizugeben. Kann man in der Tabelle T055F sehen (oder ändern) oder unter SPRO -> Finanzwesen-> Debitoren- und Kreditorenbuchhaltung->Kreditorenkonten->Stammdaten->Anlegen der Kreditorenstammdaten vorbereiten->Sensible Felder für 4-Augen-Prinzip definieren (Kreditoren)).
Nach erledigter Arbeit heißt es bis zur Überweisung dann erstmal: Abwarten und Tee trinken!
Das Risiko SAP_ALL
An diesem Beispiel sieht man, wie einfach weitreichende Berechtigungen wie SAP_ALL finanziellen Schaden auslösen können. Das ist eben kein akademisches Problem. Da hilft nur Berechtigungen reduzieren und ein Security Monitoring etablieren.
Weiterführende Informationen
- SAP_ALL in 5 Minuten nur mit DEBUG/REPLACE: https://rz10.de/sap-berechtigungen/sap_all-nur-mit-debug-replace/
- Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL (allerdings sorgt das in diesem Fall nur dafür, dass man herausfinden kann, wer es war): https://rz10.de/sap-berechtigungen/z_sap_all-erstellung-eines-reduzierten-sap_all/
3 Kommentare zu "Danke für’s Geschenk – mit SAP_ALL bezahlen"
Ok. Manager und Buchhalter haben wenig Ahnung von SAP und noch weniger von security!
Es gibt aber noch Kontrollen bei der Freigabe in der Bankensoftware beim Zahllauf – außerhalb von SAP!
Außerdem werden natürlich alle diese bösen Dinge in SAP protokolliert. Der böse user kann zwar vieles davon löschen oder über abap andere user anlegen und Spuren verwischen, aber einen Fehler wird er bestimmt machen, der auf den ursprünglichen Benutzer hinweist…
Hallo Andrew,
vielleicht macht er tatsächlich ein Fehler, vielleicht reicht aber auch ein Raubzug und ist dann weg. Ich kenne genügend Fälle wo es erst herausgekommen ist, als es zu spät war. Wenn man in den Forensik-Modus gehen muss, dann ist das Kind ja auch schon in den Brunnen gefallen. Und leider kann ich diese Schritte oft auch über namenlose Systembenutzer mit viel zu vielen Berechtigungen machen. Und spätestens wenn ich dann über mehrere Systeme dieses Versteckspiel aufdecken muss, sinkt automatisch die Aufklärungsrate. Deshalb gibt keine nachhaltige Alternative zur Einschränkung von SAP_ALL.
Viele Grüße,
Tobias Harmes
Danke an Frau Hildebrand für den Hinweis auf das 4-Augen-Prinzip, ist nun im Artikel ergänzt.