Danke für’s Geschenk – mit SAP_ALL bezahlen

Autor: Tobias Harmes | 28. November 2019

3 | 30 | #RedesignBerechtigungen, #SAP_ALL

Geld für Geschenke kann jeder gebrauchen. Weil viele Unternehmen das Risiko von SAP_ALL ignorieren, können entsprechend berechtigte User sich bequem von der Firma einen Bonus aufs Konto überweisen lassen. Dass dafür nicht mal firmeninternes Know-how über Finanzen benötigt wird, zeigt folgender Artikel.

Vorweg: Für den Fall, dass SAP_ALL in Ihrem System nicht vorkommt, ist dieser Artikel vielleicht interessant.

Offene Rechnungen finden für Dummies

Dafür rufe ich die Transaktion S_ALR_87012085 auf, um die Zahlungshistorie der Lieferanten einzusehen.

Gegebenenfalls hier noch mal ein Filter setzen, um hohe Summen größer 5.000€ zu finden.

Das Ergebnis kann dann nach Summe und Zeitpunkt der geplanten Überweisung hin untersucht werden.

Minimieren Sie ihr Risiko - Weg mit SAP_ALL

Es ist viel zu riskant, SAP_ALL einfach zu ignorieren. Wenn Sie Hilfe dabei benötigen, Ihre Berechtigungen auf die richtige Weise zu verändern, melden Sie sich bei uns!

Bankverbindung ändern und Tee trinken

Habe ich mich für einen “passenden” Lieferanten entschieden, fehlt nur noch ein Schritt: Die Kontodaten des Lieferanten mit meinen eigenen auszutauschen. Dazu die Transaktion FK02 öffnen (bei S/4HANA Transaktion BP) und nach dem Lieferanten suchen.

Dann die Accountdaten öffnen und diese mit den eigenen Kontodaten austauschen.

Ach ja, und optional, nur wenn das Unternehmen das 4-Augen-Prinzip im Customizing aktiviert hat, dann nicht die FK08/FK09 vergessen, um die Änderung auch freizugeben. Kann man in der Tabelle T055F sehen (oder ändern) oder unter SPRO -> Finanzwesen-> Debitoren- und Kreditorenbuchhaltung->Kreditorenkonten->Stammdaten->Anlegen der Kreditorenstammdaten vorbereiten->Sensible Felder für 4-Augen-Prinzip definieren (Kreditoren)).

FK08 / FK09 Kreditor Änderung bestätigen (4 Augen Prinzip)

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Nach erledigter Arbeit heißt es bis zur Überweisung dann erstmal: Abwarten und Tee trinken!

Das Risiko SAP_ALL

An diesem Beispiel sieht man, wie einfach weitreichende Berechtigungen wie SAP_ALL finanziellen Schaden auslösen können. Das ist eben kein akademisches Problem. Da hilft nur Berechtigungen reduzieren und ein Security Monitoring etablieren.

Weiterführende Informationen

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

3 Kommentare zu "Danke für’s Geschenk – mit SAP_ALL bezahlen"

Ok. Manager und Buchhalter haben wenig Ahnung von SAP und noch weniger von security!
Es gibt aber noch Kontrollen bei der Freigabe in der Bankensoftware beim Zahllauf – außerhalb von SAP!
Außerdem werden natürlich alle diese bösen Dinge in SAP protokolliert. Der böse user kann zwar vieles davon löschen oder über abap andere user anlegen und Spuren verwischen, aber einen Fehler wird er bestimmt machen, der auf den ursprünglichen Benutzer hinweist…

Hallo Andrew,
vielleicht macht er tatsächlich ein Fehler, vielleicht reicht aber auch ein Raubzug und ist dann weg. Ich kenne genügend Fälle wo es erst herausgekommen ist, als es zu spät war. Wenn man in den Forensik-Modus gehen muss, dann ist das Kind ja auch schon in den Brunnen gefallen. Und leider kann ich diese Schritte oft auch über namenlose Systembenutzer mit viel zu vielen Berechtigungen machen. Und spätestens wenn ich dann über mehrere Systeme dieses Versteckspiel aufdecken muss, sinkt automatisch die Aufklärungsrate. Deshalb gibt keine nachhaltige Alternative zur Einschränkung von SAP_ALL.
Viele Grüße,
Tobias Harmes

Danke an Frau Hildebrand für den Hinweis auf das 4-Augen-Prinzip, ist nun im Artikel ergänzt.

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice