Danke für’s Geschenk – mit SAP_ALL bezahlen

Autor: Tobias Harmes | 28. November 2019

3

Geld für Geschenke kann jeder gebrauchen. Weil viele Unternehmen das Risiko von SAP_ALL ignorieren, können entsprechend berechtigte User sich bequem von der Firma einen Bonus aufs Konto überweisen lassen. Dass dafür nicht mal firmeninternes Know-how über Finanzen benötigt wird, zeigt folgender Artikel.

Vorweg: Für den Fall, dass SAP_ALL in Ihrem System nicht vorkommt, ist dieser Artikel vielleicht interessant.

Offene Rechnungen finden für Dummies

Dafür rufe ich die Transaktion S_ALR_87012085 auf, um die Zahlungshistorie der Lieferanten einzusehen.

Gegebenenfalls hier noch mal ein Filter setzen, um hohe Summen größer 5.000€ zu finden.

Das Ergebnis kann dann nach Summe und Zeitpunkt der geplanten Überweisung hin untersucht werden.

SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit

Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check!

Bankverbindung ändern und Tee trinken

Habe ich mich für einen “passenden” Lieferanten entschieden, fehlt nur noch ein Schritt: Die Kontodaten des Lieferanten mit meinen eigenen auszutauschen. Dazu die Transaktion FK02 öffnen (bei S/4HANA Transaktion BP) und nach dem Lieferanten suchen.

Dann die Accountdaten öffnen und diese mit den eigenen Kontodaten austauschen.

Ach ja, und optional, nur wenn das Unternehmen das 4-Augen-Prinzip im Customizing aktiviert hat, dann nicht die FK08/FK09 vergessen, um die Änderung auch freizugeben. Kann man in der Tabelle T055F sehen (oder ändern) oder unter SPRO -> Finanzwesen-> Debitoren- und Kreditorenbuchhaltung->Kreditorenkonten->Stammdaten->Anlegen der Kreditorenstammdaten vorbereiten->Sensible Felder für 4-Augen-Prinzip definieren (Kreditoren)).

FK08 / FK09 Kreditor Änderung bestätigen (4 Augen Prinzip)

Nach erledigter Arbeit heißt es bis zur Überweisung dann erstmal: Abwarten und Tee trinken!

Das Risiko SAP_ALL

An diesem Beispiel sieht man, wie einfach weitreichende Berechtigungen wie SAP_ALL finanziellen Schaden auslösen können. Das ist eben kein akademisches Problem. Da hilft nur Berechtigungen reduzieren und ein Security Monitoring etablieren.

SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit

Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check!

Weiterführende Informationen


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

3 Kommentare zu "Danke für’s Geschenk – mit SAP_ALL bezahlen"

Ok. Manager und Buchhalter haben wenig Ahnung von SAP und noch weniger von security!
Es gibt aber noch Kontrollen bei der Freigabe in der Bankensoftware beim Zahllauf – außerhalb von SAP!
Außerdem werden natürlich alle diese bösen Dinge in SAP protokolliert. Der böse user kann zwar vieles davon löschen oder über abap andere user anlegen und Spuren verwischen, aber einen Fehler wird er bestimmt machen, der auf den ursprünglichen Benutzer hinweist…

Hallo Andrew,
vielleicht macht er tatsächlich ein Fehler, vielleicht reicht aber auch ein Raubzug und ist dann weg. Ich kenne genügend Fälle wo es erst herausgekommen ist, als es zu spät war. Wenn man in den Forensik-Modus gehen muss, dann ist das Kind ja auch schon in den Brunnen gefallen. Und leider kann ich diese Schritte oft auch über namenlose Systembenutzer mit viel zu vielen Berechtigungen machen. Und spätestens wenn ich dann über mehrere Systeme dieses Versteckspiel aufdecken muss, sinkt automatisch die Aufklärungsrate. Deshalb gibt keine nachhaltige Alternative zur Einschränkung von SAP_ALL.
Viele Grüße,
Tobias Harmes

Danke an Frau Hildebrand für den Hinweis auf das 4-Augen-Prinzip, ist nun im Artikel ergänzt.

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support