SAP GRC

Compliance, Risk Management und Governance sind drei stark miteinander verbundene und sehr wichtige Unternehmensbereiche. Deren Maßnahmen und Zuständigkeiten überschneiden und ergänzen sich teilweise. Risiken managen und rechtliche Rahmenbedingungen einhalten, gehört zu den zentralen Aufgaben des Managements.

Unternehmen haben den größten Erfolg, wenn es ihnen gelingt, die drei Bereiche Compliance, Risk Management und Governance intelligent zu vernetzen. Mit GRC werden nicht nur Unternehmensrisiken gemindert, sondern ebenso Unternehmen hinsichtlich schneller, geschäftlicher, technologischer und regulatorischer Veränderungen gestärkt.

Mit der Integration und Automatisierung wichtiger GRC-Aktivitäten in vorhandene Prozesse im SAP Umfeld, kann der GRC-Ansatz deutlich vereinfacht werden. Durch die SAP Lösungen wird die Komplexität des gesamten GRC-Ansatzes verringert. Ebenso wird die Entscheidungsqualität verbessert, da mögliche Auswirkungen von Risiken auf die Unternehmensleistung visualisiert und prognostiziert werden können.

Durch eine Integration der GRC-Aktivitäten in die vorhandenen Geschäftsprozesse wird ein Mehr an Transparenz gewonnen und gleichzeitig das Unternehmen vor finanziellen Schäden bewahrt.

SAP bündelt die Software zur GRC in der GRC Suite, die folgende Applikationen umfasst:

  • SAP Access Control
  • SAP Access Approver Mobile App
  • SAP Global Trade Services
  • SAP Process Control
  • Mobile App SAP GRC Policy Survey
  • SAP Risk Management
  • SAP Environment, Health & Safety Management
  • SAP Sustainability Performance Management

 

Mithilfe der SAP GRC Suite werden unerlaubte Zugriffe verhindert, kritische Funktionen getrennt und gesetzliche Vorgaben automatisch geprüft.

Informieren Sie sich auf unserer Website über die Funktionsweise von dem SAP GRC. Nutzen Sie unseren Blog, in dem wir regelmäßig hilfreiche Howtos und neue Entwicklungen rund um das Thema SAP GRC veröffentlichen. Für weiterführende Informationen lesen Sie auch unser E-Book SAP GRC oder verfolgen Sie unser Webinar zum Thema SAP Systeme absichern.

Sie haben eine individuelle Frage allgemein zu SAP GRC? Gerne können Sie uns direkt kontaktieren, per Mail an harmes@rz10.de oder nutzen Sie einfach unsere unverbindliche Telefonberatung. Fachbereichsleiter Tobias Harmes nimmt sich gerne 30 Minuten Zeit, um mit Ihnen über Ihr Anliegen zu sprechen und Ihnen erste Lösungsmöglichkeiten und nächste Schritte aufzuzeigen.

Meistgelesene Beiträge zu SAP GRC:

In dieser Folge bin ich auf dem DSAG Jahreskongress 2018 und spreche mit Xiting Geschäftsführer und Spezialist für SAP-Security-Prozesse Hendrik Heyn. Es ging um die Frage, wie man eigentlich die verschiedensten Prüfanforderungen systematisch und nachhaltig unter einen Hut bringen kann.Sie wünschen sich den Aufbau eines internen Kontrollsystems für Ihr SAP System? Wir unterstützen Sie hierbei gerne, weitere Informationen finden Sie hier.Viel Spaß euch allen mit der Podcast-Folge! Vielen lieben Dank für all euren Support! … als PodcastFür unterwegs – den Podcast abonnieren: https://rz10.de/podcast … auf YouTubeYOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms——————————-Noch Fragen? Online Beratung mit mir buchen:https://rz10.de/online-beratung-tobias-harmes/——————————- Links und Downloads Vortrag auf dem DSAG-Jahreskongress Der Vortragstitel lautet: “V186: Implementierung eines internen Kontrollsystems (IKS) zur Überprüfung der SAP-IT-Sicherheit”. Die Folien gibt es im Download-Bereich der DSAG: https://www.dsag.de/veranstaltungen/2018-10/dsag-jahreskongress-2018Use-Case Konzeptgenerierung und IKS mit dem Xiting Security Architect(PDF-Download, 6 Folien, ca. 10 Minute Lesezeit)Xiting Service SAP Sicherheitsüberwachung / IKS https://www.xiting.ch/services/xams-services/sap-sicherheitsuberwachung-iks/Software XAMS Security Architect https://www.xiting.ch/produkte/security-architect/——————————- Kapitelmarken 00:48 Was ist eigentlich ein IKS? Woran merke ich, dass ich das brauche?06:23 Was ist der Unterschied zwischen einem internen Kontrollsystem und einem Security Konzept?09:45 Was war die größte Herausforderung in dem Projekt?10:56 Was ist würdest du jemanden mitgeben, der ein IKS aufbauen will?12:56 Wie funktioniert nun das Monitoring in dem IKS?16:30 Welche Rolle hat die XAMS und der Security Architect im Projekt gespielt?18:58 Wie viel Beratung brauche ich noch, wenn ich das Tool verwende?——————————- Auf dem Laufenden bleiben: PODCAST: https://rz10.de/podcastYOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_msFACEBOOK: https://www.facebook.com/rz10.de/TWITTER: https://twitter.com/rz10_deWEB: https://rz10.deXING: https://www.xing.com/profile/Tobias_Harmes/LINKEDIN: https://www.linkedin.com/in/tobias-harmesRSS: https://rz10.de/feed/
Blogartikel zu SAP GRC:
In dieser Folge bin ich auf dem DSAG Jahreskongress 2018 und spreche mit Xiting Geschäftsführer und Spezialist für SAP-Security-Prozesse Hendrik Heyn. Es ging um die Frage, wie man eigentlich die verschiedensten Prüfanforderungen systematisch und nachhaltig unter einen Hut bringen kann.Sie wünschen sich den Aufbau eines internen Kontrollsystems für Ihr SAP System? Wir unterstützen Sie hierbei gerne, weitere Informationen finden Sie hier.Viel Spaß euch allen mit der Podcast-Folge! Vielen lieben Dank für all euren Support! … als PodcastFür unterwegs – den Podcast abonnieren: https://rz10.de/podcast … auf YouTubeYOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms——————————-Noch Fragen? Online Beratung mit mir buchen:https://rz10.de/online-beratung-tobias-harmes/——————————- Links und Downloads Vortrag auf dem DSAG-Jahreskongress Der Vortragstitel lautet: “V186: Implementierung eines internen Kontrollsystems (IKS) zur Überprüfung der SAP-IT-Sicherheit”. Die Folien gibt es im Download-Bereich der DSAG: https://www.dsag.de/veranstaltungen/2018-10/dsag-jahreskongress-2018Use-Case Konzeptgenerierung und IKS mit dem Xiting Security Architect(PDF-Download, 6 Folien, ca. 10 Minute Lesezeit)Xiting Service SAP Sicherheitsüberwachung / IKS https://www.xiting.ch/services/xams-services/sap-sicherheitsuberwachung-iks/Software XAMS Security Architect https://www.xiting.ch/produkte/security-architect/——————————- Kapitelmarken 00:48 Was ist eigentlich ein IKS? Woran merke ich, dass ich das brauche?06:23 Was ist der Unterschied zwischen einem internen Kontrollsystem und einem Security Konzept?09:45 Was war die größte Herausforderung in dem Projekt?10:56 Was ist würdest du jemanden mitgeben, der ein IKS aufbauen will?12:56 Wie funktioniert nun das Monitoring in dem IKS?16:30 Welche Rolle hat die XAMS und der Security Architect im Projekt gespielt?18:58 Wie viel Beratung brauche ich noch, wenn ich das Tool verwende?——————————- Auf dem Laufenden bleiben: PODCAST: https://rz10.de/podcastYOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_msFACEBOOK: https://www.facebook.com/rz10.de/TWITTER: https://twitter.com/rz10_deWEB: https://rz10.deXING: https://www.xing.com/profile/Tobias_Harmes/LINKEDIN: https://www.linkedin.com/in/tobias-harmesRSS: https://rz10.de/feed/
Seit 2013 unterstützen Netweaver-Systemen ab Version 7.4 das SAP Read Access Logging. Hier geht es darum, dass explizit aufgezeichnet werden soll, wenn ein User eine bestimmte Information sich hat anzeigen lassen. In dem Beitrag geht es um die ersten Schritte zur Nutzung.Mit der Neuordnung des Europäischen Datenschutzrechts (EU-DSGVO) sind auch die Auskunftsrechte hinsichtlich personenbezogener Daten gestärkt worden. Wenn ich eine Aussage darüber machen will, wer auf die Daten eines Mitarbeiters oder Kunden zugegriffen hat, dann funktioniert die Bestimmung über die aktuellen Berechtigungen nicht. Wer will schon alle Personalsachbearbeiter nennen, die eventuell auf den Mitarbeiter zugegriffen haben könnten?Read Access Logging (RAL) kann Lese-Zugriff auf sensitive Daten protokollieren. Dafür müssten zuvor die relevanten sensitive Felder (z.B. die Bankverbindung in der PA20) in die Protokollierung aufgenommen werden. Entsprechende Lese-Protokolle können dann der Auskunft angehängt werden.InhaltSystemvoraussetzungen SAP Read Access LoggingRead Access Logging aktivierenRelevante Felder bestimmen und aufzeichnenRead Access Logging konfigurierenLog auswertenWeiterführende Infos und DownloadSystemvoraussetzungen SAP Read Access LoggingWie immer steht die Wahrheit in einem Hinweis: 1969086 – Availability of Read Access Logging and prerequisites (kernel and SAP GUI version). Generell: ab Netweaver 7.4 geht es los.Unterstützt verschiedene Zugriffswege, genannt Kanäle (Channels). Dynpro und Web Dynpro als Oberflächen und SAP Gateway, RFC und Webservices als Remote Zugriff werden unterstützt.Read Access Logging aktivierenVia der Transaktion RZ11 den Parameter sec/ral_enabled_for_rfc auf 1 setzen. Permanent geht das über die Transaktion RZ10.Transaktion SRALMANAGER öffnet die Web Dynpro Konfigurations-Oberfläche.Dort die Aktivierung für alle relevanten Mandanten vornehmen.Relevante Felder bestimmen und aufzeichnen Im SRALMANAGER auf Aufzeichnungen gehen.Neue Aufzeichnung für den Kanal Dynpro erstellenIn der SAP Gui nun in einer relevanten Transaktion (z.B. PA20, Bankverbindung) das relevante Datum, z.B. die in den die Kontonummer anwählen. Eine Kombination aus <STRG>-rechtklick in ein Feld öffnet das Kontextmenü mit dem Menüpunkt “Protokollierung von Lesezugriffen”. Wenn der Menüpunkt nicht auftaucht, dann noch mal kontrollieren ob die Aufzeichnung wirklich aktiviert ist für diesen Mandanten und noch mal neu in die Transaktion gehen. Read Access Logging konfigurieren Wieder in SRALMANAGER auf Konfiguration gehen.Hier werden alle Konfigurationen für die verschiedenen Kanäle angezeigt. Auf Anlegen gehen.Nach der Aufzeichnung suchen und auf “Anlegen” gehen.Protokollkontext anlegen, EMPLOYEE_IDEine neue Protokollgruppe anlegen, z.B. HCM. Dann das relevante Feld aus der Aufzeichnung per Drag&Drop in die Protokollgruppe ziehen. Nur bei Ausgabe soll protokolliert werden.Log auswerten Wenn die ersten Zugriffe erfolgt sind, kann über die Transaktion SRALMANAGER oder SRALMONITOR der Zugriff ausgewertet werden.Die Selektion zeigt relevante Zugriffe an.Weiterführende Infos und DownloadIch hoffe, dieser Artikel war hilfreich. Wie immer freue ich mich über Kommentare und Hinweise. Hier sind noch Infos und weiter unten der Link auf den Download dieses Artikels. TransaktionenBeschreibungSRALMANAGERAdministration and Monitor Tabs im Read Access Logging ManagerSRALMONITORNur Monitor tab im Read Access Logging ManagerSRALCONFIGNur Administration tab im Read Access Logging ManagerSAP Wiki Read Access Logging https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=448474835SAP Help Read Access Logging https://help.sap.com/viewer/280f016edb8049e998237fcbd80558e7/7.5.6/en-US/7e0b7b1d831b495b8ea0141038bcab55.html
Über das Berechtigungsobjekt S_DEVELOP kann man Debugging-Berechtigung im SAP erteilen. Diese Berechtigung erlaubt es über die Eingabe von “/h” im OK-Feld der Gui den Debug-Modus zu aktivieren.Während diese Funktion auf dem Entwicklungssystem ohne Frage zu den notwendigen Entwicklungsfunktionalitäten dazugehört ist es auf einem Produktions- oder Konsolidierungssystem höchst kritisch. Denn es erlaubt dem Anwender den normalen Programmablauf zu beeinflussen und Werte während des Programmlaufs zu ändern.So kann ein Anwender ein Programm starten und z.B. einen AUTHORITY-CHECK überspringen. Damit erlangt er Zugang zu Daten oder kann Änderungen vornehmen, die im normalen Programmfluss nicht vorgesehen sind.Ein prominentes Beispiel ist auch über den Debug-Modus das sapedit in der SE16 bzw. SE16N wieder zu aktivieren – dann kann man direkt in der Tabellenansicht Änderungen in der Datenbank durchgeführen. Diese Möglichkeit Felder zu ändern gefährdet den Grundsatz “Keine Änderung ohne Beleg”.Wie kann man nun S_DEVELOP einschränken? Zuerst muss man die Rollen identifizieren, die S_DEVELOP mit DEBUG Aktivität 02 enthalten. Dies kann man über die SUIM -> Rollen nach komplexen Selektionskriterien durchgeführt werden. Wenn man den Debug-Modus komplett deaktiveren will, muss man auch nach Aktivität 03 suchen.Im Rolleneditor in der PFCG kann man nun die entsprechende Rolle einschränken.Im Hinweis 65968 – ABAP-Debugging-Berechtigungen werden die möglichen Werten für S_DEVELOP dokumentiert:OBJTYPE ACTVTDEBUG 03 – AnzeigenDEBUG 02 – Ändern von Feldinhalten und ‘Zu Anweisung springen’DEBUG 01 – Kernel-Debugging (für Kunden nicht relevant, nur für  SAP-interne Zwecke)Sie benötigen Unterstützung bei der Umsetzung? Unser Autor Tobias Harmes ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security
Angebot anfordern
Preisliste herunterladen
Expert Session
Support