Datenschutz Auskunft mit SAP Read Access Logging (RAL)
Autor: Tobias Harmes | 19. Juli 2018
Seit 2013 unterstützen Netweaver-Systemen ab Version 7.4 das SAP Read Access Logging. Hier geht es darum, dass explizit aufgezeichnet werden soll, wenn ein User eine bestimmte Information sich hat anzeigen lassen. In dem Beitrag geht es um die ersten Schritte zur Nutzung.
Mit der Neuordnung des Europäischen Datenschutzrechts (EU-DSGVO) sind auch die Auskunftsrechte hinsichtlich personenbezogener Daten gestärkt worden. Wenn ich eine Aussage darüber machen will, wer auf die Daten eines Mitarbeiters oder Kunden zugegriffen hat, dann funktioniert die Bestimmung über die aktuellen Berechtigungen nicht. Wer will schon alle Personalsachbearbeiter nennen, die eventuell auf den Mitarbeiter zugegriffen haben könnten?
Read Access Logging (RAL) kann Lese-Zugriff auf sensitive Daten protokollieren. Dafür müssten zuvor die relevanten sensitive Felder (z.B. die Bankverbindung in der PA20) in die Protokollierung aufgenommen werden. Entsprechende Lese-Protokolle können dann der Auskunft angehängt werden.
Systemvoraussetzungen SAP Read Access Logging
Wie immer steht die Wahrheit in einem Hinweis: 1969086 – Availability of Read Access Logging and prerequisites (kernel and SAP GUI version). Generell: ab Netweaver 7.4 geht es los.
Unterstützt verschiedene Zugriffswege, genannt Kanäle (Channels). Dynpro und Web Dynpro als Oberflächen und SAP Gateway, RFC und Webservices als Remote Zugriff werden unterstützt.
Read Access Logging aktivieren
Via der Transaktion RZ11 den Parameter sec/ral_enabled_for_rfc auf 1 setzen. Permanent geht das über die Transaktion RZ10. So wird auch der Kanal “Remote-fähige Funktionsbausteine” unterstützt.
Transaktion SRALMANAGER öffnet die Web Dynpro Konfigurations-Oberfläche.
Dort die Aktivierung für alle relevanten Mandanten vornehmen.
SAP Access Control SPM - Installation und Migration - RZ10.de Partner
Sie möchten gerne Umsteigen auf SAP GRC 12 Access Control Firefighter? Profitieren Sie von unsere langjährigen Projekterfahrung und Expertise.
Relevante Felder bestimmen und aufzeichnen
Im SRALMANAGER auf Aufzeichnungen gehen.
Neue Aufzeichnung für den Kanal Dynpro erstellen
In der SAP Gui nun in einer relevanten Transaktion (z.B. PA20, Bankverbindung) das relevante Datum, z.B. die in den die Kontonummer anwählen. Eine Kombination aus <STRG>-rechtklick in ein Feld öffnet das Kontextmenü mit dem Menüpunkt “Protokollierung von Lesezugriffen”. Wenn der Menüpunkt nicht auftaucht, dann noch mal kontrollieren ob die Aufzeichnung wirklich aktiviert ist für diesen Mandanten und noch mal neu in die Transaktion gehen.
Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.
In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen.
Read Access Logging konfigurieren
Wieder in SRALMANAGER auf Konfiguration gehen.
Hier werden alle Konfigurationen für die verschiedenen Kanäle angezeigt. Auf Anlegen gehen.
Nach der Aufzeichnung suchen und auf “Anlegen” gehen.
Protokollkontext anlegen, EMPLOYEE_ID
Eine neue Protokollgruppe anlegen, z.B. HCM. Dann das relevante Feld aus der Aufzeichnung per Drag&Drop in die Protokollgruppe ziehen. Nur bei Ausgabe soll protokolliert werden.
Log auswerten
Wenn die ersten Zugriffe erfolgt sind, kann über die Transaktion SRALMANAGER oder SRALMONITOR der Zugriff ausgewertet werden.
Die Selektion zeigt relevante Zugriffe an.
Weiterführende Infos und Download
Ich hoffe, dieser Artikel war hilfreich. Wie immer freue ich mich über Kommentare und Hinweise. Hier sind noch Infos und weiter unten der Link auf den Download dieses Artikels.
Transaktionen | Beschreibung |
SRALMANAGER | Administration and Monitor Tabs im Read Access Logging Manager |
SRALMONITOR | Nur Monitor tab im Read Access Logging Manager |
SRALCONFIG | Nur Administration tab im Read Access Logging Manager |
- SAP Wiki Read Access Logging
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=448474835 - SAP Help Read Access Logging
https://help.sap.com/viewer/280f016edb8049e998237fcbd80558e7/7.5.6/en-US/7e0b7b1d831b495b8ea0141038bcab55.html
4 Kommentare zu "Datenschutz Auskunft mit SAP Read Access Logging (RAL)"
Hallo,
vielen Dank für diesen tollen Bericht, gibt es eventuell noch weiter Information bezüglich Bedingungen?
Ich habe dieses Thema versucht bei uns im Unternehmen um zusetzen jedoch klappt es mit den Bedingungen leider nicht.
Gibt es eine Möglichkeit Downloads von Listen usw. auch mit zu protokollieren?
Gibt es vielleicht auch irgendwelche Infos um einen Report zu diesem Thema z.B wöchentlich raus zu laden?
Vielen Dank schon mal
lg Manuel
Hallo Manuel,
ich bin nicht sicher, was du mit Bedingungen meinst. Im RAL wird getrackt, was angezeigt wird, wenn das Feld entsprechend konfiguriert wurde. Die Weiterverwendung der angezeigten Daten ist gar nicht mehr so leicht zu monitoren und zu tracken. Die Protokollierung des Downloads von Listen ist eher ein Thema für das Security Audit Log.
Viele Grüße
Tobias
Hallo!
Können aus der Liste der “auslösenden Transaktionen” selektierte Transaktionen auch wieder gleöscht bzw entfernt werden?
Vielen Dank!
Ines
Hallo Ines,
ich verstehe die Frage so, dass du nicht die Lesezugriffsprotokollierung ändern, sondern den gesammelten Trace anpassen willst. Dafür kennen ich keinen Weg. Ich empfehle eine neue Aufzeichnung zu machen, wo dann nur die gewünschten Transaktionen auftauchen.
Viele Grüße
Tobias