Mit Beispiel-Download: SAP Access Control über externe Regelwerke inhaltlich aktuell halten
Autor: Björn Schille | 5. April 2019
Die Qualität der Prüfung mit SAP Access Control steht und fällt mit der Qualität des Regelwerks. Viele Kunden wissen nicht, dass sie mit veralteten und unvollständigen Standard-Regelwerken im SAP Access Control prüfen. Der Beitrag zeigt es an einem Beispiel, wie man das Regelwerk ergänzen kann.
So ein eingerichtetes SAP Access Control ist eine feine Sache. Auf Knopfdruck kann ich mir eine Auswertung mit Benutzern erzeugen, deren Berechtigungen gemäß Regelwerk als kritisch einzuschätzen sind. Die Qualität des Ergebnisses steht und fällt daher eben auch mit der Qualität und Vollständigkeit des Regelwerkes.
SAP liefert mit der Software einen fertigen Regelkatalog aus. Dieser wird bei der Installation und Einrichtung i.d.R. aktiviert. Optimalerweise (und spätestens nach den ersten Prüfläufen in der Produktion) wird dieses Regelwerk auf die jeweilige Kundenlandschaft angepasst.
Neben der initialen Anpassung gibt es jedoch viele weitere Auslöser, die eine Regelwerkanpassung erforderlich machen: Neue gesetzliche Anforderungen wie zum Beispiel die Datenschutzgrundverordnung (DSGVO), neue SAP Produkte wie S/4HANA, Updates/Upgrade wie EHP8 oder SAP Modulspezifika zum Beispiel aus der Einführung von HCM oder neuen Industrial Solutions.
Das bedeutet, dass mit der Zeit Anforderungen an die SAP Security und tatsächlicher Prüfbereich immer weiter auseinanderdriften – und es dann doch wieder erst knallt, wenn ein Prüfer mit einem anderen, viel aktuelleren Prüfwerkzeug kommt. Und das ist dann oft eine eiskalte Dusche für alle Beteiligten. Genau das haben wir viele Jahre lang erlebt als Auditoren, die unser hauseigenes Werkzeug CheckAud for SAP Systems einsetzen.
Wir investieren bei IBS Schreiber sehr viel Zeit und Energie in unser Regelwerk – das macht die Software CheckAud for SAP Systems als Prüfinstrument so erfolgreich. Und eben wegen dem Problem der stetigen Änderungsanforderungen der SAP Access Control Regelwerke stellen wir unsere aktuellen Prüfkataloge auch für Kunden von SAP Access Control zur Verfügung. Das Ganze nennt sich ECS – Easy Content Solution for SAP Access Control. Der Prüfkatalog von uns kann über eine Konvertierung nach belieben auch für SAP Access Control generiert werden.
Natürlich muss auch ein über den Easy Content Solution bereitgestelltes Regelwerk angepasst werden. Denn es gibt kundenspezifisches Customizing, das beachtet werden muss. Hier zeigt sich eine weitere Stärke, die Nutzung von Platzhaltern und die dynamische Ermittlung von korrekten Prüfwerten. Gerade im S/4HANA Umfeld funktionieren klassische Prüfregeln nicht, weil technisch gesehen die genutzten Fiori-Applikationen immer wieder neue eindeutige Identifikationsnummern bekommen. Ein starres Regelwerk ohne Anpassung würde hier voll ins Leere laufen.
Beispiel Regelwerk für SAP Access Control zum Download
Wie einfach es ist, ein SAP Access Control Regelwerk von außen zu erweitern zeigt folgende Anleitung. Wir haben dafür speziell für die Leser von rz10.de folgende exemplarische Abfragen als kostenlosen Download bereitgestellt:
Segment Gesetzeskritische Berechtigungen
- Änderungsbelege löschen
- Löschen von Tabellenänderungsprotokollen
- ABAP-Programme debuggen mit Replace
Segment Funktionstrennungen
- Hauptbuchstammdaten pflegen UND Buchungen im Hauptbuch vornehmen
- Zahlungsrelevante Daten zum Lieferanten pflegen UND Buchung Lieferantenrechnung
- Fiktiven Lieferanten pflegen UND Bestellung pflegen UND Wareneingang anlegen, ändern, buchen
Dieser Download beinhaltet allgemeingültige Abfragen für ein ERP 6.0 basierendes System, die kundenspezifisches Customizing nicht berücksichtigen. Kundenspezifische Anpassungen werden bei der Vollversion durchgeführt.
Anleitung Einbindung Beispiel Regelwerk in SAP Access Control
Folgende Schritte müssen durchgeführt werden, um das Regelwerk einzubinden.
Schritt 1: Upload zu SAP Access Control / Transaktion GRAC_UPLOAD_RULES
- Entpacken Sie die Datei „ECS_for_RZ10.zip“ in ein beliebiges Verzeichnis
- In der Transaktion GRAC_UPLOAD_RULES wählen Sie die Dateien entsprechend aus:
- In den Optionen muss „Anhängen“ ausgewählt sein
- Klicken Sie auf um die Regeln hochzuladen
Schritt 2: Generierung der Regeln – Transaktion GRAC_GENERATE_RULES
- Geben Sie in der Transaktion GRAC_GENERATE_RULES den Namensraum EC* ein:
Schritt 3: Regeln in SAP Access Control aufrufen
- Die Regeln sind nun in SAP Access Control verfügbar:
Die Anleitung zeigt, dass neue Regelwerke innerhalb von wenigen Minuten in das eigene SAP GRC Access Control Regelwerk integriert werden können.