Björn Schille
 - 5. April 2019

Mit Beispiel-Download: SAP Access Control über externe Regelwerke inhaltlich aktuell halten

Die Qualität der Prüfung mit SAP Access Control steht und fällt mit der Qualität des Regelwerks. Viele Kunden wissen nicht, dass sie mit veralteten und unvollständigen Standard-Regelwerken im SAP Access Control prüfen. Der Beitrag zeigt es an einem Beispiel, wie man das Regelwerk ergänzen kann.

So ein eingerichtetes SAP Access Control ist eine feine Sache. Auf Knopfdruck kann ich mir eine Auswertung mit Benutzern erzeugen, deren Berechtigungen gemäß Regelwerk als kritisch einzuschätzen sind. Die Qualität des Ergebnisses steht und fällt daher eben auch mit der Qualität und Vollständigkeit des Regelwerkes.

SAP liefert mit der Software einen fertigen Regelkatalog aus. Dieser wird bei der Installation und Einrichtung i.d.R. aktiviert. Optimalerweise (und spätestens nach den ersten Prüfläufen in der Produktion) wird dieses Regelwerk auf die jeweilige Kundenlandschaft angepasst.

Neben der initialen Anpassung gibt es jedoch viele weitere Auslöser, die eine Regelwerkanpassung erforderlich machen: Neue gesetzliche Anforderungen wie zum Beispiel die Datenschutzgrundverordnung (DSGVO), neue SAP Produkte wie S/4HANA, Updates/Upgrade wie EHP8 oder SAP Modulspezifika zum Beispiel aus der Einführung von HCM oder neuen Industrial Solutions.

Das bedeutet, dass mit der Zeit Anforderungen an die SAP Security und tatsächlicher Prüfbereich immer weiter auseinanderdriften – und es dann doch wieder erst knallt, wenn ein Prüfer mit einem anderen, viel aktuelleren Prüfwerkzeug kommt. Und das ist dann oft eine eiskalte Dusche für alle Beteiligten. Genau das haben wir viele Jahre lang erlebt als Auditoren, die unser hauseigenes Werkzeug CheckAud for SAP Systems einsetzen.

Wir investieren bei IBS Schreiber sehr viel Zeit und Energie in unser Regelwerk – das macht die Software CheckAud for SAP Systems als Prüfinstrument so erfolgreich. Und eben wegen dem Problem der stetigen Änderungsanforderungen der SAP Access Control Regelwerke stellen wir unsere aktuellen Prüfkataloge auch für Kunden von SAP Access Control zur Verfügung. Das Ganze nennt sich ECS – Easy Content Service for SAP Access Control. Der Prüfkatalog von uns kann über eine Konvertierung nach belieben auch für SAP Access Control generiert werden.

Natürlich muss auch ein über den Easy Content Service bereitgestelltes Regelwerk angepasst werden. Denn es gibt kundenspezifisches Customizing, das beachtet werden muss. Hier zeigt sich eine weitere Stärke, die Nutzung von Platzhaltern und die dynamische Ermittlung von korrekten Prüfwerten. Gerade im S/4HANA Umfeld funktionieren klassische Prüfregeln nicht, weil technisch gesehen die genutzten Fiori-Applikationen immer wieder neue eindeutige Identifikationsnummern bekommen. Ein starres Regelwerk ohne Anpassung würde hier voll ins Leere laufen.

Beispiel Regelwerk für SAP Access Control zum Download

Wie einfach es ist, ein SAP Access Control Regelwerk von außen zu erweitern zeigt folgende Anleitung. Wir haben dafür speziell für die Leser von rz10.de folgende exemplarische Abfragen als kostenlosen Download bereitgestellt:

Segment Gesetzeskritische Berechtigungen

  1. Änderungsbelege löschen
  2. Löschen von Tabellenänderungsprotokollen
  3. ABAP-Programme debuggen mit Replace

Segment Funktionstrennungen

  1. Hauptbuchstammdaten pflegen UND Buchungen im Hauptbuch vornehmen
  2. Zahlungsrelevante Daten zum Lieferanten pflegen UND Buchung Lieferantenrechnung
  3. Fiktiven Lieferanten pflegen UND Bestellung pflegen UND Wareneingang anlegen, ändern, buchen
Beispiel Regelwerk für SAP Access Control zum Download

6 Abfragen, die 3 gesetzeskritische Berechtigungen sowie 3 Funktionstrennungen prüfen, direkt für den Import in SAP Access Control

Dieser Download beinhaltet allgemeingültige Abfragen für ein ERP 6.0 basierendes System, die kundenspezifisches Customizing nicht berücksichtigen. Kundenspezifische Anpassungen werden bei der Vollversion durchgeführt.

Anleitung Einbindung Beispiel Regelwerk in SAP Access Control

Folgende Schritte müssen durchgeführt werden, um das Regelwerk einzubinden.

Schritt 1: Upload zu SAP Access Control / Transaktion GRAC_UPLOAD_RULES

  • Entpacken Sie die Datei „ECS_for_RZ10.zip“ in ein beliebiges Verzeichnis
  • In der Transaktion GRAC_UPLOAD_RULES wählen Sie die Dateien entsprechend aus:

  • In den Optionen muss „Anhängen“ ausgewählt sein
  • Klicken Sie auf   um die Regeln hochzuladen

Schritt 2: Generierung der Regeln – Transaktion GRAC_GENERATE_RULES

  • Geben Sie in der Transaktion GRAC_GENERATE_RULES den Namensraum EC* ein:

  • Klicken Sie auf   um die Regeln zu generieren
  • Sie erhalten die Meldung „Regeln erfolgreich generiert”

Schritt 3: Regeln in SAP Access Control aufrufen

  • Die Regeln sind nun in SAP Access Control verfügbar:

Die Anleitung zeigt, dass neue Regelwerke innerhalb von wenigen Minuten in das eigene SAP GRC Access Control Regelwerk integriert werden können.

Wenn die Aktualisierung des SAP Access Control Regelwerkes für Sie ein Thema ist, haben wir hier das richtige RZ10.de Partnerprodukt: ECS – Easy Content Service für SAP Access Control

Björn Schille

Björn Schille ist als Produktmanager der IBS Schreiber GmbH u.a. verantwortlich für die Entwicklung bedarfsgerechter Lösungen zu verschiedenen Themen in der IT- und SAP-Sicherheit. Als SAP-zertifizierter HCM-Berater verfügt Björn Schille über langjährige Prüfungs- und Projekterfahrung im Bereich SAP-Sicherheit und SAP Datenschutz, welche er in unsere Managed Security Services, den ECS for SAP Access Control sowie in verschiedene Revisionsseminare einfließen lässt.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:

RZ10.de Podcast für SAP Basis & Security



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support