Tabellen-Debugging in SAP R/3 – Eine unterschätzte ... - IT-Audit.de
Tabellen-Debugging in SAP R/3 – Eine unterschätzte ... - IT-Audit.de
Tabellen-Debugging in SAP R/3 – Eine unterschätzte ... - IT-Audit.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
- 1 -<br />
<strong>Tabellen</strong>-<strong>Debugg<strong>in</strong>g</strong> <strong>in</strong> <strong>SAP</strong> R/3 – E<strong>in</strong>e unterschätzte Gefahrenquelle<br />
<strong>in</strong> <strong>de</strong>r Adm<strong>in</strong>istration<br />
Von Dipl.-Betriebswirt Christoph Wil<strong>de</strong>nsee, Hannover 1<br />
E<strong>in</strong>führung<br />
<strong>Debugg<strong>in</strong>g</strong> ist e<strong>in</strong> Begriff aus <strong>de</strong>r Softwareentwicklung und beschreibt ursächlich das Entfernen von<br />
Fehlern (Bugs) aus <strong>de</strong>m Softwareco<strong>de</strong>. Dabei wird <strong>de</strong>r Programmco<strong>de</strong> sequenziell abgearbeitet und<br />
die Quelle <strong>de</strong>r Fehlererzeugung sukzessive e<strong>in</strong>gegrenzt, bis <strong>de</strong>r Fehler gefun<strong>de</strong>n und korrigiert ist.<br />
Das <strong>SAP</strong>-System arbeitet tabellenorientiert und weist somit je nach Installation, d.h. Releasestand und<br />
Systemaufteilung, weit mehr als 20.000 transparente und Pool-<strong>Tabellen</strong> auf, die zum e<strong>in</strong>en die Daten<br />
<strong>de</strong>s operativen Geschäftes und zum an<strong>de</strong>ren die Steuerungsdaten <strong>de</strong>s Systems be<strong>in</strong>halten. Das<br />
manuelle Än<strong>de</strong>rn von <strong>Tabellen</strong> ist vor <strong>de</strong>m H<strong>in</strong>tergrund vorhan<strong>de</strong>ner Ordnungsmäßigkeitskriterien<br />
(GoB, HGB, KonTraG, FAMA/ERS FA<strong>IT</strong>1, IDW PS330 etc.) nicht zulässig und somit grundsätzlich<br />
zu unterb<strong>in</strong><strong>de</strong>n. Manipulationen sowohl <strong>in</strong> <strong>de</strong>n operativen Geschäftsdaten als auch <strong>in</strong> <strong>de</strong>r Steuerung<br />
<strong>de</strong>s Gesamtsystems können zu Inkonsistenzen und somit zum Verlust <strong>de</strong>r System<strong>in</strong>tegrität führen.<br />
Vere<strong>in</strong>zelt kommt es vor, dass e<strong>in</strong> manueller E<strong>in</strong>griff notwendig ist, dieser Schritt darf jedoch nur <strong>in</strong><br />
Ausnahmefällen und durch fachkundiges Personal <strong>in</strong> üblicherweise unkritischen, d.h. nicht rechnungslegungsrelevanten,<br />
<strong>Tabellen</strong> durchgeführt wer<strong>de</strong>n und muss sachgerecht dokumentiert wer<strong>de</strong>n. Somit<br />
ergibt sich e<strong>in</strong> s<strong>in</strong>nvoller Ansatz, <strong>de</strong>n Zugriff auf <strong>Tabellen</strong> <strong>in</strong>sbeson<strong>de</strong>re <strong>de</strong>s Moduls FI und <strong>de</strong>r Basis<br />
auch für <strong>SAP</strong>-Adm<strong>in</strong>istratoren zu unterb<strong>in</strong><strong>de</strong>n, sie nur auf die für sie relevanten <strong>Tabellen</strong> zuzulassen,<br />
die kritischen Zugriffe aus <strong>de</strong>r Rolle <strong>de</strong>s Moduladm<strong>in</strong>istrators herauszulösen und – wenn möglich –<br />
ausschließlich e<strong>in</strong>em Ausnahmeuser (z.B. NOTFALL o<strong>de</strong>r e<strong>in</strong>em spezifischen FI-Modulbetreuer) zu<br />
überlassen.<br />
Es ist davon auszugehen, dass das <strong>SAP</strong>-System vor unberechtigten Zugriffen durch e<strong>in</strong> entsprechen<strong>de</strong>s<br />
Berechtigungskonzept ausreichend geschützt wird und Manipulationen nicht vorkommen können.<br />
Lei<strong>de</strong>r muss festgestellt wer<strong>de</strong>n, dass <strong>de</strong>r Grad <strong>de</strong>r Manipulierbarkeit sehr hoch ist.<br />
Der vorliegen<strong>de</strong> Artikel soll zum e<strong>in</strong>en die Möglichkeit <strong>de</strong>s <strong>Tabellen</strong>-<strong>Debugg<strong>in</strong>g</strong>s im <strong>SAP</strong> aufzeigen<br />
und zum an<strong>de</strong>ren die H<strong>in</strong>tergrün<strong>de</strong> darlegen, die dazu führen, dass solche Aktionen durchführbar s<strong>in</strong>d.<br />
Voraussetzung<br />
In <strong>SAP</strong> R/3 s<strong>in</strong>d verschie<strong>de</strong>ne Transaktionen vorhan<strong>de</strong>n, die <strong>de</strong>n Zugriff auf <strong>Tabellen</strong> ermöglichen.<br />
E<strong>in</strong>ige hiervon lassen nur das Anzeigen zu, während an<strong>de</strong>re auch das Än<strong>de</strong>rn und Anlegen erlauben.<br />
Transaktion Beschreibung<br />
SE11 R/3 Data-Dictionary – Komplettzugriff auf <strong>Tabellen</strong>, Views, Domänen etc.<br />
SE12 R/3 Data-Dictionary – Anzeigezugriff auf <strong>Tabellen</strong>, Views, Domänen etc.<br />
SE16* Data Browser – Anzeigen von <strong>Tabellen</strong> / Allgeme<strong>in</strong>e <strong>Tabellen</strong>anzeige<br />
SE17 Allgeme<strong>in</strong>e <strong>Tabellen</strong>anzeige<br />
SE38 ABAP Editor – Entwicklungsumgebung mit Verzweigung <strong>in</strong> Objekt-Ansicht<br />
SE80 Objekt-Navigator – Zugriff auf div. Objekte wie Programme, Strukturen etc.<br />
SM30 <strong>Tabellen</strong> und Sichten – Anzeige, Pflege etc.<br />
SM31 <strong>Tabellen</strong> und Sichten – Anzeige, Pflege etc.<br />
Tab. 1: Beispiel-Transaktionen zum <strong>Tabellen</strong>zugriff<br />
Das Anzeigen von <strong>Tabellen</strong> wird generell als nicht kritisch angesehen. So wird <strong>de</strong>n Adm<strong>in</strong>istratoren<br />
auch meist die Anzeigeberechtigung auf alle <strong>Tabellen</strong> (oft mit Ausnahme von HR) zugestan<strong>de</strong>n.<br />
Zusätzlich erhalten sie Pflegerechte, jedoch nur auf <strong>Tabellen</strong> <strong>de</strong>r von ihnen betreuten Module. So soll<br />
<strong>de</strong>r Manipulationsgrad nach Relevanz bzw. Zugehörigkeit <strong>de</strong>zidiert steuerbar se<strong>in</strong>.<br />
1 C. Wil<strong>de</strong>nsee ist bei <strong>de</strong>r Stadtwerke Hannover AG als IV-Revisor tätig.
- 2 -<br />
Beispiele<strong>in</strong>grenzung Classic-System ohne HR: Adm<strong>in</strong>istrator für alle Module - außer Basis und FI<br />
Anzeigeberechtigung auf alle <strong>Tabellen</strong>:<br />
Berechtigungsobjekt : S_TABU_DIS<br />
Aktivität : Anzeigen 03<br />
Berechtigungsgruppe : alle *<br />
zusätzlich:<br />
Än<strong>de</strong>rungsberechtigung auf ausgesuchte <strong>Tabellen</strong>:<br />
Berechtigungsobjekt : S_TABU_DIS<br />
Aktivität : alle *<br />
Berechtigungsgruppe : alle, außer Basis und FI A*, C*-E*, G*-R*, T*-Z*<br />
somit : ke<strong>in</strong> B*, F*, S*<br />
zusätzlich:<br />
Än<strong>de</strong>rung mandantenunabhängiger Tabelle:<br />
Berechtigungsobjekt : S_TABU_CLI<br />
mand.unabh. Pflege : ke<strong>in</strong> Zugriff ‘ ‘<br />
zusätzlich:<br />
ABAP-Workbench:<br />
Berechtigungsobjekt : S_DEVELOP<br />
Aktivität : alle (Anz., Änd., Aktiv....) *<br />
Entwicklungsklasse : alle *<br />
Objektname : alle *<br />
Objekttyp : alle, außer Programme A*-O*, Q*-Z*<br />
Ber.gruppe ABAP-Prog: alle *<br />
So ist gewährleistet, dass ke<strong>in</strong>e Entwicklung im Produktionssystem erfolgen kann, jedoch alle<br />
notwendigen Anpassungen möglich s<strong>in</strong>d, die im operativen Geschäft e<strong>in</strong>es Moduladm<strong>in</strong>istrators auftreten.<br />
Er hat e<strong>in</strong>e Anzeigeberechtigung auf alle <strong>Tabellen</strong>, kann jedoch nur die <strong>Tabellen</strong> direkt än<strong>de</strong>rn,<br />
die se<strong>in</strong>em Aufgabenspektrum entsprechen. Der Ausschluss <strong>de</strong>s Moduls FI und <strong>de</strong>r Basis bei<br />
zusätzlichem FI- und Basis-Transaktionsentzug be<strong>de</strong>utet e<strong>in</strong>e Erhöhung <strong>de</strong>r Sicherheit.<br />
Es ist jedoch e<strong>in</strong> Trugschluss anzunehmen, <strong>de</strong>r Adm<strong>in</strong>istrator darf mit dieser E<strong>in</strong>grenzung nicht auf<br />
alle <strong>Tabellen</strong> im <strong>SAP</strong>-System än<strong>de</strong>rnd zugreifen !<br />
Vorgehen<br />
Über <strong>de</strong>n Debug-Modus <strong>de</strong>s Systems ist er berechtigt, Inhalte <strong>in</strong> allen <strong>Tabellen</strong> zu än<strong>de</strong>rn, selbst wenn<br />
er über die Transaktion SE16 (<strong>Tabellen</strong> anzeigen) <strong>de</strong>n Zugriff realisiert – auch <strong>in</strong> <strong>Tabellen</strong>, die nicht <strong>in</strong><br />
se<strong>in</strong>er Berechtigungse<strong>in</strong>grenzung liegen.<br />
Hierzu muss er z.B. wie folgt vorgehen:<br />
1. Aufruf <strong>de</strong>r Transaktion SE16 – Data Browser - E<strong>in</strong>stieg<br />
2. Angabe <strong>de</strong>s <strong>Tabellen</strong>namens, z.B. TJ02 (Systemstatus); diese Tabelle gehört zur Berechtigungsgruppe<br />
BS = Steuerung <strong>SAP</strong>, auf die <strong>de</strong>r Adm<strong>in</strong>istrator lediglich lesen<strong>de</strong>n Zugriff hat<br />
3. Button <strong>Tabellen</strong><strong>in</strong>halt (F7) zur Auswahl und Anzeige <strong>de</strong>r <strong>Tabellen</strong>e<strong>in</strong>träge<br />
4. Das Ausführen (F8) stellt alle Inhalte <strong>in</strong> e<strong>in</strong>er Liste dar<br />
5. Auswahl e<strong>in</strong>es Datensatzes zur weiteren Ansicht per Doppelklick<br />
6. Der Datensatz wird angezeigt, ke<strong>in</strong>e Än<strong>de</strong>rungsmöglichkeit<br />
7. Im Kommandofeld wird das <strong>Debugg<strong>in</strong>g</strong> e<strong>in</strong>geschaltet ( /h + Return ) und danach noch das<br />
zusätzliche Betätigen <strong>de</strong>r Return-Taste<br />
8. Quellco<strong>de</strong> ersche<strong>in</strong>t
- 3 -<br />
9. Bei Feldnamen CODE (Return-Taste) und bei Feld<strong>in</strong>halt ED<strong>IT</strong> (Großschreibung) e<strong>in</strong>tragen; es<br />
ist zu beachten, dass die Return Taste nach <strong>de</strong>m E<strong>in</strong>geben von ED<strong>IT</strong> nicht betätigt wer<strong>de</strong>n<br />
darf, son<strong>de</strong>rn nur <strong>de</strong>r Stift (2.), dann muss diese E<strong>in</strong>gabe gespeichert wer<strong>de</strong>n über das Save-<br />
Symbol (3.)<br />
10. Das Programm muss nun weiter laufen (F8) [=> Replace-Funktion]<br />
11. Nun ersche<strong>in</strong>en alle Fel<strong>de</strong>r mit weißer H<strong>in</strong>tergrundfarbe – die Fel<strong>de</strong>r können geän<strong>de</strong>rt wer<strong>de</strong>n<br />
12. Nach <strong>de</strong>r Än<strong>de</strong>rung muss diese mit <strong>de</strong>m Save-Button gespeichert wer<strong>de</strong>n, es erfolgt die<br />
Meldung ‚Datensatz erfolgreich weggeschrieben‘<br />
Abb. 1: Debug-Modus über /h aus SE16 heraus - co<strong>de</strong>-Variable vor Umschalten <strong>in</strong> ED<strong>IT</strong><br />
Abb. 2: Debug-Modus über /h aus SE16 heraus – co<strong>de</strong>-Variable geän<strong>de</strong>rt und Speichervorgang<br />
Tabelle Bezeichnung<br />
DD02L Eigenschaften von <strong>Tabellen</strong>, Views etc.<br />
DD02T Texte zu <strong>de</strong>n R/3-<strong>Tabellen</strong><br />
TBRG <strong>Tabellen</strong>-Berechtigungsgruppen<br />
TDDAT Zuordnung von <strong>Tabellen</strong> zu <strong>de</strong>n Berechtigungsgruppen<br />
Tab. 2: <strong>Tabellen</strong> zum Überprüfen von <strong>Tabellen</strong>
Berechtigungen<br />
- 4 -<br />
Die meisten <strong>de</strong>r o.g. Transaktionen überprüfen nur die Berechtigungsobjekte S_TABU_DIS und<br />
S_TABU_CLI auf Vorhan<strong>de</strong>nse<strong>in</strong> notwendiger Berechtigungen im Berechtigungssatz. So erfolgt beim<br />
Aufruf <strong>de</strong>r Transaktion SE16 die Abfrage, ob <strong>de</strong>r Benutzer die Tabelle, die er ausgewählt hat,<br />
e<strong>in</strong>sehen darf - gesteuert über die <strong>Tabellen</strong>berechtigungsgruppe (S_TABU_DIS mit Aktivität = 03<br />
und Berechtigungsgruppe = xy [TBRG] und ggf. S_TABU_CLI mit CLIIDMAINT = ‘X‘, wenn<br />
Tabelle mandantenunabhängig). Da diese Berechtigung vorhan<strong>de</strong>n ist (03/*), ist hier noch ke<strong>in</strong><br />
Problem zu erkennen.<br />
Der Aufruf <strong>de</strong>s <strong>Debugg<strong>in</strong>g</strong>s ( /h ) <strong>in</strong> <strong>de</strong>r Kommandozeile bewirkt, dass <strong>de</strong>r Debugger aktiviert wird,<br />
d.h. das Programm hält an und räumt die Möglichkeit e<strong>in</strong>, je<strong>de</strong>n Programmschritt e<strong>in</strong>zeln anzustoßen<br />
und das Verhalten <strong>de</strong>s Programme z.B. unter Verwendung von Watch-/Breakpo<strong>in</strong>ts und anhand <strong>de</strong>r<br />
Beobachtung <strong>de</strong>r Programmvariablen zu analysieren. Die Än<strong>de</strong>rungs- / Speicher (Replace-) funktion<br />
im Debug-Mo<strong>de</strong> ist an die Än<strong>de</strong>rungsberechtigung (Aktivität 02) <strong>de</strong>s Berechtigungsobjektes<br />
S_DEVELOP gekoppelt. Wer hier e<strong>in</strong>e E<strong>in</strong>grenzung im Berechtigungssatz vorliegen hat, ist <strong>in</strong> <strong>de</strong>r<br />
Lage, Än<strong>de</strong>rungen zu speichern. E<strong>in</strong>e E<strong>in</strong>grenzung wie oben dargestellt ermöglicht <strong>de</strong>n Aufruf von<br />
<strong>Tabellen</strong> und das Speichern von Inhaltsän<strong>de</strong>rungen.<br />
Da beim <strong>Debugg<strong>in</strong>g</strong> ke<strong>in</strong>e erneute Überprüfung <strong>de</strong>s <strong>Tabellen</strong>zugriffs erfolgt, ob <strong>de</strong>r Nutzer auch<br />
hierauf än<strong>de</strong>rn darf, ist auch das Än<strong>de</strong>rn von <strong>Tabellen</strong> aus nicht autorisierten Berechtigungsgruppen<br />
möglich. E<strong>in</strong>e Absicherung als kritisch erkannter <strong>Tabellen</strong>(berechtigungsgruppen) o<strong>de</strong>r sogar<br />
<strong>de</strong>s gesamten Moduls FI und <strong>de</strong>r Basis ist somit ausgeschlossen !<br />
Protokollierung<br />
Aus Sicht <strong>de</strong>r Revision ist die Protokollierung <strong>in</strong> <strong>SAP</strong> e<strong>in</strong> wichtiger Bestandteil, um H<strong>in</strong>weise für e<strong>in</strong>e<br />
nicht ordnungsgemäße Nutzung <strong>de</strong>r Funktionalität zu erhalten. Das SysLog unter SM19 – Security<br />
<strong>Audit</strong>: <strong>Audit</strong>Profil verwalten – und SM21 – <strong>Audit</strong>Log Auswertung – bieten hierfür e<strong>in</strong>e Möglichkeit,<br />
sofern die Protokolldaten zeitlich s<strong>in</strong>nvoll vorgehalten wer<strong>de</strong>n. Die E<strong>in</strong>grenzung <strong>de</strong>r Datenmenge über<br />
<strong>de</strong>n Expertenmodus und die Nutzung <strong>de</strong>r Meldungskennungen bieten e<strong>in</strong>e s<strong>in</strong>nvolle Selektion.<br />
Relevante Meldungskennungen gem. <strong>Tabellen</strong> TSL1D/TSL1T:<br />
A1* Meldungen zur Än<strong>de</strong>rung, Initialisierung/Generierung, Laufzeitfehler, Replace<br />
A14 <strong>in</strong> Programm ..... Zeile .... Ereignis.....<br />
A19 Feld<strong>in</strong>halt verän<strong>de</strong>rt ....<br />
Über die Transaktion SM21 und <strong>de</strong>r E<strong>in</strong>grenzung auf die Meldungskennungen A14 und A19 im<br />
Expertenmodus sowie e<strong>in</strong>er s<strong>in</strong>nvollen Datumse<strong>in</strong>grenzung – z.B. über e<strong>in</strong> halbes Jahr – und <strong>de</strong>m<br />
E<strong>in</strong>lesen aller entfernten SysLogs können alle Än<strong>de</strong>rungen, die über die Debug-Funktionalität<br />
(Replace) erfolgt s<strong>in</strong>d, e<strong>in</strong>gesehen wer<strong>de</strong>n.<br />
Abb. 3: SM21 – Protokollierung <strong>de</strong>r ED<strong>IT</strong>-Aktivität im SysLog
- 5 -<br />
In <strong>de</strong>r Detaillierung ist selten die genaue Feldän<strong>de</strong>rung feststellbar. Der Verweis auf Programme und<br />
Programmzeilen ermöglicht zwar die Position <strong>de</strong>r Verän<strong>de</strong>rung, e<strong>in</strong>e Historie dieser wird jedoch nicht<br />
mitgeführt. So ist nicht erkennbar, welchen Wert e<strong>in</strong> Feld vor <strong>de</strong>r Manipulation aufwies.<br />
Abb. 4: Detaillierung <strong>de</strong>s SysLog-E<strong>in</strong>trags<br />
Die Protokollierung dieser Vorgänge ist zwar grundsätzlich unzureichend, kann jedoch durch die<br />
Auswertbarkeit <strong>de</strong>r Ereignisse zum<strong>in</strong><strong>de</strong>st als H<strong>in</strong>weisgeber dienen. Sofern die Häufigkeit solcher<br />
Direktmanipulationen auffällig ist, muss darauf geachtet wer<strong>de</strong>n, dass im zuständigen Fachbereich<br />
e<strong>in</strong>e entsprechen<strong>de</strong> Dokumentation mit Vorher/Nachher-Hardcopy erstellt wird. Da Datenän<strong>de</strong>rungen<br />
<strong>in</strong> <strong>de</strong>r Regel nicht ohne Anweisung aus e<strong>in</strong>em Fachbereich kommen (z.B. F<strong>in</strong>anz- und Rechnungswesen),<br />
sollte dort die Dokumentation vorgehalten, regelmäßig durch die Revision e<strong>in</strong>gesehen und mit<br />
SM21-Auswertungen abgeglichen wer<strong>de</strong>n.<br />
Sensibilisierung<br />
< Im ZIR-Artikel wird die oben beschriebene Vorgehensweise <strong>de</strong>r Replace-Funktionsnutzung<br />
nicht dargestellt. Sie ist zu umfassend und zu technisch, jedoch m.E. für e<strong>in</strong>en prüfen<strong>de</strong>n<br />
Revisor unverzichtbar. ><br />
Entschei<strong>de</strong>nd für mich ist, dass e<strong>in</strong>e Führungskraft – nicht nur <strong>de</strong>r Revisionsleiter, son<strong>de</strong>rn auch z.B.<br />
<strong>de</strong>r Leiter <strong>de</strong>s F<strong>in</strong>anz- und Rechnungswesens als „Hüter“ per Gesetz zu schützen<strong>de</strong>r Informationen –<br />
sensibilisiert wer<strong>de</strong>n muss, dass ke<strong>in</strong> Expertenwissen benötigt wird, um <strong>in</strong> <strong>SAP</strong> R/3 manipulierend<br />
tätig zu se<strong>in</strong>. Entsprechend müssen die Berechtigungen massiv e<strong>in</strong>geschränkt wer<strong>de</strong>n, da ansonsten<br />
trotz <strong>de</strong>f<strong>in</strong>ierter Sicherungsmaßnahmen auf Berechtigungsobjektebene <strong>in</strong> <strong>de</strong>n Modulen ke<strong>in</strong>e<br />
tatsächliche Sicherheit gegeben ist.<br />
Ausschluss<br />
Das Gefahrenpotential ist also leicht erkennbar. Bei Vorhan<strong>de</strong>nse<strong>in</strong> dieser Berechtigungen kann nicht<br />
sichergestellt wer<strong>de</strong>n, dass die als kritisch erkannten <strong>Tabellen</strong> e<strong>in</strong>zelner Module und <strong>de</strong>r Basis abgesichert<br />
wer<strong>de</strong>n. Selbstverständlich muss gera<strong>de</strong> <strong>de</strong>n Adm<strong>in</strong>istratoren e<strong>in</strong> M<strong>in</strong><strong>de</strong>stmaß an Vertrauen<br />
entgegengebracht wer<strong>de</strong>n. Jedoch sollte die Zahl <strong>de</strong>rjenigen, die man als vertrauenswürdig e<strong>in</strong>stuft,<br />
nicht unnötig erhöht wer<strong>de</strong>n. Aus <strong>de</strong>r Erfahrung heraus lässt sich festhalten, dass es ausreicht, zwei
- 6 -<br />
o<strong>de</strong>r drei Adm<strong>in</strong>istratoren zuzügl. Notfalluser <strong>de</strong>n Komplettzugriff zu ermöglichen, während alle<br />
an<strong>de</strong>ren mit Teilfunktionsab<strong>de</strong>ckung zu <strong>de</strong>f<strong>in</strong>ieren s<strong>in</strong>d. Dies ist e<strong>in</strong>e ausreichen<strong>de</strong> Handhabung auch<br />
bei sehr großen <strong>SAP</strong>-Konstrukten. Der Aufbau e<strong>in</strong>er „Zweiklassengesellschaft“ <strong>in</strong> <strong>de</strong>r Adm<strong>in</strong>istration<br />
ist jedoch eher als kontraproduktiv zu sehen und verstärkt <strong>de</strong>n E<strong>in</strong>druck e<strong>in</strong>er Misstrauenskultur.<br />
E<strong>in</strong> Ausschluss <strong>de</strong>r Replace-Funktion ist nur möglich, wenn die Än<strong>de</strong>rungsberechtigung im<br />
Berechtigungsobjekt S_DEVELOP <strong>in</strong> <strong>de</strong>r Berechtigungs<strong>de</strong>f<strong>in</strong>ition <strong>de</strong>r Adm<strong>in</strong>istratoren entzogen wird.<br />
Hierdurch entfällt gänzlich die Än<strong>de</strong>rungsberechtigung – auch auf <strong>Tabellen</strong>, die geän<strong>de</strong>rt wer<strong>de</strong>n<br />
dürfen. Inwieweit sich e<strong>in</strong>e solche Maßnahme also im operativen Geschäft <strong>de</strong>r Adm<strong>in</strong>istratoren<br />
nie<strong>de</strong>rschlägt, hängt von <strong>de</strong>r Def<strong>in</strong>ition <strong>de</strong>r Fachbereichs- und Adm<strong>in</strong>istratorrollen <strong>in</strong> <strong>de</strong>n Systemen<br />
Produktion / Integration / Test-QS, <strong>de</strong>r Abgrenzung <strong>de</strong>r Aufgaben dieser bei<strong>de</strong>n Gruppen und <strong>de</strong>r<br />
Kommunikationsfähigkeit <strong>de</strong>r Mitarbeiter untere<strong>in</strong>an<strong>de</strong>r ab.<br />
Fazit<br />
Über <strong>de</strong>n Entzug <strong>de</strong>r Replace-Funktion im Produktionssystem sollte grundsätzlich nachgedacht<br />
wer<strong>de</strong>n. Das Gefahrenpotential, das mit <strong>de</strong>r Vergabe dieser Berechtigungen verbun<strong>de</strong>n ist, ist zu hoch,<br />
um damit nach <strong>de</strong>m Grundsatz <strong>de</strong>s ‚Laissez-faire‘ umzugehen. Das Erkennen <strong>de</strong>r Gefahrenquelle, das<br />
regelmäßige Analysieren durch die Adm<strong>in</strong>istration selbst und die Revision und das Def<strong>in</strong>ieren e<strong>in</strong>er<br />
klaren Richtl<strong>in</strong>ie für <strong>de</strong>n Fall <strong>de</strong>r Nutzung <strong>de</strong>s direkten <strong>Tabellen</strong>än<strong>de</strong>rns <strong>in</strong>cl. Verpflichtung <strong>de</strong>r<br />
Berechtigten und e<strong>in</strong>er angemessen-zentralen Dokumentation kann <strong>in</strong> diesem Bereich e<strong>in</strong> M<strong>in</strong><strong>de</strong>stmaß<br />
an Sicherheit erzeugen, reicht jedoch m.E. nicht aus. Der restriktive E<strong>in</strong>satz, d.h. die Beschränkung<br />
maximal auf zwei Basis-Adm<strong>in</strong>istratoren und <strong>de</strong>n Notfalluser, ist <strong>de</strong>r e<strong>in</strong>zig gangbare Weg, um<br />
adäquate Sicherheit zu erzeugen und auch <strong>in</strong> rechtlicher H<strong>in</strong>sicht für Klarheit zu sorgen.<br />
Literaturbeispiele<br />
Thomas Tie<strong>de</strong> Ordnungsmäßigkeit und Prüfung <strong>de</strong>s <strong>SAP</strong>-Systems, 1. Auflage,<br />
Hamburg, 2000<br />
Geesmann/Glauch/Hohnhorst <strong>SAP</strong> R/3 Datenschutz und Sicherheitsmanagement, 1. Auflage,<br />
Hamburg, 2000<br />
Striebeck/Glauch/Kumpf u.a. <strong>SAP</strong> R/3 Sicherheit und Prüfung, 2. Auflage, Hamburg, 2003<br />
Beyer/Fischer/Jäck/Probst u.a. <strong>SAP</strong> Berechtigungswesen, 1. Auflage, Bonn, 2003<br />
Internetseiten:<br />
http.//www.sap-press.<strong>de</strong><br />
http://www.osv-hamburg.<strong>de</strong><br />
http://www.wil<strong>de</strong>nsee.<strong>de</strong>/veroeff.htm