1 Umgang mit dem SAP-System und Werkzeuge zur Prüfung

31

1.1 Transaktionen und SAP-Fiori-Apps

31

1.1.1 Transaktionen

32

1.1.2 SAP-Fiori-Apps

33

1.2 Reports

35

1.2.1 Das Konzept der Reports

35

1.2.2 Aufrufen von Reports

37

1.2.3 Exportieren der Reportergebnisse

39

1.2.4 Festlegung des Standardpfads zum Speichern

41

1.2.5 Speichern der Selektionsangaben (Varianten)

41

1.3 Anzeigen von Tabellen

43

1.3.1 Anzeigetransaktionen für Tabellen

43

1.3.2 Transaktion SE16

45

1.3.3 Transaktionen SE16N, S416N, S4H16N

48

1.3.4 Transaktionen SE16H, S416H, S4H16H

48

1.3.5 Transaktionen SE16S, S416S und S4H16S

51

1.3.6 Suchen von Tabellen

53

1.3.7 Exportieren von Tabellen

57

1.3.8 Speichern der Selektionsangaben (Varianten)

58

1.4 Das Benutzerinformationssystem

59

1.5 Listen als PDF-Datei speichern

62

1.6 Nutzung der Zugriffsstatistik für Prüfungen

63

1.6.1 Funktionsweise

63

1.6.2 Analyse von aufgerufenen Transaktionen und Reports

66

1.6.3 Analyse von RFC-Aufrufen

69

1.7 Tabelleninhalte mit dem QuickViewer auswerten

71

1.7.1 Erstellen eines QuickViews auf eine einzelne Tabelle

72

1.7.2 Erstellen eines QuickViews mit einem Tabellen-Join

76

1.7.3 Erstellen eines QuickViews mit einer logischen Datenbank

79

1.8 SQL-Trace

80

1.8.1 Aktivierung des SQL-Trace

81

1.8.2 Auswertung des Trace

82

1.9 Audit Information System

84

1.9.1 Die Auditstruktur

85

1.9.2 Durchführen eines Audits

87

1.9.3 Berechtigungen zur Nutzung des Audit Information Systems

89

1.10 SAP Access Control

90

1.10.1 Komponenten von SAP Access Control

90

1.10.2 Regelwerke

91

1.10.3 Auswertung der Regelwerke

96

1.10.4 SAP-Access-Control-Regelwerk für dieses Buch

102

1.11 SAP Enterprise Threat Detection

103

1.11.1 Angriffe auf SAP-Systeme - nur etwas für versierte Hacker?

104

1.11.2 Standardüberwachung von SAP-Systemen

105

1.11.3 Zentrale Sammlung von Protokollen in SAP Enterprise Threat Detection

107

1.11.4 Automatisierte Analyse von Protokollen in SAP Enterprise Threat Detection

108

1.11.5 Pseudonymisierung von Benutzernamen

111

1.11.6 Auswertung eingespielter Security Notes

113

1.12 Zugriff auf SAP HANA für Prüfer

115

1.12.1 Zugriff auf SAP HANA über das DBA Cockpit

115

1.12.2 Zugriff auf SAP HANA über das SAP HANA Cockpit

118

1.12.3 Skriptgesteuerter Export von Daten aus der SAP-HANA-Datenbank

123

2 Aufbau von SAP-Systemen und Systemlandschaften

125

2.1 SAP NetWeaver und SAP-Komponenten

125

2.1.1 Komponenten von SAP NetWeaver

126

2.1.2 Komponenten der SAP Business Suite

127

2.1.3 Komponenten von SAP S/4HANA

128

2.1.4 Nicht mehr unterstützte Komponenten in SAP S/4HANA

129

2.1.5 Checkliste

131

2.2 Technischer Aufbau von SAP-Systemen

131

2.2.1 Applikations- und Datenbankserver

131

2.2.2 SAP-Fiori-Frontend-Server und SAP-Backend-System

133

2.2.3 Instanzen

134

2.2.4 SAP-Prozesse und -Dienste

135

2.2.5 Checkliste

138

2.3 Systemlandschaften

139

2.3.1 Drei-System-Landschaften

139

2.3.2 SAP-Fiori-Systemlandschaften

141

2.3.3 Systemarten

143

2.3.4 Checkliste

144

2.4 Das Mandantenkonzept

145

2.4.1 Standardmandanten eines SAP-Systems

146

2.4.2 Eigenschaften von Mandanten

147

2.4.3 Protokollierung der Änderungen von Mandanteneigenschaften

150

2.4.4 Risiko beim Anlegen neuer Mandanten

151

2.4.5 Mandantenkopien

153

2.4.6 Zugriffsrechte

156

2.4.7 Checkliste

162

2.5 Sicherheit im Mandanten 000

163

2.5.1 Zugriff auf Daten des Produktivmandanten

164

2.5.2 Systemeinstellungen pflegen

170

2.5.3 Anwendungsentwicklung

172

2.5.4 Gesetzeskritische Berechtigungen

173

2.5.5 Patterns in SAP Enterprise Threat Detection

173

2.5.6 Checkliste

173

3 Allgemeine Systemsicherheit

175

3.1 Grundlagen für die Prüfung der Systemsicherheit

175

3.1.1 Der Releasestand des SAP-Systems

176

3.1.2 Systemparameter

177

3.1.3 Zugriffsrechte

181

3.1.4 Checkliste

182

3.2 Anmeldesicherheit

183

3.2.1 Unzulässige Kennwörter - Tabelle USR40

184

3.2.2 Protokolle von Mehrfachanmeldungen

185

3.2.3 Systemparameter zur Anmeldesicherheit

186

3.2.4 Sicherheitsrichtlinien

195

3.2.5 Schutz vor Kennwort-Hacking

199

3.2.6 Unternehmenseigene Erweiterungen zur Anmeldesicherheit

200

3.2.7 Patterns in SAP Enterprise Threat Detection

201

3.2.8 Zugriffsrechte

201

3.2.9 Checkliste

204

3.3 Das Notfallbenutzerkonzept

206

3.3.1 Konzept für Notfallbenutzer

206

3.3.2 Transaktion SE16N_EMERGENCY

207

3.3.3 Checkliste

209

3.4 Sperren von Transaktionscodes

210

3.4.1 Zugriffsrechte

212

3.4.2 Checkliste

213

3.5 Logische Betriebssystemkommandos

214

3.5.1 Funktionsweise

214

3.5.2 Der Report RSBDCOS0

218

3.5.3 Logische Betriebssystemkommandos zur Prüfung nutzen

219

3.5.4 Patterns in SAP Enterprise Threat Detection

220

3.5.5 Zugriffsrechte

220

3.5.6 Checkliste

222

3.6 Drucken und Speichern

223

3.6.1 Der Druckvorgang

223

3.6.2 Schutz von Druckaufträgen

228

3.6.3 Speichern von Daten in Dateien

228

3.6.4 Patterns in SAP Enterprise Threat Detection

229

3.6.5 Zugriffsrechte

229

3.6.6 Checkliste

230

3.7 Batch-Input

232

3.7.1 Analyse des Batch-Input-Verfahrens

233

3.7.2 Berechtigungen für Batch-Input-Mappen

236

3.7.3 Zugriffsrechte

238

3.7.4 Checkliste

240

3.8 Funktionen von SAP Business Warehouse

241

3.8.1 Datenextraktion

242

3.8.2 Der Extraktorchecker

242

3.8.3 Berechtigungen für die Extraktion einschränken

245

3.8.4 Zugriffsrechte

246

3.8.5 Checkliste

247

4 Protokollierungskomponenten

249

4.1 Security-Audit-Log

249

4.1.1 Konfiguration des Security-Audit-Logs

251

4.1.2 Auswertung des Security-Audit-Logs

258

4.1.3 Pseudonymisierte Auswertung des Security-Audit-Logs

259

4.1.4 Löschen von Security-Audit-Log-Protokollen

261

4.1.5 Konzept zum Einsatz des Security-Audit-Logs

262

4.1.6 Zugriffsrechte

266

4.1.7 Checkliste

270

4.2 Systemprotokollierung

271

4.2.1 Auswertung des SysLogs

272

4.2.2 Meldungen des SysLogs

274

4.2.3 Zugriffsrechte

277

4.2.4 Checkliste

277

4.3 Protokollierung von Tabellenänderungen

278

4.3.1 Aktivierung der Tabellenprotokollierung

279

4.3.2 Protokollierung bei Transporten

281

4.3.3 Protokollierung der einzelnen Tabellen

283

4.3.4 Versionierung der Protokolleigenschaft von Tabellen

288

4.3.5 Protokollierung unternehmenseigener Tabellen

291

4.3.6 Auswertung von Tabellenänderungen

295

4.3.7 Löschen von Tabellenänderungsprotokollen

299

4.3.8 Zugriffsrechte

300

4.3.9 Checkliste

302

4.4 Protokollierung über Änderungsbelege

304

4.4.1 Suchen von über Änderungsbelege protokollierten Tabellen

307

4.4.2 Residenzzeiten für Änderungsbelege

308

4.4.3 Auswertung der Änderungsbelege

309

4.4.4 Löschen von Änderungsbelegen

310

4.4.5 Ändern von Änderungsbelegobjekten

311

4.4.6 Zugriffsrechte

311

4.4.7 Checkliste

313

4.5 Versionsverwaltung

313

4.5.1 Anzeige der Versionen zu einzelnen Programmen

314

4.5.2 Anzeige der Versionen aller versionierbaren Objekte

316

4.5.3 Versionserzeugung bei Importen

317

4.5.4 Löschen der Versionshistorien

318

4.5.5 Checkliste

319

4.6 Lesezugriffsprotokollierung

320

4.6.1 Protokollierung des Zugriffs auf sensible Felder

321

4.6.2 Protokollierung des Aufrufs von Funktionsbausteinen

324

4.6.3 Konfigurationseinstellungen

326

4.6.4 Verwaltungsprotokoll

326

4.6.5 Zugriffsrechte

327

4.6.6 Checkliste

330

4.7 Zugriffsstatistik

331

4.7.1 Analyse einzelner Benutzer oder Funktionen

333

4.7.2 Analyse von Transaktionsaufrufen in Listenform

335

4.7.3 Analyse von RFC-Zugriffen

335

4.7.4 Langzeitauswertung der Statistik

336

4.7.5 Anonymisierte Auswertung von Statistiksätzen

340

4.7.6 Zugriffsrechte

340

4.7.7 Checkliste

341

4.8 Weitere Protokollkomponenten

342

4.8.1 Protokolle für die Systemänderbarkeit

342

4.8.2 Protokolle von Mandantenkopien

344

4.8.3 Protokolle von Änderungen an Systemparametern

344

4.8.4 Protokolle von Mehrfachanmeldungen

345

4.8.5 Protokolle von Änderungen an Betriebssystemkommandos

345

4.8.6 Jobprotokolle

345

4.8.7 Protokolle von Änderungen über Transaktion SE16N

346

4.8.8 Protokolle von Änderungen über den Generic Table Browser (GTB)

347

4.8.9 Protokolle von Änderungen an Sicherheitsrichtlinien

348

4.8.10 SAP Gateway - Fehlerprotokolle

348

4.8.11 Generische Auditauswertungen (Transaktion SAIS_MONI)

349

4.9 Systemüberwachung mit SAP Enterprise Threat Detection

351

4.9.1 Übertragung der Protokolle an SAP Enterprise Threat Detection

351

4.9.2 Auswahl der Patterns in SAP Enterprise Threat Detection

354

4.9.3 Definition eigener Patterns

355

4.9.4 Analyse mit SAP Enterprise Threat Detection

356

4.9.5 Zugriffsrechte

360

4.9.6 Checkliste

363

5 Remote Function Calls

365

5.1 Funktionsbausteine

365

5.1.1 Funktionsbausteine ohne Berechtigungsprüfungen

368

5.1.2 Funktionsbausteine mit schaltbaren Berechtigungen

369

5.1.3 Protokollierung von RFC-Aktionen

371

5.1.4 Patterns in SAP Enterprise Threat Detection

373

5.1.5 Zugriffsrechte

374

5.1.6 Checkliste

375

5.2 RFC-Verbindungen

376

5.2.1 Hinterlegte Kennwörter

379

5.2.2 Systemübergreifender Zugriff über Funktionsbausteine

380

5.2.3 Zugriffsrechte

382

5.2.4 Checkliste

382

5.3 Trusted Systems

383

5.3.1 Berechtigungen zur Nutzung von Trusted-Verbindungen

387

5.3.2 Zugriffsrechte

389

5.3.3 Checkliste

390

5.4 Zugriff von externen Programmen

391

5.4.1 Ermittlung der erforderlichen RFC-Berechtigungen

394

5.4.2 Zugriff auf das SAP-System über Microsoft Excel

395

5.4.3 ABAP-Quelltexte über RFC ausführen

397

5.4.4 Zugriffsrechte

399

5.4.5 Checkliste

400

6 Der Verbuchungsvorgang

403

6.1 Das Prinzip der Verbuchung

403

6.1.1 Die Verbuchungskomponenten

405

6.1.2 Auswertung der Verbuchung

407

6.1.3 Zugriffsrechte

412

6.1.4 Checkliste

413

6.2 Abgebrochene Buchungen

414

6.2.1 Kontrolle auf abgebrochene Buchungen

414

6.2.2 Die Abstimmanalyse der Finanzbuchhaltung (SAP ERP)

415

6.2.3 Zugriffsrechte

418

6.2.4 Checkliste

418

6.3 Die Belegnummernvergabe

419

6.3.1 Nummernkreisobjekte

420

6.3.2 Pufferung von Belegnummern

421

6.3.3 Suche nach Lücken in Belegnummern

425

6.3.4 Zugriffsrechte

426

6.3.5 Checkliste

426

7 Benutzerauswertungen

429

7.1 Organisatorische Regelungen

429

7.2 Die SAP-Standardbenutzer

433

7.2.1 Der Benutzer SAP*

434

7.2.2 Der Benutzer DDIC

435

7.2.3 Der Benutzer SAPCPIC

435

7.2.4 Der Benutzer TMSADM

435

7.2.5 Der Benutzer EARLYWATCH

436

7.2.6 Prüfen der Standardbenutzer

436

7.2.7 Weitere Standardbenutzer

438

7.2.8 Patterns in SAP Enterprise Threat Detection

439

7.2.9 Zugriffsrechte

439

7.2.10 Checkliste

441

7.3 Der Benutzerstammsatz

442

7.3.1 Benutzertypen

442

7.3.2 Eigenschaften der Benutzer

446

7.3.3 Auswertungen zu Benutzern

455

7.3.4 Patterns in SAP Enterprise Threat Detection

457

7.3.5 Zugriffsrechte

458

7.3.6 Checkliste

458

7.4 Referenzbenutzer

459

7.4.1 Zuordnung von Referenzbenutzern

459

7.4.2 Auswertung von Referenzbenutzerzuordnungen

460

7.4.3 Historie der Referenzbenutzerzuordnungen

461

7.4.4 Patterns in SAP Enterprise Threat Detection

462

7.4.5 Zugriffsrechte

462

7.4.6 Checkliste

464

7.5 Benutzergruppen

465

7.5.1 Patterns in SAP Enterprise Threat Detection

468

7.5.2 Zugriffsrechte

469

7.5.3 Checkliste

470

7.6 Sammelbenutzer

471

7.7 Benutzervermessungsdaten

474

7.7.1 Konfiguration der Vermessung

474

7.7.2 Prüfen der Systemvermessung

477

7.7.3 Zugriffsrechte

479

7.7.4 Checkliste

480

7.8 Initialkennwörter und Benutzersperren

480

7.8.1 Initialkennwörter

481

7.8.2 Produktivkennwörter

483

7.8.3 Benutzersperren

484

7.8.4 Auswertung gesperrter Benutzer

487

7.8.5 Patterns in SAP Enterprise Threat Detection

488

7.8.6 Zugriffsrechte

489

7.8.7 Checkliste

491

7.9 Benutzerstammsätze sperren und löschen

492

7.9.1 Funktionsweise

493

7.9.2 Wiederanlage von Benutzer

494

7.9.3 Vetoprüfungen beim Löschen von Benutzern

495

7.9.4 Zugriffsrechte

497

7.9.5 Checkliste

498

7.10 Kennwortverschlüsselung

499

7.10.1 Verschlüsselungsalgorithmen

499

7.10.2 Schutz vor Hacking der Kennwörter

501

7.10.3 Patterns in SAP Enterprise Threat Detection

501

7.10.4 Zugriffsrechte

503

7.10.5 Checkliste

504

7.11 Angemeldete Benutzer

505

7.11.1 Informationen zu angemeldeten Benutzern - Transaktion AL08

505

7.11.2 Informationen zu den Benutzer-Terminals - Tabelle USR41

506

7.11.3 Administrative Überwachung - Transaktion SM04

507

7.11.4 Protokollierung von Benutzeranmeldungen - Security-Audit-Log

507

7.11.5 Patterns in SAP Enterprise Threat Detection

508

7.11.6 Zugriffsrechte

508

7.11.7 Checkliste

509

7.12 Die Änderungshistorie zu Benutzern

509

7.12.1 Zugriffsrechte

512

7.12.2 Checkliste

512

8 Customizing des SAP-Systems

515

8.1 Das ABAP Dictionary

515

8.1.1 Aufbau des ABAP Dictionarys

516

8.1.2 Domänen

518

8.1.3 Datenelemente

522

8.1.4 Zugriffsrechte

524

8.1.5 Checkliste

525

8.2 Das Konzept der Tabellensteuerung

526

8.2.1 Eigenschaften von Tabellen

526

8.2.2 Mandantenabhängige Tabellen

529

8.2.3 Mandantenunabhängige Tabellen

530

8.2.4 Transparente Tabellen

531

8.2.5 Dokumentationen zu Tabellen

532

8.2.6 ABAP-Dictionary-Views

533

8.2.7 ABAP-CDS-Views

538

8.2.8 Unternehmenseigene Tabellen und Views

541

8.2.9 Zugriffsrechte

542

8.2.10 Checkliste

545

8.3 Zugriffe auf Tabellen

546

8.3.1 Anzeige von Tabelleninhalten in der Datenbank

546

8.3.2 Ändern von Tabellen im SAP-System

549

8.3.3 Einführungsleitfaden

551

8.3.4 Laufende Einstellungen

553

8.3.5 Patterns in SAP Enterprise Threat Detection

555

8.3.6 Zugriffsrechte

555

8.3.7 Checkliste

557

8.4 Berechtigungen für Tabellen und Views

558

8.4.1 Berechtigungsgruppen

558

8.4.2 Berechtigungsobjekte

560

8.4.3 Schutz von Tabellen ohne Berechtigungsgruppe

566

8.4.4 Prüfen der Berechtigungen zum Zugriff auf einzelne Tabellen/Views

567

8.4.5 Prüfung der Tabellenberechtigungen für einzelne Rollen oder Benutzer

568

8.4.6 Abgleich von Tabellenberechtigungsgruppen

570

8.4.7 Zugriffsrechte

570

8.4.8 Checkliste

573

8.5 Tabellenzugriffe auf Spalten und Feldwerte einschränken (GTB-Rollen)

574

8.5.1 Berechtigungen auf Spalten eingrenzen

575

8.5.2 Berechtigungen auf Feldwerte eingrenzen

577

8.5.3 Zuordnung der GTB-Rollen

578

8.5.4 Prüfung der GTB-Rollen

579

8.5.5 Voraussetzungen zur Nutzung von GTB-Rollen

582

8.5.6 Zugriffsrechte

583

8.5.7 Checkliste

584

9 Entwicklung in SAP-Systemen

587

9.1 Entwicklerrichtlinien

587

9.2 Entwickler- und Objektschlüssel

590

9.2.1 Entwickler- und Objektschlüssel in SAP S/4HANA

590

9.2.2 Entwicklerschlüssel

591

9.2.3 Objektschlüssel

594

9.2.4 Umgehung der Abfrage von Entwickler- und Objektschlüsseln

594

9.2.5 Zugriffsrechte

596

9.2.6 Checkliste

596

9.3 Systemänderbarkeit

598

9.3.1 Prüfung der Systemänderbarkeit

599

9.3.2 Zugriffsrechte

602

9.3.3 Checkliste

603

9.4 Das Transportsystem

604

9.4.1 Der Transport Organizer

604

9.4.2 Transport Management System

612

9.4.3 Der Ablauf eines Transports

618

9.4.4 Zeitnähe der Importe

621

9.4.5 Zugriffsrechte

623

9.4.6 Checkliste

627

9.5 Eigenentwicklungen in ABAP

629

9.5.1 Die Programmiersprache ABAP

630

9.5.2 ABAP-Namensräume

635

9.5.3 Gefahrenpunkte in der ABAP-Programmentwicklung

636

9.5.4 Prüfen der Eigenschaften von ABAP-Programmen

652

9.5.5 Inhaltliches Prüfen einzelner ABAP-Programme

653

9.5.6 Programmübergreifende Analyse von Quelltexten

654

9.5.7 Code Inspector

660

9.5.8 Code Vulnerability Analyzer

663

9.5.9 Die Versionshistorie

665

9.5.10 Patterns in SAP Enterprise Threat Detection

665

9.5.11 Checkliste

665

9.6 Transaktionen

667

9.6.1 Transaktionsarten

668

9.6.2 Pflege von Transaktionen

669

9.6.3 Protokollierung von Änderungen an Tabellen

670

9.6.4 Suche nach verwandten Transaktionen

671

9.6.5 Suche nach Transaktionen mit generischem Tabellenzugriff

672

9.6.6 Zugriffsrechte

674

9.6.7 Checkliste

674

9.7 Berechtigungen zur Anwendungsentwicklung

675

9.7.1 Das Berechtigungsobjekt S_DEVELOP

675

9.7.2 Weitere Berechtigungsobjekte zur Anwendungsentwicklung

677

9.7.3 Schutz von ABAP-Programmen durch Berechtigungsgruppen (S_PROGRAM)

678

9.7.4 Schutz von ABAP-Programmen nach Namen (S_PROGNAM)

682

9.7.5 Zugriffsrechte - Einzelberechtigungen

683

9.7.6 Zugriffsrechte - Funktionstrennungen

684

9.7.7 Patterns in SAP Enterprise Threat Detection

686

10 Berechtigungskonzept in ABAP-Systemen

687

10.1 Funktionsweise des Berechtigungskonzepts

688

10.1.1 Berechtigungsobjekte

689

10.1.2 Rollen

696

10.1.3 Sammelrollen

702

10.1.4 Profile

704

10.1.5 Berechtigungen

707

10.1.6 Ablauf einer Berechtigungsprüfung

709

10.1.7 Patterns in SAP Enterprise Threat Detection

711

10.1.8 Checkliste

711

10.2 Das Berechtigungskonzept in SAP S/4HANA

712

10.2.1 Simplification List for SAP S/4HANA

713

10.2.2 SAP Fiori Apps Reference Library

714

10.2.3 Das Konzept der SAP-Fiori-Apps

717

10.2.4 Kachelgruppen und -kataloge

719

10.2.5 Berechtigungen auf dem Frontend-Server

722

10.2.6 Berechtigungen auf dem Backend-Server

724

10.2.7 Auswertung von App-Berechtigungen für Benutzer

726

10.2.8 Auswertung von App-Berechtigungen in Rollen

727

10.2.9 Zugriffsrechte

729

10.2.10 Checkliste

731

10.3 Konzepte zum SAP-Berechtigungswesen

731

10.3.1 Das Dateneigentümerkonzept

732

10.3.2 Das Antrags-, Test- und Freigabeverfahren

734

10.3.3 Der Ablauf der Benutzerverwaltung

738

10.3.4 Konzept für übergreifende Berechtigungen

739

10.3.5 Das interne Kontrollsystem

739

10.3.6 Namenskonventionen für Rollen

741

10.3.7 Konventionen für die technische Rollenausprägung

742

10.3.8 Rollenkonzepte

743

10.3.9 Pflege von Kachelgruppen und -katalogen

744

10.3.10 Komponenten- und systemspezifische Teilkonzepte

745

10.3.11 Berechtigungen in Eigenentwicklungen

745

10.3.12 Sicherheitskonzept zum Berechtigungskonzept

746

10.3.13 Checkliste

747

10.4 Customizing zum Berechtigungskonzept

750

10.4.1 Systemparameter

750

10.4.2 Benutzermenüs

753

10.4.3 Customizing-Schalter in Tabelle PRGN_CUST

755

10.4.4 Deaktivierte Berechtigungsobjekte

757

10.4.5 Deaktivierung von einzelnen Berechtigungsprüfungen

759

10.4.6 Transaktionsaufrufe durch CALL TRANSACTION

761

10.4.7 Zugriffsrechte

763

10.4.8 Checkliste

766

10.5 Prüfung von Zugriffsrechten

768

10.5.1 Referenzbenutzer

769

10.5.2 Kritische Standardprofile

769

10.5.3 Berechtigungsobjekte zu startbaren Anwendungen suchen

774

10.5.4 Zugriffsrechte für Benutzer auswerten

775

10.5.5 Zugriffsrechte für Rollen auswerten

782

10.5.6 Patterns in SAP Enterprise Threat Detection

786

10.6 Trace von Benutzerberechtigungen

787

10.6.1 Transaktion SU53

787

10.6.2 Der Berechtigungs-Trace

788

10.6.3 Der Benutzer-Langzeit-Trace

790

10.6.4 Übernahme von Trace-Ergebnissen in eine Rolle

792

10.7 Berechtigungen für Prüfer

794

11 Praktische Prüfung von Berechtigungen

797

11.1 Zugriffsrechte im Bereich der Berechtigungsverwaltung

797

11.1.1 Zugriffsrechte zur Benutzerverwaltung

798

11.1.2 Zugriffsrechte zur Rollenverwaltung

803

11.1.3 Zugriffsrechte zu Profilen

804

11.1.4 Zugriffsrechte für Kachelkataloge und -gruppen

805

11.2 Gesetzeskritische Berechtigungen

805

11.3 Kritische Basisberechtigungen

808

11.3.1 Löschen von Sperreinträgen anderer Benutzer

808

11.3.2 Administration der Sperrverwaltung

808

11.3.3 LDAP-Zugriffe

809

11.3.4 Verwaltung der Ein- und Ausgabe-Queue

809

11.3.5 Administration der Datenarchivierung

810

11.3.6 Löschen von laufenden Prozessen

810

11.3.7 Verwaltung der TemSe-Dateien

811

11.3.8 Anlegen von Jobs unter anderem Benutzernamen

811

11.3.9 Verwaltung der Hintergrundjobs

812

11.3.10 Zurücksetzen und Löschen von Daten ohne Archivierung

812

11.3.11 Kopieren von Dateien vom SAP-Server auf den Client

813

11.3.12 Kopieren von Dateien vom Client auf den SAP-Server

814

11.4 Berechtigungen für das Hacking von SAP-Systemen

815

11.4.1 Datendiebstahl

815

11.4.2 Datenmanipulation

816

11.4.3 Password-Cracking

818

11.4.4 Verschleierung von Aktionen

820

11.4.5 Code-Insert

821

11.5 Customizing-Berechtigungen

824

11.5.1 Transaktionen zur Tabellen- und Viewpflege

824

11.5.2 Customizing im Finanzwesen

826

11.5.3 Customizing in der Materialwirtschaft

834

11.5.4 Customizing in SAP ERP HCM

836

11.6 Analyse der Qualität des Berechtigungskonzepts

838

11.6.1 Manuelle Berechtigungen

839

11.6.2 Manuell gepflegte Organisationsebenen

841

11.6.3 Offene Organisationsebenen in Rollen

844

11.6.4 Offene Berechtigungen in Rollen

845

11.6.5 Sternberechtigungen in Berechtigungswerten

846

11.6.6 Fehlende Pflege der Berechtigungen in Transaktion SU24 für kundeneigene Transaktionen

847

11.6.7 Quantitative Auswertungen zu Rollen und Rollenzuordnungen

848

11.7 Analyse von Berechtigungen in SAP Business Warehouse

850

11.7.1 Administrative Berechtigungen

850

11.7.2 Berechtigungen für PSA-Tabellen

853

11.7.3 Testen der Berechtigungen anderer Benutzer

855

11.7.4 Berechtigungen zur Datenmodellierung

856

11.7.5 Verwaltung von Analyseberechtigungen

860

11.7.6 Reportingberechtigungen

863

12 SAP HANA

867

12.1 Einführung in SAP HANA

867

12.1.1 Der Systemtyp einer SAP-HANA-Datenbank

868

12.1.2 Schemata

868

12.1.3 Zugriff auf Daten in der SAP-HANA-Datenbank

870

12.1.4 Entwicklungsumgebung SAP HANA XS (Repository)

873

12.1.5 Entwicklungsumgebung SAP HANA XSA

874

12.1.6 Aufruf von Tabellen und Views

875

12.1.7 Zugriff auf Daten in der SAP-HANA-Datenbank

875

12.2 Systemsicherheit in SAP HANA

876

12.2.1 Tenant-Datenbanken

876

12.2.2 Systemparameter

878

12.2.3 Verschlüsselung von Daten

882

12.2.4 Verschlüsselung der Kommunikation

885

12.2.5 Verbindungen zu anderen Systemen - Remote Sources

886

12.2.6 Checkliste

888

12.3 Anmeldesicherheit

891

12.3.1 Authentifizierungsmethoden

891

12.3.2 Systemparameter für Kennwortrichtlinien

892

12.3.3 Benutzergruppenspezifische Kennwortrichtlinien

895

12.3.4 Liste der verbotenen Kennwörter

896

12.3.5 Checkliste

897

12.4 Benutzerverwaltung in SAP HANA

898

12.4.1 Der Benutzerstammsatz

898

12.4.2 Restricted User (Eingeschränkte Benutzer)

901

12.4.3 Standardbenutzer in SAP HANA

903

12.4.4 Remotebenutzer

907

12.4.5 Benutzergruppen

909

12.4.6 Checkliste

910

12.5 SAP HANA XSA

912

12.5.1 Struktur in SAP HANA XSA

913

12.5.2 SAP HANA XSA Cockpit

914

12.5.3 SAP Web IDE

914

12.5.4 Benutzer in SAP HANA XSA

915

12.5.5 Berechtigungen in SAP HANA XSA

917

12.5.6 Checkliste

923

12.6 Das Berechtigungskonzept von SAP HANA

924

12.6.1 Berechtigungen in SAP HANA

924

12.6.2 System Privileges (Systemberechtigungen)

925

12.6.3 Object Privileges (Objektberechtigungen)

928

12.6.4 Package Privileges (Paketberechtigungen)

930

12.6.5 Analytic Privileges (Analyseberechtigungen)

933

12.6.6 Application Privileges (Anwendungsberechtigungen)

934

12.6.7 Privileges on Users (Debugging des eigenen Benutzers zulassen)

935

12.6.8 Weitergabe von Berechtigungen

936

12.6.9 Checkliste

937

12.7 Das Rollenkonzept von SAP HANA

939

12.7.1 Eigenschaften von Rollen

939

12.7.2 Runtime-Katalogrollen

941

12.7.3 Design-Time-Repository-Rollen in SAP HANA XS

942

12.7.4 Design-Time-HDI-Rollen in SAP HANA XSA

945

12.7.5 Standardrollen in SAP HANA

945

12.7.6 Checkliste

948

12.8 Analyse des SAP-HANA-Berechtigungskonzepts

950

12.8.1 Tabellen und Views zur Analyse von Berechtigungen

951

12.8.2 Benutzerauswertungen

951

12.8.3 Welche Berechtigungen haben einzelne Benutzer (View EFFECTIVE_PRIVILEGES)?

954

12.8.4 Welchen Benutzern und Rollen sind bestimmte Berechtigungen zugeordnet (View EFFECTIVE_PRIVILEGE_GRANTEES)?

956

12.8.5 Welche Rollen sind einem Benutzer oder einer Rolle zugeordnet (View EFFECTIVE_ROLES)?

958

12.8.6 Welchen Benutzern und Rollen sind bestimmte Rollen zugeordnet (View EFFECTIVE_ROLE_GRANTEES)?

959

12.8.7 Das Skript HANA_Security_GrantedRolesAndPrivileges

960

12.8.8 Checkliste

962

12.9 Auditing in SAP HANA

963

12.9.1 Konfiguration des Auditings in SAP HANA

963

12.9.2 Einrichten von Policys

966

12.9.3 Auswertung der eingerichteten Policys

971

12.9.4 Auswertung des Auditings

972

12.9.5 Löschen von Auditing-Protokollen

975

12.9.6 Konzept zur Auswertung

975

12.9.7 Checkliste

975