System Beratung Klüppelberg (IT-Berechtigungen, IT-Sicherheit) Startseite System Beratung Klüppelberg (SyBeKlü), MannheimSystem Beratung Klüppelberg in Mannheim
  
pic
 
 |   Montag, 18.12.2017 00:12:37  
Stand: 29.03.2016
 

Überlegungen zum Berechtigungskonzept bei R/3 - Systemen

Bei einem Berechtigungskonzept geht es um die Festlegung, was die einem Benutzer zugeordenten Berechtigungsrollen beinhalten. In einem Berechtigungskonzept werden Festlegungen zur Erfüllung folgender Ziele getroffen:

  • Verfügbarkeit der Daten: Zu jedem Zeitpunkt müssen genau die Daten eines Systems verfügbar sein, die gerade jetzt benötigt werden.
  • Integrität der Daten: Die Daten müssen in sich schlüssig bleiben, und dürfen nicht manipulierbar sein.
  • Authentizität der Daten: Für fast alle Daten muß nachweisbar sein, wer sie erstellt hat und wann sie geändert wurden.
  • Vertraulichkeit der Daten: Daten dürfen aus Sicherheitsgründen nicht jedem zugänglich sein.

Daraus folgt für ein Berechtigungskonzept, dass

  • dem Benutzer nur soviele Rechte gegeben werden, dass er seine Arbeit erledigen kann.
  • die Berechtigungen so zugeordnet sind, dass der Benutzer geschützt ist vor etwaigen Fehleingaben (z.B. Buchung in falschen Buchungskreis oder Buchungperiode).
  • die Daten vor Fremdeingaben geschützt bleiben.
  • das System weiterhin performant bleibt, und nur die notwendigsten Prüfungen durchführt werden.
  • das System selbst vor Fremdeingriffe geschützt ist.

Meist wird das Berechtigungskonzept einer Unternehmung in mehrere Teile aufgeteilt:

  • Dem Berechtigungsrahmenkonzept.
  • Dem Berechtigungskonzept für die einzelne Fachabteilung.

Das Rahmenkonzept stellt die Grundlage für das Berechtigungskonzept dar und regelt die generellen Belange wie System-Sicherheit, Rollenname, Verantwortlichkeiten, während die Fachbereichskonzepte, die spezifisch auf die Fachabteilung zugeschnittenen Regeln und Verantwortlichkeiten benennen.

Wie diese Konzepte für eine einzelne Unternehmung aussehen, hängt von der Größe der Unternehmung und von der Komplexität ihrer Prozesse ab. Sowohl das Rahmenkonzept als auch die Fachabteilungskonzepte sind individuell auf die Unternehmung zugeschnitten. Deshalb kann man auch nur Leitlinien angeben, was in einem Konzept geregelt werden sollte.

Man kann aber einige Regelungen anderer Unternehmen, die sich bewährt haben, in sein eigenes Konzept bzw. Organisation übernehmen. Dabei sind die unternehmensspezifischen Belange genauso zu berücksichtigen, wie die gesetzlichen Bestimmungen und die Forderungen der Wirtschaftprüfer:

Bei den gesetzlichen Bestimmungen und den Forderungen der Wirtschaftsprüfer will ich hier nur auf die unter dem Abschnitt Literatur angegebenen Stellen verweisen, da deren Ausführungen den Rahmen hier sprengen würden. Einige Organisationsforderungen sollen hier aber Erwähnung finden, weil sie sich sehr bewährt haben.

Für noch mehr detaillierte Informationen können Sie auch meinen BLOG unter http://blog.technik.berechtigung.sybeklue.de besuchen.

1. Institution Rollen-Administrator und sog. Key-User

Bei vielen Unternehmen ist die Zuständigkeit für die Rollenentwicklung aufgeteilt auf sog. Key-User, die den Fachabteilungen zugeordnet sind, einerseits und dem Basis-Rollen-Administrator andererseits. Der Key-User der Fachabteilung hat die notwendigen Kenntnisse über die Transaktionen seines Fachgebietes, deren Berechtigungen und den Zuständigkeiten. Er kann besser als die Basis beurteilen, welche Berechtigungen wie aufgeteilt werden müssen, damit jeder Mitarbeiter seine Arbeit tun kann.

Der Basis-Rollen-Administrator hat eine Doppelaufgabe. Er kontrolliert die Ordnungsmäßigkeit, der von den Key-Useren verlangten Berechtigungen und ist zusammen mit dem System-Administrator Key-User für die Basisrollen, da sie die Belange der Systembasis kennen.

Es gibt für diese Organisationsform mehrere Spielarten:

  • Entweder ist der Key-User nur für den Inhalt der Rollen verantwortlich, oder - wie in vielen Unternehmungen - ist er auch in der Rollenarchitektur ausgebildet und baut die Rollen seiner Fachabteilung.
    Nach dem (immer erwähnten) "Vier-Augen-Prinzip" ist es dem Key-User aber nicht gestattet, diese von ihm gefertigten Rollen auch zu transportieren, sondern er übergibt den Transportauftrag an den Basis-Rollen-Administrator, der den Auftrag samt Dokumentatin prüft und freigibt.
  • Im Falle, dass der Key-User die Rolle nicht selbst fertigt, gibt er den Auftrag zur Rollenentwicklung bzw. Rollenanpassung an den Basis-Rollen-Administrator ab, dieser enwickelt die Rolle und gibt sie an den Key-User zum Test zurück. Der Key-User gibt dann die Genehmigung, die Rolle ins Produktivsystem zu transportieren.

In jedem Fall liegt die inhaltliche Verantwortung für die Rolle und die Zurodnung der Rollen zum Benutzer bei der Fachabteilung, da nur sie über die Ordnungsmäßigkeit der Rolle befinden kann. Der Basis obliegt die Verantwortung, der Prüfung der Rolle auf Ordnungsmäßigkeit bzgl. des Rahmenkonzeptes, und inhaltlich, dass der Datenschutz und die Integrität der Daten gewahrt bleibt. Man denke z.B. an die Debug-Berechtigung, die so mancher in der Fachabteilung gerne hätte. Ohne Kontrolle seitens der Basis, würde eine derartige Berechtigung transportiert und ggf. die Performance des Systems stören können.

2. Trennung User- und Rollen-Administrator

Eine weitläufige Forderung ist die Trennung des User- und des Rollen-Administrators. Das fordert auch SAP® in ihrem Hinweissystem. Der Rollen-Administrator entwickelt ggf. die Rolle, während der User-Administrator die Rollen den Benutzern zuordnet. Diese auch wieder wegen des "Vier-Augen-Prinzips" gemachte Aufteilung kann ebenfalls wieder mehrere Spielarten haben:

  • Es gibt eine zentrale User-Administration
  • Die User-Administration ist auf die Fachabteilungen aufgeteilt, wird aber von einem Basis-User-Administrator kontrolliert.
 

Letztlich ist es gleichgültig, wie genau die Aufteilung gemacht wird. Sie muß dem Ziel dienen, dass die Vergabe von Berechtigungen effektiv erfolgen kann.

Zu viel "Bürokratie" und dadurch verlangsamte Prozesse, verhindern ein effektives Arbeiten am System und letztlich auch die Zufriedenheit der Mitarbeiter. Bei auftretenden Fehlern in den Berechtigungen (bzw. Rollen) kann der Mitarbeiter ggf. so lange nicht weiterarbeiten, bis der Fehler behoben ist. Wenn dann die Organisation des Berechtigungswesens 1-2 Tage benötigt, um den Rollenfehler auszumerzen, ist das m.E. ineffektiv.

Das oberste Ziel muss das möglichst störungsfreie Arbeiten der Mitarbeiter sein. Andersherum muss es Prozessdefinitionen geben, die es dem Key-User oder dem Basis-Rollen-Administrator erlauben, schnell auf eine derartige Situation zu reagieren, sei es bspw. durch schnelle Hilfe mit einer Hilfsrolle, die das Problem behebt, und erst im Nachhinein, die Einarbeitung der fehlenden Berechtigung in das Rollenkonzept. Dies bedeutet aber, dass die "Schnellhilfe" protokolliert und zeitnah beseitigt wird.

3. Sonstige Aufgaben eines Rollen Rollen-Administrators

Leider haben es Rollen-Administratoren meist ziemlich schwer, denn Berechtigungsprobleme im System können überall vorkommen. So sind dem Rollen-Administrator letztlich Berechtigungen zuzuweisen, die auf den 1. Blick kaum etwas mit seiner Tätigkeit zu tun haben. Aufgabe des Rollen-Administrators ist neben der Rollenerstellung auch die Fehlersuche bei Problemen und genau hier kommen obige Berechtigungen zur Anwendung. Es muss festgelegt sein, wer sich um

  • Fehler kümmert. Dies bedeutet auch der Zugriff zu Berechtigungstraces, Quellcode, Dumps sowie Systemparametern etc. Also Zugriffe, die man gemeinhin nur den Systemadministratoren vergibt. Doch wer soll ein Wissen über die User- und Rollenparameter in den Systemparametern haben, wenn nicht der Rollen-Administrator? Wer kümmert sich und erklärt einen Systemdump beim Zugriff auf externe Dateien (Open Dataset)? Wie kann man einen schwerwiegenden Berechtigungstrace analysieren ohne Zugriff auf einen Quellcode zu haben?
  • die Einhaltung der Entwicklungsrichtlinien bei der Programmierung kümmert und ggf. die Entwickler berät. Wann und wie muss der Entwickler Berechtigungsprüfungen im Programm durchführen? Wer kontrolliert dieses?

Diese Aufzählung könnte noch fortgesetzt werden und hat weitreichende Auswirkungen auf die Rollen des Rollen-Administrators. Er ist ein Administrator und hat somit auch eine Vielzahl von Basisrechten, je nach zugeordneten Arbeitsgebieten des Rollen-Administrators

Unterstützung seitens SyBeKlü

Wie aber erstellt man ein effektives Berechtigungskonzept?
Wie benennt man die Berechtigungsrollen?
Wie baut man die Berechtigungsrollen dazu?
Welche Ad-Hoc-Maßnahmen sind zu beachten?

Dazu kann ich Ihnen einige nützliche Erfahrungen weitergeben, die ich bei zahlreichen Kunden im Berechtigungswesen erlangt habe.

Dabei sehe ich meine Aufgabe weniger in der Darstellung, welche gesetzlichen Maßnahmen beachtet, und welche Prüfungen seitens der Wirtschaftprüfung und der Revision durchgeführt werden, dafür gibt es genügend Literatur, die ich Ihnen ans Herz lege. In in erster Linie möchte ich auf die technischen Belange eingehen.

Ich möchte Sie in praktischer und technischer Hinsicht unterstützen:

  • Welche Rollenarten gibt es und wie effizient sind diese?
  • Wie organisiere ich den Schutz von Programmstarts und Tabellenpflege bzw. Tabellenanzeige?
  • Wie organisiere ich Rollen bei eigenen z-Programmen?
  • Welche Tücken und Fallstricke gibt es in der Generierung der Rollen?
  • Welche Tools können mir bei der Konzeption helfen?

Aus diesem Anlaß kann ich Sie hier auf meinen Blog verweisen. Dort erhalten Sie eine Fülle von Informationen über das Berechtigungswesen und den Techniken, die Ihnen zur Verfügung stehen. Hier haben Sie auch die Möglichkeit sich in eine E-Mail-Liste einzutragen, und erhalten Zugang zu den Gratis-eBooks des Blogs.

Ich verspreche Ihnen, dass ich Sie nicht mit irgendwelchen Newslettern nerven will. Sie können bei Erhalt eines Newsletters immer alle weiteren Newsletter abbestellen. Ja, Sie können auch jederzeit Ihren Benutzerstatus ändern bzw. löschen.

Gratis-eBook von SyBeKlue: Transaktionsliste erstellen

eBook:Transaktionsliste für Berechtigungen erstellen
Das eBook: »Transaktionsliste erstellen« zeigt Ihnen anschaulich - Schritt für Schritt - wie sie ein R/3-Menü in eine ACCESS-Tabelle exportieren können. Eine derartige Transaktionsliste steht am Anfang jeder Überlegung zum Berechtigungskonzept und der Rollenentwicklung, da sie die Zugehörigkeit der Transaktion zum Prozeß bzw. zur Applikation des R/3-Systems darstellt. Sie können diese Transaktionsliste leicht als Ausgangspunkt und Hilfe zur Rollenentwicklung sowie der Kommunikation zwischen Rollenentwicklung und Fachabteilung nutzen. Sie hat mir bei vielen Kunden schon gute Dienste erwiesen.

Natürlich hätte ich auch mittels einem »kundeneigenen« ABAP-Programm den Export realsieren können. Doch ist es nicht jedem Rollen-Administrator erlaubt Programmentwicklung zu betreiben, und ggf. sind neue Entwicklungen auch schwer durchsetzbar.

In dem eBook wird für ein Bereichsmenü »Logistik« gezeigt, wie es aus dem R/3 exportiert und es in eine ACCESS-Datenbank importiert. Mit ACCESS wird dann schließlich eine EXCEL-Tabelle erzeugt, die das Menü darstellt. Der Schritt über ACCESS zu gehen hat den Sinn, ACCESS später dann für Auswertungen und Suchen zu verwenden. Somit werden dann in ACCESS Dinge wie Vergleiche von Rollen, Suche nach in Rollen gespeicherten nicht mehr existierenden Transaktionen leichter ermöglicht. Überhaupt werden Sie ACCESS öffters gebrauchen können, um mittels SQL-Abfragen sich schnell einen Überblick über die Rollen zu verschaffen.

Als Rollenadminstrator sollte ACCESS zu Ihrem ständigen Begleiter werden, da es Ihnen oft komplizierte Suchen abnehmen kann.

Da wahrscheinlich nicht nur ich, sondern auch Sie, noch nicht mit Office 2007 arbeiten, weil es zu Inkompatibilitäten kommen kann, werden die Tools alle für Office-Version <= 2003 dargestellt. Dabei wird dann - auch wegen der Zeilenbegrenzung - das Programm ACCESS als Grundlage notwendig.

Zum Gratis-Produkt: Transkationsliste

 

Neuer Ratgeber für Techniken im SAP® Berechtigungswesen


Das Buch Techniken im SAP® Berechtigungswesen ist ein Ratgeber, der Ihnen die Einflussfaktoren auf ein Berechtigungskonzept zeigt. Neben der Rollenentwicklung wird auch auf die einzelnen Benutzertypen eingegangen. Sie erhalten eine Methode, wie Sie aus einer Transaktionsliste zu den Rollensets gelangen. Auch Suchtechniken im System bzgl. Berechtigungen fehlen nicht, und Sie erhalten Kenntnis von den orginären Tabellen des System und Ihren Beziehungen.

Es ist erschienen bei espresso tutotial


Hinweis:
Auf der Internetpräsenz werden eine Vielzahl von Programmen der SAP®-AG genannt, meist erkenntlich durch die Silbe SAP am Anfang des Programmnamens. Da der Autor dieser Seite leider keine Kenntnis hat, welche Programme mit Warenzeichen versehen sind, sei hier darauf hingewiesen, dass diese Programme von der SAP®-AG entwickelt wurden. Das gleiche gilt für andere Programme- oder Systemnamen, die von den Firmen Microsoft, IBM, Software AG und Siemens sind. Wo immer es ging, wurde auf den Hersteller verwiesen.

 
 
Suche bei Google oder innerhalb SyBeKlue
Google
 
SyBeKlue arbeitet mit
Mini-Logo HE S 3C
Unsere Meinung:
Host Europe ist schnell, preiswert, und hat eine sehr hohe Verfürbarkeit und sehr guten Service. Ein Klick auf das Logo, und Sie erhalten alle notwendigen Informationen
Tipps für Ihre Freizeitgestaltung   Wollen Sie interessante Dinge in Ihrer Freizeit erleben? Hier wäre mein Vorschlag.