Beruflich Dokumente
Kultur Dokumente
2
Dokumentenversion: UG.CASA.2021.2.2111.01
Inhaltsverzeichnis
Kapitel I Einleitung 7
I-1 CheckAud 2021.2 Einsatz & Nutzen ............................................................................... 8
I-2 CheckAud 2021.2 als Bestandteil des Risikomanagements .......................................... 8
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
4 Inhaltsverzeichnis
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Inhaltsverzeichnis 5
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
6 Inhaltsverzeichnis
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
7
Kapitel I - Einleitung
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
8 Kapitel I - Einleitung
I Einleitung
I-1 CheckAud 2021.2 Einsatz & Nutzen
CheckAud for SAP Systems wurde mit der Zielrichtung entwickelt, das Berechtigungskonzept
transparent und leicht auswertbar zu machen, aber auch um die sicherheitsrelevanten Bereiche
eines SAP-Systems prüfen zu können. Dabei wird das Werkzeug primär bei der internen Revision
der Unternehmen oder durch externe Prüfer eingesetzt, um den jeweiligen Prüfungsauftrag technisch
und fachlich abbilden zu können. Viele der in CheckAud® verfügbaren Funktionen sind mit Hinblick
auf die Nutzung durch den Prüfer konzipiert und entwickelt worden.
Im Rahmen des Risikomanagements sollten für alle Geschäftsbereiche eines Unternehmens unter
Beachtung gesetzlicher Ordnungsmäßigkeitsvorgaben, Unternehmensvorgaben (wie z. B.
Funktionstrennungen) entsprechende Risiken, deren Auswirkungen sowie die jeweils dazu
gehörenden Präventiv- resp. Korrekturmaßnahmen definiert worden sein. Diese Informationen fließen
während der Erstkonfiguration, aber auch während der regelmäßigen Nutzung, in CheckAud ein.
So stellt CheckAud das technische Kontrollinstrument für das Risikomanagement dar. Einmal
konfiguriert und regelmäßig gepflegt, ist CheckAud ein zentrales Element des Risikomanagements
in SAP-Systemen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
9
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
10 Kapitel II - CheckScan 2021.2 (Scanmodul)
II - 1 Benutzeroberfläche
Nachfolgende Abbildung zeigt die Benutzeroberfläche von CheckScan 2021.2:
1. Hauptmenü
Snapshot Hauptfenster zur Verwaltung der SAP-Systemverbindungen / HANA
Datenbank-Verbindungen
Tabellen-Sets Konfiguration der auszulesenden SAP-Tabellen / HANA
Datenbanktabellen
Einstellungen Programmglobale Einstellungen für CheckScan
Über CheckScan Lizenz- und Versionsinformationen
Beenden Beendet CheckScan
2. SAP-Systemverbindungen / HANA Datenbank-Verbindungen, Tabs zur
Anzeige der Systeme als Liste oder in Gruppen
3. Anzeige der gepflegten SAP-Systemverbindungen / HANA Datenbank
Verbindungen als Liste oder in Gruppen
4. Anonymisierung oder Pseudonymisierung des Snapshots, optional
5. Snapshot-Verschlüsselung, optional Verschlüsselung der
Pseudonymisierungsdatei
6. Erstellung des Snapshot / Anzeige des aktuellen Status der
Snapshoterstellung
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 11
II - 2 Tabellen-Sets
II - 2.1 ABAP Systeme
In dem Menüpunkt Tabellen-Sets ist standardmäßig das Tabellen-Set Auth hinterlegt. Dieses
Tabellen-Set umfasst alle relevanten SAP-Tabellen für die Analyse der vergebenen SAP
Berechtigungen. Daher ist es zwingend notwendig, dass CheckScan zum Erstellen eines Snapshots
Zugriff auf diese Tabellen hat. An diesem Tabellen-Set können keine Änderungen vorgenommen
werden. Neben dem obligatorischen Tabellen-Set AUTH sind weitere, optional auswählbare Tabellen-
Sets vorhanden. Hierbei handelt es sich u. A. um Tabellen mit Informationen aus den Modulen BW,
FI, HCM, ISU, MM, SD und Basis, die nicht zwingend benötigt werden, um nur
Berechtigungsprüfungen durchzuführen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
12 Kapitel II - CheckScan 2021.2 (Scanmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 13
Über die Schaltfläche kann ein eigenes Tabellen-Set angelegt werden. Nach
der Vergabe eines Namens für das zusätzlichen Tabellen-Set, kann über die Schaltfläche
eine neue Tabelle hinzugefügt werden, die CheckScan während des Scan
Vorganges auslesen soll. Anhand der technischen Namen besteht die Möglichkeit, bestimmte
Spalten ein- / auszublenden, zu anonymisieren oder zu pseudonymisieren.
Nachfolgendes Beispiel zeigt das zusätzliche Auslesen der Tabelle T001L eines ABAP Systems:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
14 Kapitel II - CheckScan 2021.2 (Scanmodul)
Nachdem der Snapshot in CheckAud importiert wurde, kann die Tabelle T001L in der
Tabellenanzeige dargestellt werden. Durch das Kriterium, welches in der Tabellen-Einstellung
hinterlegt werden muss, werden explizit nur die hinterlegten Spalten in der Tabellenanzeige
erscheinen. Die Trennung der angegebenen Spalten erfolgt durch ein Komma.
Hinweis 1: Werden keine Spalteneinträge hinterlegt, kommt es bei dem Start des Scans zu einem
Fehler.
Nachfolgendes Beispiel zeigt das zusätzliche Auslesen der Tabelle T001L eines ABAP Systems,
wobei hier nun bestimmte Spalten der Tabelle vom Scan ausgeschlossen werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 15
Nachdem der Snapshot in CheckAud importiert wurde, kann die Tabelle T001L in der
Tabellenanzeige dargestellt werden. Durch das Kriterium, welches in der Tabellen-Einstellung
hinterlegt wurde, werden bestimmte Spalten aus der Tabellenanzeige ausgeschlossen.
Hinweis: Werden keine Spalteneinträge hinterlegt, enthält der Snapshot alle Spalten der
angegebenen Tabelle.
Nachfolgendes Beispiel zeigt das zusätzliche Auslesen der Tabelle T001L eines ABAP Systems,
wobei hier nun bestimmte Spalten der Tabelle anonymisiert/pseudonymisiert werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
16 Kapitel II - CheckScan 2021.2 (Scanmodul)
Die Werte der Spalte WERKS werden bei aktiver Anonymisierung/Pseudonymisierung in der
Tabellenanzeige von CheckAud nun unkenntlich dargestellt.
Nachfolgendes Beispiel zeigt das zusätzliche Auslesen der Tabelle T001L eines ABAP Systems,
wobei hier nun bestimmte Spalten der Tabelle bei aktivierter Anonymisierung/Pseudonymisierung
übersprungen werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 17
Die Inhalte der Spalten WERKS und LGORT werden bei aktiver Pseudonymisierung oder
Anonymisierung in der Tabellenanzeige von CheckAud ohne Einträge dargestellt.
Auch für HANA DB Systeme können nach o. b. Vorgehensweise eigene Tabellen-Sets erstellt
werden. Hierbei ist lediglich die zusätzliche Angabe des Datenbank-Schemas zu beachten:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
18 Kapitel II - CheckScan 2021.2 (Scanmodul)
· DEC, CURR
o Hier werden die Werte in vielen Fällen nicht korrekt zurückgeliefert, so dass keine sinnvollen
Analysen über Felder dieser Typen durchgeführt werden können. Das Auslesen scheitert aber
auch nicht, so dass die Felder nicht grundsätzlich ausgeschlossen werden müssen.
· RAW
o Die Daten von Feldern des Typs RAW können nur unvollständig ausgelesen werden (nur die
erste Hälfte der Daten wird zurückgegeben). Ab einer Länge von mehr als 255 Zeichen ist ein
Auslesen generell nicht mehr möglich.
· STRING, SSTRING, RAWSTRING
o Tabellen, die Felder dieser Datentypen enthalten, können auf Grund der variablen Länge
grundsätzlich nicht ausgelesen werden. Das Auslesen scheitert auch dann, wenn die
betreffenden Spalten explizit ausgenommen werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 19
II - 3 Einstellungen
Standardsprache Legt fest, in welcher Sprache das Scanmodul gestartet werden soll.
Dialoge Einige Dialoge können mit der Option Diesen Hinweis k ünftig nicht
mehr anzeigen ausgeblendet werden. Mit dieser Schaltfläche lassen
sich ausgeblendete Dialoge wieder anzeigen.
ABAP Systeme hier werden Anmeldeinformationen für einen SAP Standardbenutzer
Standardbenutzer hinterlegt, welcher per Option in den Systemverbindungen genutzt
werden soll, damit entfällt die jeweilige Angabe des
Kommunikationsbenutzers in den Systemverbindungen
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
20 Kapitel II - CheckScan 2021.2 (Scanmodul)
Standardverzeichnis für Legt fest, in welchem Pfad das Dialogfenster zur Speicherung der
Snapshots Snapshots geöffnet werden soll.
Die Schaltfläche stellt die Lizenz im Detail dar. Über die Schaltfläche
kann diese aktualisiert bzw. erneuert werden. Das Vorgehen ist analog zur
Erstinstallation der Lizenzdatei.
Weiterhin kann über diese Schaltfläche die SAPLOGON.INI einer vorhandenen SAP LogOn-
Installation eingelesen werden. Dabei werden die aus der SAPLOGON.INI verfügbaren
Verbindungsinformationen übernommen und müssen nur noch mit Mandanten bzw. den
Anmeldeinformationen des SAP-Kommunikationsbenutzers ergänzt werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 21
Über die Schaltfläche kann überprüft werden, ob mit den hinterlegten Informationen eine
Verbindung zu dem Quellsystem möglich ist.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
22 Kapitel II - CheckScan 2021.2 (Scanmodul)
· IBS_AUTH_ADVANCED,
· IBS_BW,
· IBS_FI,
· IBS_GDPR
· IBS_HCM,
· IBS_ISU,
· IBS_MM,
· IBS_SD und
· IBS_SYSTEM
stehen optional als vorgefertigte Auswahl zu Verfügung. Die anwendereigenen Tabellen-Sets werden
im Hauptmenüpunkt Tabellen-Sets erstellt und in diesem Reiter dynamisch angezeigt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 23
Über die Schaltfläche Speichern wird die neue Systemverbindung gesichert. In der SAP-
Quellsystemübersicht in der Spalte Tabellen-Set ist ersichtlich, welche Tabellen-Sets aktiviert
worden sind.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
24 Kapitel II - CheckScan 2021.2 (Scanmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 25
Um die Parameter eines SAP-Systems in CheckAud prüfen zu können, müssen diese ausgelesen
werden. Das Auslesen der Parameterwerte ist in CheckScan standardmäßig aktiviert. Zu den bereits
bestehenden Berechtigungen für das Tabellen-Set AUTH werden zusätzliche Berechtigungen
benötigt, um die Parameterwerte auszulesen. Das Auslesen der Systemparameter ist erst ab dem
SAP Releasestand 7.40 möglich. Bei älteren Releaseständen werden trotz gesetzter Option zu
Auslesen keine Parameterauswertungen in CheckAud möglich sein.
Hinweis: Sofern es beim Auslesen des SAP-Systems zu längeren Laufzeiten kommt, kann diese
Option des Auslesens der Org-Ebebenen deaktiviert werden, um Laufzeiten zu verbessern. Dadurch
werden dann aber keine Vorschlagswerte für Org-Ebenen bei der Auswertung zur Verfügung gestellt
und müssen manuell eingegeben werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
26 Kapitel II - CheckScan 2021.2 (Scanmodul)
Hinweis:
· die Statistik wird vollständig anonymisiert ausgelesen, es werden keine Benutzernamen zu den
Statistikinformationen erfasst (keine Verhaltenskontrolle möglich)
· IBS Schreiber GmbH stellt eine vorgefertigte Rolle zum anonymisierten Auslesen der
Nutzungsstatistik bereit
· es ist zu empfehlen, die Berechtigung auf das Objekt S_TOOLS_EX für den Scanuser
nirgends zuzuordnen, da hierüber das vollständige Auslesen der Nutzungsstatistik inkl.
vollständiger Benutzernamen ermöglicht wird!
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 27
Weiterhin können über diese Schaltfläche entsprechende Verbindungsinformationen aus dem SAP
HANA Cockpit bzw. dem SAP HANA Studio übernommen werden und müssen nur noch mit den
Anmeldeinformationen des Kommunikationsbenutzers ergänzt werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
28 Kapitel II - CheckScan 2021.2 (Scanmodul)
Über die Schaltfläche kann überprüft werden, ob mit den hinterlegten Informationen eine
Verbindung zu dem Quellsystem möglich ist.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 29
Verschlüsselung wenn Flag gesetzt, wird die Systemverbindung zur HANA Datenbank über
ak tivieren das SSL / TLS Verschlüsselungsprotokoll aufgebaut, hierbei erfolgt eine
(SSL/TLS) entsprechende Zertifikatsabfrage
Zertifik at validieren wenn Flag gesetzt, wird das abgefragte Zertifikat auf Echtheit geprüft, dies
erhöht die Sicherheit und minimiert mögliche Angriffe auf die Kommunikation,
allerdings wird es hier bei der Nutzung von selbst-signierten Zertifikaten zu
einer Fehlermeldung kommen
· IBS_SYSTEM
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
30 Kapitel II - CheckScan 2021.2 (Scanmodul)
Bei der Anonymisierung ist die Zuordnung der Benutzernamen nicht möglich. Die Benutzernamen
werden anonymisiert im Snapshot hinterlegt und es kann nicht auf den ursprünglichen Namen
geschlossen werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 31
Bei der Pseudonymisierung wird neben dem Snapshot eine zusätzliche Excel-Datei erstellt. In der
Excel-Datei sind die Pseudonyme und die zugehörigen Benutzernamen hinterlegt. Somit ist eine
Zuordnung der Pseudonyme zu dem Benutzernamen möglich. Bei Bedarf kann diese Mapping-Datei
auch verschlüsselt werden, um personenbezogene Daten zu schützen:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
32 Kapitel II - CheckScan 2021.2 (Scanmodul)
Abbildung 25 - Anzeige des Benutzer-Modus in der Snapshotverw altung des Ausw ertungsm oduls
Abbildung - Benutzer-Modus
In der Snapshotverwaltung des CheckAud Auswertungsmoduls ist der jeweilige Benutzer-Modus der
Snapshots ersichtlich.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 33
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
34 Kapitel II - CheckScan 2021.2 (Scanmodul)
- Gruppe löschen, die mit der Gruppe verknüpften Systemverbindungen werden dabei
nicht gelöscht
Über die Schaltfläche ABAP-Systeme oder HANA DB kann eine Toolbox eingeblendet werden, in der
die bereits angelegten Systemverbindungen zur Auswahl stehen. Mit der Schaltfläche kann die
Toolbox bei Bedarf dauerhaft eingeblendet werden:
Über Drag&Drop können nun die Systemverbindungen zu den gewünschten Gruppen zugeordnet
werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 35
Das Symbol in der Toolbox mit den Systemverbindungen zeigt eine aktive Zuordnung zu
Gruppen an. Weiterhin kann als Hilfe bei einer großen Anzahl von Systemverbindungen mit der
Filterfunktion gezielt in der Toolbox nach Systemen gesucht werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
36 Kapitel II - CheckScan 2021.2 (Scanmodul)
Werden mehrere Systeme für den Snapshot markiert, so werden diese sequentiell durch das
Scanmodul ausgelesen und die jeweiligen Snapshots im angegebenen Zielverzeichnis abgelegt.
Bei Bedarf können die Snapshots zusätzlich über ein Passwort verschlüsselt werden. Dieses wird
beim Import des Snapshots in die Datenbank des Auswertungsmoduls abgefragt.
Bei Bedarf kann die Zuordnungsdatei der Pseudonyme zu Klarnamen ebenfalls verschlüsselt werden.
Diese Option steht nur zur Verfügung, wenn der Snapshot pseudonymisiert werden soll und die
entsprechende Option Snapshot pseudonymisieren aktiviert ist:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 37
Das Erstellen der Snapshots erfolgt über die Schaltfläche wird geprüft, ob
entsprechende Schutzmaßnahmen zum Scannen personenbezogener Daten getroffen wurden
(Verbindung über SNC, Verschlüsselung des Snapshots, Pseudonymisierung etc.). Sofern keine der
eben genannten Schutzmaßnahmen aktiviert wurden, erscheint vorab folgender Warnhinweis:
Im nächsten Schritt wird ein Dialogfenster zum Abspeichern der Snapshot-Datei geöffnet:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
38 Kapitel II - CheckScan 2021.2 (Scanmodul)
Die Namensgebung der zu speichernden Datei setzt sich wie folgt zusammen:
SystemID_Mandant_Datum_Uhrzeit.casnapshot
Nach dem Starten des Scans wird die Systemauswahl deaktiviert und in unterem Bereich werden die
zu scannende Tabellen angezeigt, sowie die voraussichtliche benötigte Zeit bis zum Abschluss des
Scans. Nach erfolgreicher Fertigstellung des Scanvorgangs wird ein Ergebnisfenster angezeigt:
Hinweis:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel II - CheckScan 2021.2 (Scanmodul) 39
Wird im Ergebnisfenster ein -Symbol angezeigt, handelt es sich um den Hinweis, dass einige
optionale Tabellen im Snapshot nicht berücksichtigt worden sind. Das Erstellen des Snapshots
erfolgte dennoch erfolgreich. Wird der Mauszeiger nun auf das angezeigte Symbol bewegt, erscheint
ein Fenster, welches die übersprungenen Tabellen in dem dazugehörigen Tabellen-Set anzeigt.
Hinweis:
Das oben beschrieben Verfahren ist für ABAP-Scans und HANA DB-Scans jeweils einzeln
durchzuführen. Mit dem Wechsel der Reiter ABAP Systeme zu HANA DB Systeme können die
jeweiligen Systemscans gestartet werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
41
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
42 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 43
Rückgängig
Wiederholen
Ergebnisexport abbrechen
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
44 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
1
Sofern für das Projekt in der gew ählten Sprache Übersetzungen gepflegt w urden
Die Schaltfläche bzw. ermöglicht das Ändern der Auflistungsreihenfolge in der Favoritenliste.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 45
Es öffnet sich ein Windows-Standarddialog zum Auswählen von Dateien, hier muss eine bereits
vorher erstellte Snapshot-Datei gewählt werden. Danach wird die Datei eingelesen:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
46 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Vor dem eigentlichen Import werden erste Informationen zu dem eingelesenen Snapshots in einer
Übersicht dargestellt:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 47
Zu diesen Informationen können optional Anmerk ungen zu den Mandanten oder Snapshots hinterlegt
werden. Alle hier angezeigten und optional zusätzlich gepflegten Informationen werden später
ebenfalls in der Verwaltung der Snapshots angezeigt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
48 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Über die Schaltfläche kann der Import und damit die Aufbereitung der Snapshot-Daten in
der CheckAud-Datenbank gestartet werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 49
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
50 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Die in der CheckAud-Datenbank enthaltenen Snapshots können über Gruppen organisiert werden.
Die Standard Gruppe ist systemseitig vorgegeben und nimmt alle Snapshots auf, wenn diese beim
Import nicht explizit einer neuen Gruppe zugewiesen worden sind.
Über die Schaltfläche können eigene Gruppen erstellt und die Snapshots via
Drag&Drop diesen dann zugeordnet werden. Dabei werden dann innerhalb der Gruppen die
Snapshots automatisch wieder nach System / Mandant / Tenant als Untergruppe gruppiert.
Abbildung 48 - Erstellung einer eigenen Snapshot-Gruppe und Zuw eisung eines Snapshots
Die Gruppierung kann später bei der Auswahl in den Einstellungen des Analyseprojektes
entsprechende Anwendung finden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 51
CheckAud ist mehrsprachig nutzbar. Dabei stehen im Standard die Programmfunktionen sowie die
Inhalte der im Standard ausgelieferten Analyseprojekte sowohl in Deutsch als auch Englisch zur
Verfügung. Der Wechsel der Sprache erfolgt über die Schaltflächen bzw. .
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
52 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Je nach Einstellung wird CheckAud immer in dieser gewählten Sprache gestartet, kann aber im
laufenden Betrieb jederzeit gewechselt werden.
Dialoge:
Einige Dialoge können mit der Option Nicht wieder anzeigen ausgeblendet werden. Mit dieser
Schaltfläche lassen sich ausgeblendete Dialoge wieder anzeigen.
Server:
Die während der Installation vorgenommenen Einstellungen zur Serveradresse und -port werden
angezeigt. Es ist nicht möglich, diese Einstellungen zu ändern.
Hier vorgenommene Einstellungen für den Export von ausgewerteten Analyseprojekten gelten
programmglobal und werden automatisch bei der Erstellung neuer Analyseprojekte als
Standardeinstellung in das Projekt überführt. Im jeweiligen Analyseprojekt können diese
Einstellungen vom programmglobalen Standard abweichend konfiguriert werden. Weitere
Informationen finden sich hierzu im Kapitel Einstellungen 145 für Teil-/Gesamtexporte.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 53
Abbildung 54 -
Docking-Navigationskreuz
Die äußeren Punkte der Navigationskreuz stehen für oben, rechts, unten und links. Der mittlere
Punkt stellt die Standardansicht wieder her. Alternativ kann zum Wiederherstellen der
Standardansicht auch der Kontextmenüeintrag Standard-Layout wiederherstellen verwendet werden,
sobald man per Linksklick auf eine Fenstertitelleiste klickt. Mit Schließen von CheckAud wird das
individuell eingerichetete Layout der Oberfläche gespeichert. Dies sorgt dafür, dass das Layout beim
nächsten Start von CheckAud bestehen bleibt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
54 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Die Textinhalte der Elemente im Analyseprojekt können über die Zwischenablage kopiert werden. Im
u. s. Beispiel ist der kopierte Wert FB03 - Beleg anzeigen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 55
III - 2 Analyseprojekte
III - 2.1 Einführung
Analyseprojekte enthalten neben den technischen Abfragen sämtliche Einstellungen, Vorgaben und
Informationen zur Durchführung einer Prüfung. Dabei kann die Struktur des Analyseprojektes die
Vorgehensweise bei der Prüfungsdurchführung widerspiegeln. Weiterhin können an einem
Analyseprojekt folgende Einstellungen / Informationen hinterlegt werden:
· Filter, es können bestimmte Benutzerkonten für die Auswertung ein- bzw. ausgeschlossen
werden. Dabei stehen umfassende Auswahlkriterien wie Benutzerattribute (Status, Gültig bis,
Namensraum) und Rollen bzw. Profile zur Verfügung.
· Variablen, es können Vorgaben für die in den Analyseprojekten variabel gestalteten Abfragen
(Abfragen mit Bezug auf org. Ebenen wie z. B. Buchungskreise, Geschäftsbereiche) definiert
werden.
· Einstellungen des Risikomanagements, hier werden die Bewertungen für das hinter der techn.
Abfrage stehende Risiko hinterlegt. Dabei werden fachliche Beschreibungen des Risikos, Angaben
zur Schadenswirkung bzw. organisatorische Kontrollen hinterlegt, die ggf. die Schadenswirkung
kompensieren können.
· Dokumentation, es können hier Schlagworte (Tags) zum Suchen innerhalb des Projektes hinterlegt
werden. Zusätzlich können weiterführende Informationen hinsichtlich Anwendungsbereichs und
Zielsetzung zur technischen Berechtigungsabfrage gepflegt werden.
Bereits erstellte Analyseprojekte können per Doppelklick aus dem Windows Explorer heraus direkt
mit CheckAud zusammen geöffnet werden. Die Projektdateien sind an der Dateiendung .caproject
und dem Icon erkennbar.
Projekt
Startpunkt einer jeden Analyse ist das Analyseprojekt. Einstellungen zur Analyse auf dieser Ebene
werden auf alle untergeordneten Elemente vererbt. Das Element kann beliebig in Deutsch bzw.
Englisch benannt werden. Durch gedrückt halten der Strg-Taste und einem Mausklick auf den Pfeil
links neben dem Symbol Projekt können sämtliche Unterpunkte des Projektes expandiert bzw.
komprimiert werden.
Ordner
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
56 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Ordner stellen organisatorische Container innerhalb des Projektes dar. Ein Ordner selbst kann
Einstellungen erben bzw. durch eine Vererbungsunterbrechung neue Einstellungen zur Analyse
vorgeben, die dann auf untergeordnete Elemente vererbt werden. Das Element kann beliebig in
Deutsch bzw. Englisch benannt werden. Durch gedrückt halten der Strg-Taste und einem Mausklick
auf den Pfeil links neben dem Symbol Ordner können sämtliche Unterpunkte des Ordners expandiert
bzw. komprimiert werden.
Berechtigungsabfrage
Die Berechtigungsabfrage ist die technische Prüfung auf (beliebig einstellbare) Kombinationen von
Berechtigungsobjekten, die ein Benutzer auf Grund seiner Rollen-, Profil- oder
Referenzbenutzerzuordnung erhalten kann. Hinter dieser Berechtigungsabfrage steht im Allgemeinen
ein Risiko, das durch die Prüfung inkl. der an der Berechtigungsabfrage hinterlegten Bewertung
quantifiziert wird. Das Element kann beliebig in Deutsch bzw. Englisch benannt werden.
Berechtigungsabfrage (Referenz)
Analysebaum (Referenz)
Dokumente (Referenz)
Hierbei handelt es sich um seitens der IBS Schreiber GmbH vorgegebene tabellarische Abfragen.
Eine tabellarische Abfrage besteht aus einer Zusammenführung (JOIN) von einer oder mehrerer SAP-
Tabellen bzw. HANA Datenbanktabellen, welche gemäß Tabellen-Set 11 mit dem Snapshot
ausgelesen wurden. Zusätzlich können Filterungen der Tabelleninhalte sowie Vorgaben zur
Auswertung hinterlegt werden. Zusammensetzung und ausgewählte Tabellen einer referenzierten,
tabellarischen Abfrage können nicht geändert werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 57
Tabellarische Abfrage
Hierbei handelt es sich um eine selbsterstellte, tabellarische Abfrage. Hier können alle im Snapshot
enthaltenen SAP-Tabellen bzw. HANA Datenbanktabellen für beliebe JOIN-Verknüpfungen und
Filterungen verwendet werden.
Parameterabfrage
Hierbei handelt es sich um eine Prüfung eines oder mehrerer SAP-Systemparameter. Sofern diese
mit dem Snapshot zur Verfügung gestellt werden (siehe Kapitel Parameter 24 ), können die
Parameter gegen definierte Sollvorgaben geprüft werden.
1Essei denn, es handelt sich bei dem Ordner um ein Element eines referenzierten Analysebaums, der in das eigene
Analyseprojekt eingebunden w urde.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
58 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Durch Anklicken der Schaltflächen Benutzer, Sammelrollen, Einzelrollen kann definiert werden,
welche Ebene der Berechtigungsauswertung aktiviert werden soll. Sofern bspw. Auswertungen der
Sammel-/Einzelrollen nicht benötigt werden, können diese deaktiviert und damit das
Laufzeitverhalten während der Auswertung verbessert werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 59
Durch Anklicken der Schaltflächen Benutzer bzw. Rollen kann definiert werden, welche Ebene der
Berechtigungsauswertung aktiviert werden soll. Sofern bspw. Auswertungen der Rollen nicht benötigt
werden, können diese deaktiviert und damit das Laufzeitverhalten während der Auswertung
verbessert werden:
Bei der Erstellung des Berechtigungskonzeptes werden allerdings auch solche Transaktionen im
Rollenbau berücksichtigt, in der Regel werden die Rollen aus dem ERP-System für das BW-System
angepasst. Damit beinhalten die Rollen im BW auch Transaktionen, welche das BW nicht kennt,
diese Transaktionen können im BW demnach auch nicht ausgeführt werden und haben keine
Auswirkung.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
60 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Um solche Transaktionen bei der Analyse auszuschließen, besteht die Möglichkeit im Projektreiter
„Analyse-Einstellungen“ jene Abfragen auszulassen, die „nicht existierende Transaktions-Codes“
beinhalten. Damit werden bei der Analyse nur jene Abfragen ausgewertet, die wirklich für das
jeweilige System relevant sind.
Beim Vergleich der Auswertungen ohne Einschränkung auf nicht existente Transaktionen und mit
Einschränkung ist ersichtlich, dass die Transaktionen FA39 sowie SC38 nicht mehr erscheinen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 61
Der Vergleich der beiden Auswertungen, ohne Einschränkung auf gesperrte Transaktionen und mit
Einschränkung, zeigt das Ergebnis, dass die Transaktion SE80 fehlt, da es sich um eine gesperrte
Transaktion handelt.
Beide Ausschlussvarianten werden projektbezogen aktiviert und sind dann sinnvoll, wenn bei der
Analyse der Fragestellung nachgegangen werden soll, welche Benutzer bestimmte Vorgänge
ausführen können. In diesem Fall werden die Benutzer herausgefiltert, die zwar berechtigt sind,
jedoch die Transaktion dennoch nicht ausführen können, da diese gesperrt bzw. nicht existent sind.
Soll jedoch eine Analyse auf die korrekte Ausprägung der Rollen durchgeführt werden, müssen
gesperrte oder inexistente Transaktionen inkludiert bleiben. Nur so erhält man eine umfassende
Aussage zur Rollenausprägungen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
62 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Die Auswahl des Snapshots erfolgt entweder direkt mit Auswahl des gewünschten Datums, an dem
der Snapshot erstellt wurde, oder variabel über die Option Automatisch den jüngsten Snapshot
verwenden. In dieser Einstellung wird bei mehreren Snapshots desselben Systems / Mandanten
automatisch die aktuelle Version aus der Datenbank ausgewählt. Wird diese Analyse-Einstellung auf
Ebene des Analyseprojektes bzw. eines Ordners angewendet, wird diese über die Vererbung an alle
untergeordneten Elemente weitergegeben.
Weiterhin besteht die Möglichkeit, einen zusätzlichen Snapshot für einen Vergleich auszuwählen.
Der Snapshot-Vergleich unterstützt bei der Durchführung von Follow-Up-Prüfungen (Delta-Analysen
zweier Snapshots desselben Systems). Die Ergebnisse eines Vergleiches beziehen sich dabei nur
auf die Anzahl der berechtigten Benutzer. Dies ermöglicht einen einfachen Überblick über
Änderungen an Benutzer-Berechtigungen und erleichtert die Benutzer-Rezertifizierung.
Für die Auswahl des zu vergleichenden Snapshots wird abhängig vom gewählten Standard-Snapshot
die zum dadurch vorgegebenen System/Mandanten passenden, älteren Snapshots im zweiten
DropDown-Menü gelistet.
Sollten zu dem im Standard gewählten Snapshot keine weiteren passenden Snapshots vorliegen, ist
keine Auswahl für den Vergleich möglich.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 63
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
64 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Wird in den Analyse-Einstellungen ein Snapshot ausgewählt und befinden sich in den
Berechtigungsabfragen des Analyseprojektes/des gewählten Ordners variable Prüfwerte, werden
diese unter dem Reiter Variablen aufgelistet:
Variable Prüfwerte können über die Schaltfläche ausgeprägt werden. Dabei muss neben dem
Feldwert auch der logische Vergleichsoperator definiert werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 65
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
66 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Hinweis: die Eingabefelder für die Vergleichskriterien verfügen über eine Such- und Auto-
Vervollständigen-Funktion. Es werden entsprechende Vorschlagswerte passend zum Feld
angeboten.
Durch Anklicken der Schaltfläche öffnet sich zusätzlich ein DropDown mit der Listung aller
verfügbaren Feldwerte. Diese Funktion steht nur zur Verfügung, wenn im Scanmodul die für die
Erstellung des Snapshots die Option Vorschlagswerte für Org-Ebenen auslesen aktiviert ist.
Eine genaue Beschreibung der zur Verfügung stehenden Vergleichsoperatoren findet sich im Kapitel
Vergleichsoperatoren für Feldwerte 219 .
Nach einem Export der vordefinierten Filtereinstellungen stehen diese als Schnellzugriff über die
Hinweis: Die zuletzt verwendeten Filtereinstellungen sind auch nach dem Schließen des Projektes
oder der Software weiterhin in der Auflistung aufgeführt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 67
Hinweis: der Reiter Variablen wird nur bei ABAP Systemen angezeigt.
Für die Definition der Benutzerfilter können Ein- bzw. Ausschlusskriterien definiert werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
68 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
· Benutzergruppe
Für die Filterkriterien (abhängig vom Attribut) stehen folgende Vergleichsoperatoren zur Verfügung:
· gleich
· ungleich
· wie
· nicht wie
· enthält
· enthält nicht
· kleiner als
· größer als
· kleiner gleich
· größer gleich
Wird diese Analyse-Einstellung auf Ebene des Analyseprojektes bzw. eines Ordners angewendet,
wird diese über die Vererbung an alle untergeordneten Elemente weitergegeben.
Sind noch keine Filterkriterien definiert, werden Standard-Filter angeboten. Diese sind über die
Schaltfläche zu aktivieren.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 69
Über die Schaltfläche können Filter geladen oder gespeichert werden. Ein
Import von Filterkriterien aus einer TXT-Datei wird ebenfalls angeboten. Darüber können mehrere
Filtereinstellungen (z. B. auf Benutzer-ID) schnell eingelesen werden. Die TXT-Datei darf dabei pro
Zeile nur eine Benutzer-ID enthalten haben:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
70 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Über die Schaltfläche öffnet sich ein Dialogfenster zur Auswahl von
bereits vorher gespeicherten Benutzerfiltern. Hier muss das Dateiformat von *.causerfilter
auf *.txt umgestellt werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 71
Hinweis: die Eingabefelder für die Vergleichskriterien verfügen über eine Such- und Auto-
Vervollständigen-Funktion. Es werden entsprechende Vorschlagswerte passend zum Feld
angeboten.
Durch Anklicken der Schaltfläche öffnet sich zusätzlich ein DropDown mit der Listung aller
verfügbaren Feldwerte.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
72 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Für die Definition der Berechtigungsfilter können Ein- bzw. Ausschlusskriterien definiert werden. Für
den Berechtigungsfilter stehen folgende Kriterien der Berechtigungsherkunft zur Verfügung:
· Einzelprofil
· Sammelprofil
· Einzelrolle
· Sammelrolle
· Referenzbenutzer
Abbildung 91 - Einschlusskriterium
Benutzer mit dem Profil SAP_ALL und Benutzer mit einer oder mehreren, berechtigten Rolle(n) /
eines oder mehreren berechtigten Referenzbenutzer(n), werden angezeigt. Benutzer, die die
Berechtigung ausschließlich über Profilvergabe bekommen, und nicht SAP_ALL haben, werden nicht
angezeigt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 73
Abbildung 92 - Einschlusskriterium
Hier werden Benutzer angezeigt, welche die ausgewertete Berechtigung über Sammelprofile erhalten
haben, die teilweise oder vollständig mit der eingegebenen Profilbezeichnung übereinstimmt. Der
Vergleichsoperator kann mit der Wildcard * am Ende der Zeichenkette verwendet werden.
Abbildung 93 - Ausschlusskriterium
Es werden nur Benutzer angezeigt, welche die ausgewertete Berechtigung nicht über das
Sammelprofil SAP_ALL erhalten haben.
Abbildung 94 - Ausschlusskriterium
Es werden nur Benutzer angezeigt, welche die ausgewertete Berechtigung nicht über Sammelprofile
mit der Zeichenfolge SAP erhalten haben.
Hinweis: die Eingabefelder für die Vergleichskriterien verfügen über eine Such- und Auto-
Vervollständigen-Funktion. Es werden entsprechende Vorschlagswerte passend zum Feld
angeboten.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
74 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Durch Anklicken der Schaltfläche öffnet sich zusätzlich ein DropDown mit der Listung aller
verfügbaren Feldwerte.
Ordnerebene: Einstellungen werden durch die Vererbung übernommen, alternativ kann auf
Ordnerebene die Vererbung unterbrochen werden. In diesem Fall werden die neuen
Einstellungen ab dieser Ebene auf alle darunterliegenden Elemente vererbt.
Abfrageebene: Einstellungen werden über die Vererbung übernommen, alternativ kann auf
Abfrageebene die Vererbung unterbrochen werden. In diesem Fall gelten für diese Abfragen
eigene Einstellungen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 75
Danach können dann für diese Ebene neue Snapshot-Einstellungen, Variablen und Filterungen
gesetzt werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
76 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 77
Wird die Vererbung der Analyse-Einstellungen in einzelnen Abfragen oder Ordnern unterbrochen, so
kann die Unterbrechung über diese Funktion sichtbar gemacht werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
78 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Eigene Elemente im Analyseprojekt (Ordner oder Abfragen) können mit der Schaltfläche
umbenannt werden. Dabei gibt es die Möglichkeit, den Eintrag für Deutsch als auch für Englisch
vorzunehmen:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 79
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
80 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 81
Alternativ kann die gewählte Berechtigungsabfrage auch über die Schaltfläche ausgewertet bzw.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
82 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Sollte für die Auswertung ein zusätzlicher Snapshot für den Vergleich ausgewählt worden sein,
werden die Ergebnisse des Vergleichs wie folgt dargestellt:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 83
Alternativ kann die gewählte Berechtigungsabfrage auch über die Schaltfläche ausgewertet bzw.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
84 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Sollte für die Auswertung ein zusätzlicher Snapshot für den Vergleich ausgewählt worden sein,
werden die Ergebnisse des Vergleichs wie folgt dargestellt:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 85
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
86 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Alternativ kann die gewählte tabellarische Abfrage auch über die Schaltfläche ausgewertet bzw.
Hinweis: das beschriebene Vorgehen zur Auswertung von Tabellenabfragen gilt für ABAP- und
HANA DB-Systeme.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 87
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
88 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Alternativ kann die gewählte Parameterabfrage auch über die Schaltfläche ausgewertet bzw. kann
Hinweis: Die Parameterwerte können mit Hilfe der Option Parameterwerte auslesen in CheckScan
ausgelesen werden. (siehe Kapitel Parameterwerte auslesen 24 )
Hinweis: Nur von SAP-Systemen ab dem Release 7.40 können Parameter ausgelesen werden.
Hinweis: für HANA DB-Systeme stehen derzeit keine Parameterauswertungen zur Verfügung.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 89
werden. Über die Schaltflächen bzw. kann die Gesamtanalyse gestartet bzw. gestoppt
werden.
Das Symbol zeigt an, dass für die betreffende Abfrage noch Berechnungen laufen.
III - 4 Ergebnisdarstellung
Die Ergebnisse einer jeden Abfrage werden tabellarisch aufbereitet. Dabei gibt es je nach Abfrageart
mehrere Möglichkeiten, die Ergebnisdarstellung durch Sortierung, Filterung, Gruppierung sowie Ein-
und Ausblenden von Informationen zu optimieren.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
90 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
In der Tabelle können zu den Spalten weitere Informationen eingeblendet werden, sofern man mit der
Maus über ein Feld zeigt.
Im Standard wird das Abfrageergebnis rein tabellarisch dargestellt. Um für einen Benutzer in der
Tabelle die Herkunft der in der Abfrage enthaltenen Berechtigungsobjekte anzuzeigen, kann per Klick
auf die Tabellenzeile des betreffenden Benutzers ein Detailfenster zur Rechteherkunft im unteren
Bereich eingeblendet werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 91
Abbildung 120 - Ergebnisdarstellung inkl. Rechteherkunft für einen gew ählten Benutzer
Neben der reinen Anzeige der Objekte, Rollen, Profile und Benutzer werden auch die
entsprechenden Langtexte angezeigt.
Abbildung 121 - Auflistung der Anw endungs-, Fiori App- bzw . Transaktionsberechtigungen
Durch das Expandieren des Baums kann die für den Benutzer tatsächliche
Berechtigungsausprägung inkl. der Rechteherkunft aufgeschlüsselt werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
92 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
generiertes Profil
SAP Einzelrolle
SAP Sammelrolle
SAP Standard-Einzelprofil
SAP Standard-Sammelprofil
Referenzbenutzer
Transaktionsberechtigung kann über die Schaltfläche zur Darstellung aus Sicht der beteiligten
Rollen gewechselt werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 93
Abbildung 123 - Rechteherkunft eines Benutzers aus Sicht der beteiligten Rollen
1 2 3 4 5
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
94 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Bei der Ergebnisdarstellung werden für den Vergleich zweier Aufnahmen folgende Symbole
verwendet:
6 7
Abbildung 125 - Hinw eis auf unterschiedliche Abfragezusam m ensetzung beim Vergleich
Die Unterschiede der verwendeten Abfrage bezogen auf den Snapshot können mit Klick auf den Link
unterschiedliche Abfragen angezeigt werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 95
Abbildung 126 - Hinw eis auf unterschiedliche Abfragezusam m ensetzung beim Vergleich
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
96 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 97
Abbildung 129 - Auflistung der Anw endungs- bzw . Transaktionsberechtigungen der Sam m elrolle
Mit der Auswahl des Reiters Benutzer werden alle in der Sammelrolle hinterlegten Benutzer
aufgelistet.
Der Rollenzuweisungs-Pfad des einzelnen Benutzers lässt sich beim Auswählen des Benutzers
anzeigen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
98 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Mit der Auswahl einer einzelnen Einzelrolle lassen sich die Rechteherkünfte dieser ausgewählten
Einzelrolle darstellen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 99
Abbildung 134 - Auflistung der Anw endungs bzw - Transaktionsberechtigungen einer Einzelrolle
Mit der Auswahl des Reiters Benutzer werden alle in der Einzelrolle hinterlegten Benutzer aufgelistet.
Der Rollenzuweisungs-Pfad des einzelnen Benutzers lässt sich beim Auswählen des Benutzers
anzeigen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
100 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Durch einen Klick auf das Symbol werden weitere Informationen zu:
· Abgefragten Berechtigungsobjekten
· Berechtigungen
· Einzel- und Sammelprofilen
· Einzel- und Sammelrollen
· Referenzbenutzern
· Benutzern
angezeigt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 101
Je nach gewähltem Detail-Fenster unterscheidet sich die dargestellte Information sowie deren
Anordnung. Entsprechende Basis-Informationen finden sich, sofern verfügbar, in allen Fenstern.
3 - Verlauf: Felder mit blauer Schrift bieten die Möglichkeit, sich das jeweilige Objekt in
einer eigenen Detail-Ansicht anzeigen zu lassen. Beginnend aus dem ersten aufgerufenen Detail-
Fenster wird bei weiteren Absprüngen ein Verlauf erzeugt. Somit lassen sich
Absprünge nachvollziehen, und es besteht jederzeit die Möglichkeit zur vorherigen Information bzw.
zum ersten Detail-Fenster zurückzuspringen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
102 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
In der Registerkarte Allgemein befinden sich Angaben zu der Berechtigung und dem
Berechtigungsobjekt. In welcher Einzelrolle / Einzelprofilen die Berechtigung zu finden ist, kann der
rechten Seite des Details-Fensters entnommen werden. Ein Klick auf die Objekte mit blauer Schrift
navigiert zur jeweiligen Detail-Ansicht.
Registerkarte: Feldwerte
In der Registerkarte Feldwerte werden die zur Berechtigung gehördenden Felder und Feldwerte
angezeigt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 103
In der Registerkarte Allgemein & Berechtigung befinden sich Angaben zu dem Einzelprofi und den in
dem Einzelprofil enthaltenen Berechtigungen sowie deren Beschreibung. Ein Klick auf die Objekte
mit blauer Schrift navigiert zur jeweiligen Detail-Ansicht.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
104 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Die Registerkarte Profile und Rollen gibt Auskunft darüber, ob das Einzelprofil in Sammelprofilen
enthalten ist. Der Zuordnungsfilter ermöglicht eine Filterung der Sammelprofile nach folgenden
Kriterien: alle, direk t, über Sammelprofil. Des Weiteren kann auch die Fragestellung beantwortet
werden, ob das Einzelprofil in einer Einzel- bzw. Sammelrolle enthalten ist. Durch Aufklappen der
Sammelrolle ist es möglich nachzuvollziehen, über welche Pfade das Profil in der entsprechenden
Sammelrolle enthalten ist. Ein Klick auf die Objekte mit blauer Schrift navigiert zur jeweiligen Detail-
Ansicht.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 105
Registerkarte: Benutzer
In der Registerkarte Benutzer befinden sich alle Benutzer, die dem ausgewählten Einzelprofil
zugeordnet sind. Der Zuordnungsfilter ermöglicht eine Filterung der Sammelprofile nach folgenden
Kriterien: alle, direk t, über Referenzbenutzer, über Sammelrolle, über Einzelrolle, über
Sammelprofil. Durch Aufklappen des jeweiligen Benutzers ist es möglich nachzuvollziehen, aus
welcher Einzelrolle oder Sammelrolle bzw. der darin enthaltenen Einzelrollen und deren Profile der
Benutzer das entsprechende Profil erhält. Ein Klick auf die Objekte mit blauer Schrift navigiert zur
jeweiligen Detail-Ansicht.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
106 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Die Registerkarte Berechtigungen gibt die im Profil enthaltenen Berechtigungen inklusive der darin
enthaltenen Berechtigungsobjekte, Berechtigungsfelder und Feldausprägungen an. Durch Aufklappen
der im Profil enthaltenen Berechtigung ist es möglich nachzuvollziehen, woher die Berechtigung
ihre Berechtigungs-Feldwerte erhält. Ein Klick auf die Objekte mit blauer Schrift navigiert zur
jeweiligen Detail-Ansicht.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 107
In der Registerkarte Allgemein befinden sich Angaben zu dem Sammelprofil und den im Sammelprofil
enthaltenen Einzelprofilen, sowie deren Beschreibung. Ein Klick auf die Objekte mit blauer Schrift
navigiert zur jeweiligen Detail-Ansicht.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
108 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
In der Registerkarte Allgemein befinden sich Angaben zu der Einzelrolle wie z. B. die Beschreibung,
der Anleger etc. In welchen Sammelrollen / Profilen die Einzelrolle zu finden ist, kann der rechten
Seite des Detail-Fensters entnommen werden. Ein Klick auf die Objekte mit blauer Schrift navigiert
zur jeweiligen Detail-Ansicht.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 109
Registerkarte: Allgemein
In der Registerkarte Allgemein befinden sich weitreichende Angaben wie z. B. Name, Gültigkeit,
Benutzertyp etc. zu dem ausgewählten Benutzer.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
110 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Registerkarte: Rollen
In der Registerkarte Rollen kann nachvollzogen werden, welche Einzel- bzw. Sammelrollen dem
Benutzer zugeordnet sind. Der Zuordnungsfilter ermöglicht eine Filterung der zugeordneten Rollen
nach folgenden Kriterien: alle, direk t, über Referenzbenutzer, über Sammelrolle. Durch Aufklappen
der jeweiligen Rolle kann z. B. nachvollzogen werden, ob eine Einzelrolle aus einer Sammelrolle
stammt oder ob Referenz-Benutzer vorhanden sind. Ein Klick auf die Objekte mit blauer Schrift
navigiert zur jeweiligen Detail-Ansicht.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 111
Registerkarte: Profile
In der Registerkarte Profile kann nachvollzogen werden, welche Einzel- bzw. Sammelprofile dem
Benutzer zugeordnet sind. Der Zuordnungsfilter ermöglicht eine Filterung der zugeordneten Profile
nach folgenden Kriterien: alle, direk t, über Referenzbenutzer, über Sammelrolle, über Einzelrolle,
über Sammelprofil. Durch Aufklappen des jeweiligen Profils kann z. B. nachvollzogen werden, ob
ein Einzelprofil aus einem Sammelprofil stammt. Ein Klick auf die Objekte mit blauer Schrift navigiert
zur jeweiligen Detail-Ansicht.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
112 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 113
In der Tabelle können zu den Spalten weitere Informationen eingeblendet werden, sofern man mit der
Maus über ein Feld zeigt.
Im Standard wird das Abfrageergebnis rein tabellarisch dargestellt. Um für einen Benutzer in der
Tabelle die Herkunft der in der Abfrage enthaltenen Berechtigungen anzuzeigen, kann per Klick auf
die Tabellenzeile des betreffenden Benutzers ein Detailfenster zur Rechteherkunft im unteren Bereich
eingeblendet werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
114 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Abbildung 152 - Ergebnisdarstellung inkl. Rechteherkunft für einen gew ählten Benutzer
Die Rechteherkunft wird im Standard getrennt nach HANA DB Berechtigungsarten angezeigt. Die
Berechtigungsarten können sein:
Durch das Expandieren des Baums kann die für den Benutzer tatsächliche Rechteherkunft
aufgeschlüsselt werden:
Systemberechtigung
Objektberechtigung
Paketberechtigung
Anwendungsberechtigung
Analyseberechtigung
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 115
Rolle (generisch)
Repository-Rolle
Katalog-Rolle
Inhaber (Grantor)
Transaktionsberechtigung kann über die Schaltfläche zur Darstellung aus Sicht der beteiligten
Rollen gewechselt werden:
Abbildung 154 - Rechteherkunft eines Benutzers aus Sicht der beteiligten Rollen
1 2 3 4 5
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
116 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Mit der Auswahl einer einzelnen Rolle, lassen sich die Rechteherkünfte dieser ausgewählten Rolle
darstellen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 117
Mit der Auswahl des Reiters Benutzer werden alle in der Sammelrolle hinterlegten Benutzer
aufgelistet.
Der Rollenzuweisungs-Pfad des einzelnen Benutzers lässt sich beim Auswählen des Benutzers
anzeigen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
118 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 119
In der Tabelle können zu den Spalten weitere Informationen eingeblendet werden, sofern man mit der
Maus über ein Feld zeigt.
Die Spalte Bewertung zeigt an, ob der Tabelleneintrag den Vorgaben entspricht:
Bewertungskriterium nicht erfüllt
Bewertungskriterium erfüllt
Die Bewertung der Tabelleneinträge kann über den Reiter Bewertung vorgenommen werden. Details
hierzu finden sich im Kapitel Eigene Tabellenabfragen 250
Erfüllte Vorgaben werden nach der durchgeführten Analyse mit -Symbol gekennzeichnet.
Weichen die in CheckAud hinterlegten Vorgaben von den im SAP-System eingestellten
Parameterwerten ab, werden diese mit ein -Symbol gekennzeichnet.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
120 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Vorgabe erfüllt und Konsistent Die Vorgabe ist erfüllt, der Parameter ist auf allen
SAP-Systeminstanzen einheitlich
Vorgabe erfüllt und nicht Konsistent Die Vorgabe ist erfüllt, der Parameter ist nicht auf
allen SAP-Systeminstanzen einheitlich
Vorgabe nicht erfüllt und Konsistent Die Vorgabe ist nicht erfüllt, der Parameter ist auf
allen SAP-Systeminstanzen einheitlich
Vorgabe nicht erfüllt und nicht Konsistent Die Vorgabe ist nicht erfüllt, der Parameter ist nicht
auf allen SAP-Systeminstanzen einheitlich
Keine Vorgabe und Konsistent Keine Vorgabe gepflegt, der Parameter ist auf allen
SAP-Systeminstanzen einheitlich
Keine Vorgabe und nicht Konsistent Keine Vorgabe gepflegt, der Parameter ist nicht auf
allen SAP-Systeminstanzen einheitlich
Das -Symbol ruft die SAP-Dokumentation des ausgewählten Parameters auf. Die in der
Dokumentation beinhalteten detaillierten Informationen wurden aus dem SAP-System ausgelesen
und übernommen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 121
Es kann immer nur nach einer Spalte in der Tabelle sortiert werden. Alternativ kann zur Konfiguration
der Sortierung auch das Kontextmenü (rechter Mausklick auf betreffende Spalte) genutzt werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
122 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Hinweis: nicht alle Spaltenköpfe in den Tabellen lassen sich in der Reihenfolge ändern.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 123
Die Spalten können via Kontextmenü, Eintrag Sichtbare Spalten, wieder eingeblendet werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
124 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 125
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
126 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Alternativ kann auch das Kontextmenü per Rechtsklick auf den Spaltenkopf zum Gruppieren nach
Spalten genutzt werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 127
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
128 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 129
Es gibt die Möglichkeit, das Speichern, Zurücksetzen oder Wiederherstellen des Layouts auch im
Tabellenkopf durchzuführen.
Nachdem die Gruppierung eingerichtet und gespeichert wurde, kann das Layout exportiert werden.
Dies ermöglicht dem Import des Layouts mit der erstellten Gruppierung in weitere Projekte
einzufügen.
Hinweis: das Layout der Tabellenansicht wirkt sich ebenfalls auf die aus den Ergebnissen erstellten
Excel-Exporten und aus. Hier werden die gleichen Spalten-Reihenfolgen, Sortierungen etc.
angewendet, wie es vom Layout der Tabelle in CheckAud vorgegeben wurde.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
130 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Die Ergebnisdatei wird standardmäßig als Excel Arbeitsmappe (*.xlsx) erstellt und beinhaltet
mehrere Tabellenblätter:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 131
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
132 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 133
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
134 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 135
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
136 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Wird nun die Schaltfläche für den Export betätigt, erscheint wieder das bekannte Dialogfenster
zur Angabe des Speicherpfades:
Im Unterschied zum Export einer einzelnen Abfrage wird beim Teil- oder Gesamtexport als
Dateiformat HTML vorgegeben. Es wird eine HTML-Übersichtsseite generiert, automatisch wird im
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 137
selben Speicherort ein Unterverzeichnis mit den einzelnen Excel-Dokumenten zu jeder im Teilexport
enthaltenen Abfrage erstellt. In der HTML-Übersicht werden dann Links auf diesen Speicherort
gesetzt, so dass man komfortabel aus der bekannten Analyseprojektstruktur den gewünschten
Export öffnen kann.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
138 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Beim Teil- bzw. Gesamtexport werden zusätzliche Sammelexporte erzeugt, welche mehrere
Einzelexporte aggregieren. Diese können über die HTML-Ansicht aufgerufen werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 139
Einzelrollen-Berechtigungs-Matrix (xlsx-
Gegenüberstellung von Einzelrollen zu Berechtigungen
Datei)
Sammelrollen-Berechtigungs-Matrix (xlsx- Gegenüberstellung von Sammelrollen zu
Datei) Berechtigungen
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
140 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 141
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
142 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 143
Um die detaillierte Auflistung der Rechteherküfte eines (in diesem Beispiel) Benutzers in der
Benutzer-Berechtigungs-Matrix aufzurufen, kann die Zelle des Schnittpunktes von Benutzer zu
Berechtigung per Klick angewählt werden. Es öffnet sich der jeweilige Einzelexport der
betreffenden Berechtigung mit der ebenfalls bereits gesetzten Markierung des Benutzers und seiner
Rechteherkünfte:
Hinweis: diese Funktion wird ebenfalls in der Einzelrollen-Matrix sowie in der Sammelrollen-Matrix
zur Verfügung gestellt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
144 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Der Export einzelner Ergebnisse wird über die Schaltfläche gestartet. Für die Exportdateien kann
bei Bedarf eine Verschlüsselung zur sicheren Datenablage aktiviert werden:
Beim Teil-/Gesamtexport besteht ebenfalls die Möglichkeit, eine Verschlüsselung für die zu
erstellenden Exportdateien zu aktivieren. Hierbei wird allerdings nicht jede einzelne Datei
verschlüsselt sondern statt dessen ein ZIP-Archiv mit entsprechender Verschlüsselung der Inhalte
erzeugt:
Die mit dem Windows Explorer kompatible ZipCrypo Verschlüsselung errechnet aus dem
eingegebenen Kennwort einen 40Bit Schlüssel, mit welchem die ZIP-Inhalte kodiert werden. Dieses
Verfahren ist anfällig für einfache Brute-Force-Angriffe.
Die starke Verschlüsselung AES256 verwendet Blockchiffren nach dem Rijndael-Algorithmus und gilt
als eines der meistgenutzten und sichersten Verschlüsselungsverfahren. Zur Nutzung sind
Softwareprodukte von Drittherstellern notwendig. Es ist empfehlenswert, die Exporte aus CheckAud
mit dem AES256 Verfahren und einem komplexen, langen Kennwort zu verschlüsseln.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 145
Mit Hilfe der Schaltfläche hinter jedem Export lassen sich die Schnellzugriffe aus der Ansicht
entfernen. Bei Bedarf kann die Schnellzugriffsleiste mit der Schaltfläche im rechten, unteren
Programmfenster geschlossen werden
Hinweis: die Auflistung der zuletzt exportieren Ergebnisse beschränkt sich auf die jeweils geöffnete
Analyseprojektdatei. Mit Schließen der Projektdatei, werden bisher angezeigten Schnellzugriffe
entfernt. Die gespeicherten Exporte bleiben weiterhin am Speicherpfad vorhanden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
146 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
Bereich Einzelexporte:
Über die einzelnen Flags kann gesteuert werden, welche Einzelexport-Dateien bei der Durchführung
von Teil- oder Gesamtexporten erzeugt werden sollen. Deaktiviert man bspw. das Flag
Berechtigungsabfragen so wird beim nächsten Teil-/Gesamtexport keine Excel-Exportdateien der
ausgewerteten Berechtigungen erzeugt.
Bereich Sammelexporte:
Über die einzelnen Flags kann gesteuert werden, welche Sammelexport-Dateien bei der
Durchführung von Teil- oder Gesamtexporten erzeugt werden sollen. Deaktiviert man bspw. das Flag
Prüfbericht so wird beim nächsten Teil-/Gesamtexport keine Prüfbericht als Word-Dokument
erzeugt.
Bereich Berechtigungs-Matrizen:
Über diese Flags wird gesteuert, wie die verschiedenen Berechtigungs-Matrizen (Benutzer-
Berechtigungs-Matrix, Einzelrollen-Berechtigungs-Matrix, Sammelrollen-Berechtigungs-Matrix)
aufgebaut werden sollen.
Wenn aktiviert, werden alle analysierten Benutzer (bzw. Rollen) aus dem
SAP-System in die Berechtigungs-Matrix aufgenommen.
Alle Benutzer /bzw.
Rollen) exportieren Wenn deaktiviert, werden nur Benutzer (bzw. Rollen) exportiert, die einen
Eintrag (Berechtigung) haben. Benutzer (bzw. Rollen) ohne
Berechtigungen werden ausgelassen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 147
Bei der Analyse können Benutzerfilter gesetzt werden. Diese führen dazu,
dass manche Benutzer (bzw. Rollen) bei der Analyse nicht berücksichtig
werden.
Gefilterte Benutzer (bzw. Wenn aktiviert, werden die in der Analyse ausgefilterte Benutzer (bzw.
Rollen) exportieren Rollen) trotzdem in die Berechtigungs-Matrix aufgenommen (werden mit " -
" markiert).
Hinweis: ist das Flag Globale Export-Optionen verwenden aktiviert, so werden die Export-Optionen
aus den Programmeinstellungen von CheckAud für dieses geöffnete Projekt übernommen (siehe
Kapitel Einstellungen 51 ). Sollen abweichend von den globalen Export-Optionen für das geöffnete
Analyseprojekte eigene Optionen gesetzt werden, so muss das Flag Globale Export-Optionen
verwenden deaktiviert werden.
Wird das Flag Globale Export-Optionen verwenden wieder aktiviert, werden sofort die
programmglobalen Exporteinstellungen übernommen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
149
Kapitel IV - Risikomanagement
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
150 Kapitel IV - Risikomanagement
IV Risikomanagement
IV - 1 Einführung
Als signifikanter Bestandteil des Risikomanagements ermöglicht CheckAud eine gesonderte Sicht
auf die Ergebnisse der Berechtigungsprüfung und bietet eine effiziente Bewertung der
Systemsicherheit. Dabei können neben der technischen Berechtigungsvergabe auch
organisationsspezifische Besonderheiten wie technische und organisatorische Ausnahmeregelungen
gezielt in die Bewertung mit aufgenommen werden. Auf Basis dieser Informationen werden durch
CheckAud Kennzahlen (Scores) für alle Abfragen errechnet, die u.a. in grafischer Form den
Führungsebenen vorgelegt werden können. Mit diesen Kennzahlen lassen sich bspw. die Funktion
und Wirksamkeit des Risikomanagements dokumentieren, gezielt Berichte und Meldungen erzeugen
(ereignisgesteuertes Berichtswesen) oder Verbesserungen/Verschlechterungen der
Systemsicherheit im Rahmen von Berechtigungsprojekten aufzeigen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 151
Über den Reiter Dok umentation können für jede Berechtigungsabfrage in CheckAud weiterführende
Informationen hinterlegt werden, um die Priorisierung der Abfrage im Rahmen des
Risikomanagements besser einstufen zu können.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
152 Kapitel IV - Risikomanagement
Dabei werden durch die Eingabe von ein oder mehreren Stichwörter(n) und verschiedene
Schlüsselbegriffe entsprechende Abfragen, die diese Begriffe enthalten, aufgelistet.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 153
Zielsetzung (Objectives)
In diesem Freitextfeld kann das Ziel der Abfrage definiert werden. Somit wird näher beschrieben,
wozu die Abfrage dient und was das Ziel bei der Nachbesserung basierend auf den
Abfrageergebnissen sein soll. Die Informationen können in Deutsch und Englisch hinterlegt werden,
sofern über die Sprachauswahl zu einer anderen Sprache gewechselt wird.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
154 Kapitel IV - Risikomanagement
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 155
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
156 Kapitel IV - Risikomanagement
Es ist zu beachten, dass die Anpassung der Risikobeschreibung nur in dem jeweiligen Projekt
stattfindet. Im Reiter Dok umentation können die hier bereitgestellten Textfelder analog zur eben
beschriebenen Vorgehensweise editiert werden
Diese Ausprägung beeinflusst den errechneten Score. Details dazu sind im Kapitel Der Score eines
Analyseprojektes 169 zu finden.
Zusätzlich zur Auswirkung des Risikos einer Berechtigungsabfrage kann eine kompensierende
Kontrolle in CheckAud dokumentiert werden. Sofern eine technische Absicherung eines kritischen
Vorgangs über Berechtigungsvergaben im SAP-System nicht möglich ist, kann eine nicht-technische
Kontrolle eingerichtet werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 157
Die Ausprägung der Auswirkung eines Risikos erfolgt wie gehabt individuell. Über das Flag
Kompensierende Kontrolle definiert wird die Einstellung Verbleibende Auswirk ung aktiviert. Die
kompensierende Kontrolle soll die eigentliche Schadenswirkung durch die Definition einer
organisatorischen Handlung kompensieren. Somit muss die Verbleibende Auswirk ung definiert
werden, die geringer ist, als die Ausgangsauswirkung ohne kompensierende Kontrolle. Eine fachliche
Beschreibung inkl. Regelung zur Verantwortlichkeit unterstützt die Dokumentation dieser nicht-
technischen Kontrollmaßnahme. Durch die Definition dieser kompensierenden Kontrolle und der
damit verminderten Schadenswirkung verbessert sich der errechnete Score für diese
Berechtigungsabfrage. Details dazu sind im Kapitel Der Score eines Analyseprojektes 169 zu finden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
158 Kapitel IV - Risikomanagement
Bei selbstdefinierten Parameterabfragen kann die Auswirkung des Risikos selbst konfiguriert werden.
Weitere Informationen hierzu finden sich im Kapitel Anpassung der Analyseprojekte 174 .
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 159
Folgende Attribute eines SAP-Benutzerkontos können für die Regeln genutzt werden:
· Benutzer (User-ID)
· Typ
· Sperre
· Gültig von
· Gültig bis
· Gruppe
· Abteilung
· Funktion
· Kostenstelle
· Benutzergruppen
Folgende Attribute eines HANA DB-Benutzerkontos können für die Regeln genutzt werden:
· Benutzer
· Gültig von
· Gültig bis
· Eingeschränkt
· Deaktiviert
· Benutzergruppe
Die Attribute können mit folgenden Vergleichsoperatoren abhängig vom Attribut selektiert werden:
· gleich
· ungleich
· wie
· nicht wie
· enthält
· enthält nicht
· kleiner als
· größer als
· kleiner gleich
· größer gleich
Für die Vergleichswerte wie und nicht wie kann * als Wildcard genutzt werden
Die Regeln sind grundsätzlich Einschluss-Regeln, d. h. Benutzer, die der Regel entsprechen, werden
für die Berechtigung legitimiert. Umgekehrt werden alle Benutzer, die der Regel nicht entsprechen,
nicht legitimiert! Regeln lassen sich innerhalb eines Projektes gezielt vererben.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
160 Kapitel IV - Risikomanagement
Hier ein Beispiele für die Legitimierung bestimmter Benutzer für eine Berechtigungsabfrage:
Abbildung 213 - Alle Benutzer der Gruppe SUPER sind für die Berechtigungsabfrage legitim iert
Abbildung 214 - Alle Benutzer ausser Benutzer der Gruppe SUPER sind für die Berechtigungsabfrage
legitim iert
Hinweis: eine neu angelegte Benutzerzuordnung ist erst nach erneuter Auswertung der
Berechtigungsabfrage aktiv.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 161
Über die Schaltfläche öffnet sich ein Dialogfenster zur Auswahl von vordefinierten
Benutzerzuordnungen. Hier muss das Dateiformat von *.causerattribution auf *.txt umgestellt werden:
Hinweis: eine rot umrandete Zeile weist darauf hin, dass der eingetragene Wert (in dem Fall für
Benutzername) in dem vom Analyseprojekt verwendeten Snapshot nicht enthalten ist.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
162 Kapitel IV - Risikomanagement
Funktion findet sich entweder im Menü für Schnellzugriff auf Standardfunktionen oder mittels
Rechtsklick und Kontextmenü direkt auf das Projekt im Projektbaum.
Die Basis für den Import stellt die Benutzer-Berechtigungs-Matrix dar. Diese wird beim Export der
Ergebnisse einer Analyse erstellt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 163
Die neuen Vorgaben der Benutzerzuordnung werden durch Umsetzen der Feldwerte in dieser Matrix
von X auf O getätigt. Damit werden die Benutzer für die entsprechende Berechtigung als legitimiert
markiert.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
164 Kapitel IV - Risikomanagement
In weiterer Folge muss die Benutzer-Berechtigungs-Matrix wieder in CheckAud importiert werden, die
Benutzer-Zuordnungen werden daraufhin automatisch bei den jeweiligen Berechtigungsabfragen
hinterlegt.
Nach dem Import und einer erneuten Auswertung werden diese Benutzer-Zuordnungen bei der
Darstellung der Ergebnisse berücksichtigt, in dem diese Benutzer farblich „grün“ dargestellt werden.
Durch Entfernen des Flags Zuordnungsk riterien erben kann die Vererbung auf den einzelnen
Unterebenen allgemein unterbrochen werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 165
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
166 Kapitel IV - Risikomanagement
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 167
Wird die Vererbung der Benutzer-Zuordnung in einzelnen Abfragen oder Ordnern unterbrochen, so
kann dies in der Baumansicht mithilfe dieser Einstellung sichtbar gemacht werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
168 Kapitel IV - Risikomanagement
Abbildung 227 - Änderungen des Risikom anagem ents von Abfragen visualisieren
Für die einzelnen Ansichten stehen verschiedene Schaltflächen in der Menüleiste zur Verfügung:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 169
Der Score ermittelt sich aus der Gesamtheit aller Abfragen eines Analyseprojektes. Dabei werden
die einzelnen Scores innerhalb des Projektes für jedes Verzeichnis resp. für jede einzelne Abfrage
im Projekt ermittelt. Jede Abfrage kann maximal einen Score von 100 erreichen. Dies ist dann der
Fall, wenn entweder die Abfrage von der Auswirkung her nicht relevant ist (Einstellung der
Auswirkung Keine / None) oder aber wenn unter Betrachtung aller Einstellungen das Ergebnis den
Sollvorgaben entspricht.
Sofern technisch berechtigte Benutzer für die abgefragte Berechtigung legitimiert sind, so werden
diese Benutzer nicht in der Höhe der Eintrittswahrscheinlichkeit betrachtet. Nur die technisch
berechtigten, aber nicht legitimierten Benutzer werden für die Berechnung des Malus-Faktors
herangezogen.
Je höher die Schadenswirkung geschätzt wird, desto höher ist der Malus-Faktor und desto stärker
reduziert sich der Score im Eintrittsfall.
· Kompensierende Kontrolle
Sofern keine technische Absicherung im SAP-System realisierbar ist, kann die ursprüngliche
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
170 Kapitel IV - Risikomanagement
Kritisch 1
Sehr hoch 10
Hoch 25 technisch berechtigt, nicht
Mittel 100 legitimierte Benutzer
Gering 200
Sehr gering 1000
Keine unbeschränkt
Die Cockpit-Ansicht gibt einen schnellen Überblick über den errechneten Score eines
Analyseprojektes inkl. der jeweiligen Teilergebnisse der im Projekt enthaltenen Prüfungsbereiche.
Die Cockpit-Ansicht wird bei einem ausgewerteten Analyseprojekt dargestellt, wenn die
Projektwurzel oder ein Unterverzeichnis mit enthaltenen, ausgewerteten Abfragen markiert wird:
1 Kombinierter Score, hier wird der aus den jeweils untergeordneten Elementen ermittelte Score
des im Analyseprojekt gewählten Elementes angezeigt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel IV - Risikomanagement 171
2 Scores der Unterpunkte, hier werden die jeweiligen Scores der direkten Unterpunkte des im
Analyseprojekt gewählten Elementes aufgezeigt.
3 Indikator Highest Score, zeigt an, in welchem Wertebereich sich der höchste Score der
analysierten Berechtigungsabfragen bewegt.
4 Indikator Lowest Score, zeigt an, in welchem Wertebereich sich der niedrigste Score der
analysierten Berechtigungsabfragen bewegt.
Über die Auswahl der Elemente im Analyseprojekt kann auch für untergeordnete Elemente eine
Cockpit-Ansicht erstellt werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
172 Kapitel IV - Risikomanagement
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
173
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
174 Kapitel V - Anpassung der Analyseprojekte
Grundlegend müssen folgende Schritte durchgeführt werden, bis weitere Einstellungen zu einem
neuen Analyseprojekt definiert werden können:
Per Drag&Drop einen Vorlagenbaum, eine einzelne Abfrage, eine tabellarische Abfrage oder eine
Parameterauswertung das neue Projekt ziehen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 175
Sobald eines der eben genannten Projektinhalte eingefügt wurde, kann über den Reiter
Analyseeinstellungen der Snapshot ausgewählt werden, mit dem die Analyse durchgeführt
werden soll. Achtung: sind in dem Projekt Abfragen für ABAP- und HANA DB-Systeme enthalten,
so muss jeweils ein Snapshot für ein ABAP- als auch HANA DB-System ausgewählt werden.
Dies erfolgt über den Wechsel der Reiter ABAP bzw. HANA DB.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
176 Kapitel V - Anpassung der Analyseprojekte
Nach diesen ersten beiden Schritten kann mit der weiteren Ausgestaltung des neuen
Analyseprojektes fortgefahren werden.
Neues Verzeichnis
Verzeichnisse stellen organisatorische Container innerhalb des Projektes dar. Ein Verzeichnis selbst
kann Einstellungen erben bzw. durch eine Vererbungsunterbrechung neue Einstellungen zur Analyse
vorgeben, die dann auf untergeordnete Elemente vererbt werden. Das Element kann beliebig in
Deutsch bzw. Englisch benannt werden.
Abfrage (ABAP)
Die Abfrage ist die technische Prüfung auf (beliebig einstellbare) Kombinationen von
Berechtigungsobjekten, die ein SAP-Benutzer auf Grund seiner Rollen-, Profil- oder
Referenzbenutzerzuordnung erhalten kann. Hinter dieser Abfrage steht im Allgemeinen ein Risiko,
das durch die Prüfung inkl. der an der Abfrage hinterlegten Bewertungen quantifiziert wird. Das
Element kann beliebig in Deutsch bzw. Englisch benannt werden.
Die Abfrage ist die technische Prüfung auf (beliebig einstellbare) Kombinationen von
Berechtigungsarten, die ein HANA DB-Benutzer auf Grund seiner Rollen erhalten kann. Hinter dieser
Abfrage steht im Allgemeinen ein Risiko, das durch die Prüfung inkl. der an der Abfrage hinterlegten
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 177
Bewertungen quantifiziert wird. Das Element kann beliebig in Deutsch bzw. Englisch benannt
werden.
Um diese Elemente zu erstellen, muss das Projekt markiert sein; dann kann über die Menüzeile
mit den Schaltflächen
Alternativ kann auch im Analyseprojekt das Kontextmenü für die Erstellung neuer Elemente
verwendet werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
178 Kapitel V - Anpassung der Analyseprojekte
Hinweis: das neue Element Berechtigungsabfrage im Analyseprojekt ist noch leer, d. h. es sind für
diese Berechtigungsabfrage noch keine zu prüfenden Berechtigungsobjekte definiert. Dies wird durch
das Ausrufezeichen am Icon gekennzeichnet
kann das Element umbenannt werden. Dafür stehen die Standardsprachen Deutsch/Englisch zur
Verfügung. Details zur Mehrsprachigkeit im Analyseprojekt sind zu finden im Kapitel
Analyseprojekte 78 .
Alternativ kann auch im Analyseprojekt das Kontextmenü für das Umbenennen neuer Elemente
verwendet werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 179
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
180 Kapitel V - Anpassung der Analyseprojekte
Setzt man ein Element auf das übergeordnete Verzeichnis oder das Projekt, wird das betreffende
Element als Letztes dem Verzeichnis oder dem Projekt angehängt. Darüber ist es möglich, eine
Anordnung der Elemente im Projekt zu erzwingen:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 181
können die aktuell selektierten Elemente des Analyseprojektes gelöscht werden. Sofern ein
Verzeichnis markiert und gelöscht wird, werden auch alle dem Verzeichnis untergeordneten
Elemente sofort entfernt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
182 Kapitel V - Anpassung der Analyseprojekte
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 183
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
184 Kapitel V - Anpassung der Analyseprojekte
Vorlagebaum ist über die eingespielte Lizenz bereitgestellt und kann verwendet werden.
Vorlagebaum ist über die eingespielte Lizenz nicht bereitgestellt und kann nicht verwendet
werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 185
Abfrage ist über die eingespielte Lizenz bereitgestellt und kann verwendet werden.
Abfrage ist über die eingespielte Lizenz nicht bereitgestellt und kann nicht verwendet
werden.
Nicht lizenzierte Inhalte werden zwar dargestellt, können allerdings nicht in Analyseprojekte
verwendet werden.
Um zu überprüfen, welche Inhalte über die Lizenz bereitgestellt werden, können die
Lizenzinformationen im Menü Über Check Aud aufgerufen werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
186 Kapitel V - Anpassung der Analyseprojekte
Inhalte Hier werden die mit der Lizenz freigeschalteten Inhalte dargestellt:
- Vorlagebaum ist in der installierten Lizenz enthalten und kann verwendet werden
- Vorlagebaum ist in der installierten Lizenz nicht enthalten, es wird lediglich in den
Toolboxes zur Ansicht dargestellt, kann aber nicht verwendet werden
Damit die alten Vorlagenbäume und die darin enthaltenen Abfragen weiterhin genutzt werden können,
werden sie nicht gelöscht, sondern als obsolet gekennzeichnet. Sie werden unter den Tabs Bäume
und Abfragen standardmäßig nicht mehr angezeigt, können aber zusätzlich eingeblendet werden.
Obsolete Bäume und Abfragen können durch einen Klick auf das Kästchen Obsolete Bäume
anzeigen bzw. Obsolete Abfragen anzeigen eingeblendet werden. Die obsoleten Bäume und
Abfragen sind grau hinterlegt und lassen sich nun auch wieder über den Filter (Schlagwortsuche)
aufrufen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 187
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
188 Kapitel V - Anpassung der Analyseprojekte
Name des
Standard-Set Zusätzliche Sets Parameter
Vorlagenbaumes
Audit Best Practice IBS_SYSTEM (ABAP), ja
AUTH (ABAP)
IBS_AUTH_ADVANCED,
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 189
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
190 Kapitel V - Anpassung der Analyseprojekte
Berechtigungen
SAP Press – Sicherheit ja
und Prüfung von SAP- AUTH (ABAP) IBS_SYSTEM (ABAP)
Systemen
SD - Schnellprüfung nein
AUTH (ABAP) IBS_SD
Vertrieb
SD - Vertrieb AUTH (ABAP) IBS_SD nein
SOD - Funktionstrennung AUTH (ABAP) IBS_FI, IBS_MM, IBS_SD nein
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 191
Eine Bearbeitung des Vorlagenbaums ist erst nach Auflösung der Referenz möglich, Hinweise zur
Referenz-Auflösung sind zu finden im Kapitel Abfragereferenzen auflösen 198 .
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
192 Kapitel V - Anpassung der Analyseprojekte
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 193
Der referenzierte Teil des Vorlagenbaum kann weder in Benennung der einzelnen Elemente noch in
der allgemeinen Struktur und Zusammensetzung der Inhalte individuell verändert werden. Lediglich
die Informationen zum Risikomanagement (Bewertung, Beschreibung, Benutzer-Zuordnung) sowie
Filter und Variablen können individuell ausgeprägt werden.
Eine Bearbeitung des Vorlagenbaums ist erst nach Auflösung der Referenz möglich, Hinweise zur
Referenz-Auflösung sind zu finden im Kapitel Abfragereferenzen auflösen 198 .
V-3 Berechtigungsabfragen
Die Berechtigungsabfragen stellen das Herzstück der Prüfsoftware CheckAud dar.
Berechtigungsabfragen können im IBS-Standard genutzt werden (Referenz) oder komplett selbst
erstellt werden. Dafür stehen ein grafischer sowie ein Text-Editor zur Verfügung.
V - 3.1 IBS-Standardabfragen
Der gesamte Bestand an Berechtigungsabfragen im Auslieferungsstandard kann über die Toolbox
ausgewählt und in ein eigenes Analyseprojekt eingebunden werden. Dabei werden im Analyseprojekt
lediglich Referenzen gesetzt, d. h. diese Abfragen werden automatisch bei Updates durch IBS in
Zusammensetzung und Ausprägung aktualisiert. Referenzierte Abfragen können weder in
Bezeichnung noch in Zusammensetzung verändert werden. Lediglich die Risikobewertung, -
beschreibung sowie die Benutzer-Zuordnung können individuell angepasst werden. Die Auswahl einer
IBS-Standardabfrage erfolgt via Drag&Drop aus der Toolbox:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
194 Kapitel V - Anpassung der Analyseprojekte
Sollen nur einzelne Abfragen analysiert werden, die auf ausgewählte Module oder bestimmte
Auswirkungen eingeschränkt werden sollen, können diese mittels Such-Filtern eingeschränkt
werden. Ein Filter ermöglicht die Sortierung auf ein oder mehrere gewünschte Module. Damit werden
in weiterer Folge nur jene Abfragen angezeigt, die für die ausgewählten Module von Relevanz sind.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 195
Eine weitere Filtermöglichkeit besteht durch Einschränkung auf die Auswirkungen, die eine Abfrage
hat. In diesem Fall können zum Beispiel alle Abfragen mit kritischer Auswirkung aufgelistet werden.
Filter sind sowohl einzeln, als auch in Kombination anwendbar. So ist eine Auflistung von Abfragen
möglich, die zum Beispiel nur im Modul FI existieren und als kritisch anzusehen sind.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
196 Kapitel V - Anpassung der Analyseprojekte
Aus der Ergebnisansicht kann in weiterer Folge eine Auswahl für die tatsächliche Analyse
übernommen werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 197
In der Vorabansicht lässt sich der Abfragen-Syntax, das Risiko-Management und die Dokumentation
ansehen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
198 Kapitel V - Anpassung der Analyseprojekte
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 199
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
200 Kapitel V - Anpassung der Analyseprojekte
In den Abfragen enthaltene Referenzen können auch über den grafischen Editor aufgelöst werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 201
Über den Rechtsklick der Schaltfläche im Grafischen Editor, öffnet das sich Kontextmenü zur
Abfrage. Hier kann die Abfragereferenz aufgelöst werden, insofern es eine gibt.
Hinweis: vordefinierte Abfragen aus der Toolbox „Abfragen“ können beim Drag&Drop mit gedrückter
STRG-Taste sofort aufgelöst in das eigene Projekt aufgenommen werden. Vordefinierte
Analysebäume aus der Toolbox „Bäume“ können beim beim Drag&Drop mit gedrückter STRG-Taste
als Kopie eingefügt werden. Dadurch kann die Struktur des vordefinierten Analysebaums beliebig
angepasst werden. Enthaltene Referenzen auf Abfragen werden allerdings nicht aufgelöst und
verbleiben als Referenz im Baum.
Um im Analyseprojekt nicht referenzierte Abfragen schnell zu finden, kann über die Schaltfläche
die Projektansicht angepasst werden. Hier werden nun alle nicht-referenzierten Elemente im Projekt
markiert:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
202 Kapitel V - Anpassung der Analyseprojekte
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 203
Der Grafische Editor ist mit einer Zoom-Funktion ausgestattet. Diese ermöglicht das Heranzoomen
oder auch Wegzoomen in den Abfragen. Gesteuert wird die Zoom-Funktion durch den Scrollrad der
Maus oder des Touch-Pads. Dies kann u. U. bei komplexeren Berechtigungsabfragen hilfreich sein.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
204 Kapitel V - Anpassung der Analyseprojekte
Um in komplexeren Abfragen nicht die Übersicht zu verlieren, gibt es im grafischen Editor eine
Gesamtübersicht der Abfrage. In der Abfragen-Übersicht wird immer der Bereich hervorgehoben, der
im grafischen Editor fokussiert ist.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 205
Der gesamte grafische Editor kann über Drag&Drop sowie Tastatureingaben bedient werden. Dafür
stehen in der Toolbox verschiedene Elemente zur Verfügung:
Verknüpfungen geben die Auswertungslogik von Berechtigungsobjekten vor. Details zu den logischen
Operatoren der Abfragen im Kapitel Logische Verknüpfungen für Abfragen 216 .
Berechtigungsobjekte sind die „Bausteine“ der Berechtigungsabfrage. Das Objekt kann über die
entsprechende Toolbox ausgewählt werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
206 Kapitel V - Anpassung der Analyseprojekte
Da es eine große Anzahl von Berechtigungsobjekten gibt, kann über die Suchfunktion nach
bestimmten Objekten gesucht werden. Dabei wird nach den Kriterien Name, Beschreibung, Klasse
oder Klassenbeschreibung selektiert.
Zusätzlich kann über die Schaltfläche eine hierarchische Klassenansicht der Objekte zur
Auswahl verwendet werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 207
Abfragen aus dem Auslieferungsumfang von CheckAud können ebenfalls via Drag&Drop direkt in den
Editor der neuen Berechtigungsabfrage gezogen werden. So kann eine eigene Abfrage basierend auf
vorgefertigten Standardabfragen erstellt werden:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
208 Kapitel V - Anpassung der Analyseprojekte
Nachfolgendes Beispiel verdeutlicht die Möglichkeiten bei der Erstellung von Berechtigungsabfragen
über den grafischen Editor. Es soll eine Abfrage erstellt werden, mit der überprüft werden kann,
welche SAP-Anwender berechtigt sind, Kreditoren buchungskreisspezifisch anzulegen.
F_LFA1_APP
· legt fest, welche Aktivitäten für Kreditorenstammsätze erlaubt sind
· Feld ACTVT Aktivität 01 (Anlegen)
· Feld APPKZ Anwendungsberechtigung F (Finanzbuchhaltung)
F_LFA1_BUK
· legt fest, welche Aktivitäten im buchungskreisabhängigen Bereich des Kreditorenstammsatzes
erlaubt sind
· Feld ACTVT Aktivität 01 (Anlegen)
· Feld BUKRS Buchungskreis $ (Buchungskreis variabel ausgeprägt)
F_LFA1_GRP
· legt fest, welche Aktivitäten für die einzelnen Kontengruppen erlaubt sind
· Feld ACTVT Aktivität 01 (Anlegen)
· Feld KTOKK Kontengruppe $ (Kontengruppe variabel ausgeprägt)
S_TCODE
· dient dazu, anwendungsunabhängig die Berechtigung für den Start der darin definierten
Transaktionen zu prüfen
· Feld TCD Transaktionscode FK01 oder XK01 (SAP Standardtransaktionen zur Kreditorenanlage)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 209
Um die Abfrage zu erstellen, wird als erstes eine UND-Verknüpfung angelegt. Der anfangs leere
Container wird im nächsten Schritt mit den Berechtigungsobjekten der Anwendungsebene gefüllt.
Diese werden alle zur Kreditorenanlage im SAP-System benötigt, daher müssen diese
Berechtigungsobjekte mit einem logischen UND verknüpft werden.
Die Auswahl der logischen Verknüpfung erfolgt durch das Hineinziehen des entsprechenden
Eintrages aus der Toolbox. Über einen Rechtsklick auf die Schaltfläche wird ein Kontextmenü
geöffnet. Das Kontextmenü ermöglicht das Aufklappen der Abfragen-Verschachtelung, sowie das
Löschen, Kopieren, Ausschneiden und Einfügen einzelner Elemente.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
210 Kapitel V - Anpassung der Analyseprojekte
Abfragen werden über die Schaltfläche hinzugefügt und anschließend definiert. Als weitere
Alternative besteht die Ausprägung des Feldwertes als Variable. Hierfür muss die Schaltfläche
ausgewählt werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 211
Dieser Vorgang wird nun mit den ebenfalls benötigten Berechtigungsobjekten F_LFA1_BUK sowie
F_LFA1_GRP wiederholt:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
212 Kapitel V - Anpassung der Analyseprojekte
Das Feld BUKRS des Berechtigungsobjektes F_LFA1_BUK bzw. das Feld KTOKK des Objektes
F_LFA1_GRP soll variabel ausgeprägt werden, d. h. die endgültige Ausprägung erfolgt dann erst vor
der eigentlichen Auswertung. Somit kann die Abfrage flexibel für unterschiedliche Organisationen
genutzt werden, ohne die techn. Zusammensetzung zu verändern. Dies erfolgt über die Aktivierung
Um die Abfrage zu vervollständigen, muss nun auch die Transaktionsberechtigung geprüft werden.
Für die Kreditorenanlage gibt es zwei SAP-Standardtransaktionen, FK01 und XK01. Das
Berechtigungsobjekt S_TCODE sichert den Zugriff auf die Transaktionen, daher wird dieses in der zu
erstellenden Abfrage ebenfalls benötigt.
Rein von der Fragestellung her wird nun die Ergänzung in der Abfrage benötigt, wer das
Berechtigungsobjekt S_TCODE mit der Transaktion FK01 oder XK01 besitzt. Im SAP-Standard
können allerdings die Feldwerte eines Berechtigungsobjektes nicht logisch ODER-verknüpft werden,
d. h. wird das Objekt S_TCODE mit den Feldwerten FK01 und XK01 ausgeprägt, werden im Ergebnis
nur die Benutzer angezeigt, die über beide Transaktionen Zugriff haben. Benutzer die nur auf die
FK01 bzw. die XK01 Zugriff haben, würden hier nicht angezeigt werden, obwohl sie relevant für das
Ergebnis sind! Daher wird das Berechtigungsobjekt S_TCODE in der Abfrage behelfsweise zweimal
abgefragt, einmal mit der Ausprägung FK01 und einmal mit der Ausprägung XK01. Diese Teilabfrage
wird logisch ODER-verknüpft eingebunden.
Daher wird im nächsten Schritt via Drag&Drop ein neuer Logik-Container in dem UND-Container der
Abfrage gelegt und als ODER-Container definiert:
In diesen ODER-Container wird nun das Berechtigungsobjekt S_TCODE zweimal per Drag&Drop
gelegt, jeweils mit Ausprägung FK01 resp. XK01:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 213
Damit ist die Abfrage korrekt abgebildet und steht nun zur Auswertung zur Verfügung.
Unabhängig von der Tatsache, dass Feldwerte im SAP-System nur logisch UND-verknüpft werden,
kann CheckAud Feldwerteausprägungen auch logisch ODER-verknüpft auswerten. Daher lässt sich
der Abfrageteil S_TCODE des o. g. Beispiels nachfolgend etwas eleganter lösen. Anstelle das
Objekt S_TCODE zweimal in Einzelausprägung ODER-verknüpft auszuwerten, wird das Objekt nur
einmal in den logischen UND-Container gelegt. Es werden dann lediglich die Feldwerte logisch
ODER-verknüpft.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
214 Kapitel V - Anpassung der Analyseprojekte
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 215
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
216 Kapitel V - Anpassung der Analyseprojekte
UND / and Verknüpfung für logisches UND, Ausdruck wird mit wahr ausgewertet, wenn beide
Verknüpfungsbestandteile wahr sind.
ODER / or Verknüpfung für logisches ODER, Ausdruck wird mit wahr ausgewertet, wenn
mindestens einer der beiden Verknüpfungsbestandteile wahr ist.
AUSSER / except Verknüpfung für logisches AUSSER, Ausdruck wird mit wahr ausgewertet,
wenn ein Bestandteil der Verknüpfung wahr und der andere falsch ist
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 217
Hinweis: der WENN-Operator kann nur in Kombination mit einer ausgeprägten Bedingung verwendet
werden, siehe nachfolgendes Kapitel.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
218 Kapitel V - Anpassung der Analyseprojekte
TABELLEN-EXISTENZ-Bedingung
Bedingung für den WENN-Operator, bietet die Möglichkeit zu prüfen, ob eine Tabelle im System
vorhanden / nicht vorhanden ist.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 219
GLEICH / equal Ausdruck wird mit wahr ausgewertet, wenn exakt die Werteausprägung vorgefunden
wurde. Es können Wertebereich von – bis eingegeben werden.
WIE / like Ausdruck wird mit wahr ausgewertet, wenn ein Teil der Werteausprägung
vorgefunden wurde. Der Vergleichsoperator kann mit der Wildcard * am Ende der Zeichenkette
verwendet werden.
Die Vergleichsoperatoren GLEICH bzw. WIE erlauben die logische Verknüpfung mehrerer Feldwerte
innerhalb des Objektes. Hier stehen wieder UND bzw. ODER zur Verfügung:
IRGENDEINER /any Ausdruck wird mit wahr ausgewertet, wenn mindestens eine der
angegebenen Feldwerteausprägungen vorgefunden wurde (implizites ODER).
ALLE / all Ausdruck wird mit wahr ausgewertet, wenn alle der angegebenen
Feldwerteausprägungen vorgefunden wurden (implizites UND).
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
220 Kapitel V - Anpassung der Analyseprojekte
V - 3.4.7 IRGENDEIN-Objekt-Operator
Neben der Abfrage von Berechtigungsobjekten bietet CheckAud auch die Möglichkeit,
Berechtigungswerte auf Feldebene unabhängig vom Berechtigungsobjekt abzufragen. Dies können
z.B. bei folgenden Fragestellungen notwendig sein:
Diese Fragestellungen zielen nicht auf die Abfrage konkreter Funktionen, sondern auf den generellen
Zugriff auf Organisationsebenen. Zur Abbildung dieser Fragestellungen kann der Operator
IRGENDEIN genutzt werden. Er wird anstelle eines Berechtigungsobjektes eingesetzt.
Durch das Anwählen des Kästchens Irgendein Objek t in der Abfrage können die Eigenschaften
(hinzufügen der Feldwerte) der IRGENDEIN-Abfrage bearbeitet werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 221
die gewünschten Ausprägungen, werden die Felder selektiert. Hier besteht die Möglichkeit ein oder
mehrere Felder zu selektieren.
Abfrage hinzugefügt. Weitere Felder aknn der Abfrage über die Schaltfläche hinzugefügt und
anschließend ausgeprägt werden.
Beispiele:
Abbildung 284 -
IRGENDEIN-Operator für die
Suche nach Objekten m it
BUKRS=1000
Suche alle Berechtigungsobjekte mit dem Feld BUKRS (Buchungskreis) und zeige alle Benutzer an,
die für den Buchungskreis 1000 berechtigt sind.
Abbildung 285 -
IRGENDEIN-Operator für
die Suche nach Objekten
m it BUKRS=1000 und
ACTVT=01, 02
Suche alle Berechtigungsobjekte, in denen die Felder ACTVT (Aktivität) und BUKRS
(Buchungskreis) enthalten sind, und zeige alle Benutzer an, die für den Buchungskreis 1000 eine
Berechtigung zum Anlegen (Aktivität 01) oder Ändern (Aktivität 02) besitzen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
222 Kapitel V - Anpassung der Analyseprojekte
Der IRGENDEIN -Operator wird in einer Abfrage behandelt wie ein Berechtigungsobjekt. Er kann
mehrfach in einer Abfrage in beliebigen UND / ODER-Kombinationen verwendet werden. Außerdem
kann er mit anderen Berechtigungsobjekten und Abfragen kombiniert werden.
Mit dieser Systematik kann auch abgefragt werden, ob bestimmte Komponenten im System
installiert sind. Dies ist insbesondere für die Umstellung auf SAP S/4HANA relevant. Ein S/4HANA-
System kann anhand der Komponente S4CORE identifiziert werden. In CheckAud ist in den
Abfragen die Simplification List für SAP S/4HANA umgesetzt. In dieser Liste sind die Änderungen
von SAP ERP zu SAP S/4HANA beschrieben. Diese Unterschiede sind in den Abfragen abgebildet,
indem die Komponente S4CORE abgefragt wird.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 223
Technische Umsetzung
In den Berechtigungsabfragen ist die Releaseunabhängigkeit umgesetzt durch den neu
implementierten WENN-Operator (1) und die KOMPONENTEN-Bedingung (2). Diese
finden Sie in der Entwurfsansicht einer Berechtigungsabfrage unter Elemente und
Objekte.
Den WENN-Operator können Sie an einer beliebigen Stelle in der Abfrage nutzen.
Abhängig ist dies davon, wo sich die Unterschiede in den Komponenten oder Release-
Ständen in den Abfragen auswirken. Abbildung 288 zeigt eine WENN-Abfrage auf oberster
Ebene einer Abfrage. Dies ist sinnvoll, wenn sich die Abfragen für verschiedene Release-
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
224 Kapitel V - Anpassung der Analyseprojekte
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 225
Standardmäßig wird im WENN-Operator der Wert Release von ‘‘ gleich angezeigt. Klicken Sie auf
diesen Eintrag, um die Werte dazu im Bereich Eigenschaften zu pflegen. In diesem Bereich sind
folgende Felder auszuprägen:
Komponenten-Operator
Hier wird ausgewählt, welche Art der Komponente abgefragt werden soll:
Release von Wählen Sie diesen Eintrag aus, wenn Sie den Release-Stand einer
Komponente abfragen wollen.
Patch-Stand von Wählen Sie diesen Eintrag aus, wenn Sie den Patch-Stand einer
Komponente abfragen wollen.
Installiert Wählen Sie diesen Eintrag aus, wenn Sie abfragen wollen, ob eine
bestimmte Komponente installiert ist.
Nicht installiert Wählen Sie diesen Eintrag aus, wenn Sie abfragen wollen, ob eine
bestimmte Komponente nicht installiert ist.
Komponente
Hier wählen Sie die abzufragende Komponente aus. Um hier Vorschlagswerte anzuzeigen muss
zuvor ein Snapshot ausgewählt werden. Es werden dann als Vorschlagswert die Komponenten des
Snapshots angezeigt (aus der Tabelle CVERS).
Vergleichs-Operator
Für die Komponenten-Operatoren Release von und Patch-Stand von ist hier der Vergleichs-Operator
auszuwählen:
kleiner als
kleiner gleich
gleich
wie
ungleich
nicht wie
größer gleich
größer als
Wert
Zum Vergleichs-Operator wird hier der Wert angegeben. Abbildung 291 zeigt beispielhaft die Abfrage
des Release-Standes zur Komponente SAP_BASIS (größer gleich 750).
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
226 Kapitel V - Anpassung der Analyseprojekte
Die Abfrage der Komponenten kann ineinander verschachtelt werden. Um z.B. einen Release-Stand
und zum Release dann einen Patch-Stand abzufragen, sind zwei Abfragen erforderlich:
1. Abfrage des Release-Standes
2. Abfrage des zugehörigen Patch-Standes
Hierfür kann der WENN-Operator in den Bereich Elemente hierher ziehen gezogen werden, sowohl in
den Wenn- als auch in den Sonst-Bereich. Abbildung 292 zeigt als Beispiel die Abfrage auf einen
Release-Stand (größer gleich 750) und zugehörigem Patch-Stand (größer gleich 3). Nach der
Abfrage auf die Komponenten erfolgt die Pflege der Berechtigungsobjekte in der Abfrage wie in
Kapitel Berechtigungsabfragen 193 beschrieben.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 227
if
<Komponenten-Operator>(<Komponente>) <Vergleichs-Operator> <Wert>
{
…
}
else
{
…
}
Beispiele
Abfrage auf ein Release der Komponente SAP_BASIS = 750 und Patch-Stand >= 3
if
release(SAP_BASIS) = 750
{
if
patchlevel(SAP_BASIS) >= 3
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
228 Kapitel V - Anpassung der Analyseprojekte
Ist eine Bedingung erfüllt, wird dies mit einem grünen Haken dargestellt, hier der Teil Release-Stand
SAP_BASIS >= 751. Da hier der WENN-Teil somit erfüllt ist, würde dieser analysiert werden. Der
SONST-Teil der Abfrage ist daher transparent hinterlegt. Abbildung 294 zeigt dieselbe Abfrage mit
einem Snapshot, in dem die Komponente SAP_BASIS den Release-Stand 740 hat. Hier ist die
WENN-Abfrage nicht erfüllt und der SONST-Teil wird abgefragt. Daher ist der WENN-Teil der Abfrage
transparent hinterlegt.
Mit dem SAP_BASIS-Release (hier wird auch vom „NetWeaver-Release“ gesprochen) 7.50, Patch-
Level 3, wurde die Systematik zur mandantenabhängigen Sperrung von Transaktionen eingeführt. Bis
dahin konnten Transaktionen nur systemweit gesperrt werden mit der Transaktion SM01. Mit diesem
Release wird die Transaktion SM01 nicht mehr unterstützt, stattdessen gibt es folgende neue
Transaktionen:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 229
Damit diese Abfrage zu jedem Release das korrekte Ergebnis auswertet, wurde hier folgende
Abfrage eingebaut:
if
((release(SAP_BASIS) = 750 AND patchlevel(SAP_BASIS) >= 3) OR
release(SAP_BASIS) >= 751)
In Abbildung 295 kann nachvollzogen werden, dass bei einem Release-Stand = 750 und einem
Patch-Level >=3 oder einem Release-Stand >= 751 die Transaktionen SM01_DEV und SM01_CUS
ausgewertet werden, in allen anderen Fällen die Transaktion SM01.
In SAP S/4HANA werden teilweise andere Transaktionen genutzt als im SAP ERP. Diese
Änderungen sind in der Simplification List for SAP S/4HANA beschrieben. Z.B. werden zur Pflege
von Debitoren nicht mehr die Transaktionen FD* / VD* / XD* genutzt. Durch den Business Partner
Approach in SAP S/4HANA sind Debitoren dort Geschäftspartner (GP-Rolle FLCU00). Maßgeblich
wird daher die Transaktion GP zur Pflege von Debitoren genutzt. In den Abfragen zur Debitorenpflege
wird in CheckAud daher abgefragt, ob es sich um ein S/4HANA-System handelt (Abbildung 296):
if
installed(S4CORE)
Handelt es sich um ein S/4HANA-System so werden zusätzlich zum Objekt F_KNA1_APP das
Objekt F_BUPA_RLT sowie die Transaktionen BP und BP0 abgefragt. Ist es kein S/4HANA-System,
so werden die bisherigen Transaktionen abgefragt, ohne das Geschäftspartner-Objekt F_BUPA_RLT.
(Abbildung 296)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
230 Kapitel V - Anpassung der Analyseprojekte
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 231
Einführung
Im SAP-System besteht die Möglichkeit gewisse Funktionalitäten durch Einträge in Tabellen zu
Konfigurieren. In den Tabellen PRGN_CUST und USR_CUST können z. B. Customizingeinstellungen
im Benutzer/ Berechtigungswesen gefunden werden. Je nach gewählter Einstellung kann sich dies
unterschiedlich auf Berechtigungsabfragen in CheckAud auswirken. Die entsprechenden Tabellen
werden mit dem Tabellen-Set AUTH ausgelesen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
232 Kapitel V - Anpassung der Analyseprojekte
Tabelle
Hier wird die Tabelle ausgewählt, in der die spezifischen Customizing-Schalter hinterlegt worden
sind. Um hier Vorschlagswerte anzuzeigen muss zuvor ein Snapshot ausgewählt worden sein. Es
werden dann alle in dem Snapshot enthaltenen Tabellen angezeigt.
Spalte
Die Spalten der zuvor ausgewählten Tabelle werden hier angezeigt. Hier muss die Spalte
ausgewählt werden, welche das Attribut des Customizing-Schalters enthält.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 233
Vergleichs-Operator
kleiner als
kleiner gleich
gleich
wie
ungleich
nicht wie
größer gleich
größer als
ist Null
ist nicht Null
existiert
existiert nicht
Vergleichs-Wert
Zum Vergleichs-Operator wird hier der Wert angegeben. Es ist das Kriterium, das unter der zuvor
gewählten Spalte unter Berücksichtigung der nachfolgenden Where-Bedingung erfüllt sein muss.
Standardwert
Ein einzutragender Standardwert kann durch Markieren der Auswahlbox berücksichtigt werden. Er
kommt in folgenden Fällen zur Anwendung:
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und in der angegebenen
Spalte kein Eintrag vorhanden ist.
b. Wenn es keinen Datensatz gibt, der die Where-Bedingung erfüllt.
Where-Bedingung
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
234 Kapitel V - Anpassung der Analyseprojekte
{
If
<Tabelle> <Spalte der Tabelle> <Vergleichs-Operator> <Vergleichs-Wert>
Where-Bedingung
<Spalte der Tabelle><Vergleichs-Operator> <Kriterium>
Optional
<Standardwert>
}
else
{
…
}
{
if PRGN_CUST.PATH = 'YES' where ID = 'CHECK_S_USER_SAS' default 'YES'
{
}
}
Zu beachten dabei ist, dass primär untersucht werden muss, ob das Berechtigungsobjekt
S_USER_SAS aktiv ist. Je nachdem, ob es aktiv oder deaktiviert ist, müssen andere
Berechtigungsobjekte geprüft werden. Des Weiteren ist das Berechtigungsobjekt S_USER_SAS erst
ab Netweaver Release 7.31 standardmäßig aktiviert. In dem ersten Block (1 in Abbildung 301) ist
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 235
daher in den WENN-Operator (Wenn S_USER_SAS aktiv, sonst) eine Netweaver Release Prüfung
integriert.
Die Prüfung des Customizing-Schalters erfolgt in beiden Fällen identisch. Es wird in der Spalte
PATH in der Tabelle PRGN_CUST unter dem Vergleich-Operator „gleich“, der Vergleichs-Wert YES
gesucht. Dieses unter der Bedingung, dass in der Spalte ID in der Tabelle PRGN_CUST unter dem
Vergleich-Operator „gleich“, der Eintrag CHECK_S_USER_SAS vorhanden ist.
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und kein Eintrag vorhanden
ist.
b. Wenn es keinen Datensatz gibt, der die Where-Bedingung erfüllt.
Der Abbildung 301 ist zu entnehmen, dass ein ODER-Teil der WENN-Abfrage erfüllt ist. Damit ist
S_USER_SAS aktiv. Dies ist mit den grünen Haken dargestellt (2 in Abbildung 301). Der Teil der
Abfrage, der nicht ausgewertet wird, wird transparent dargestellt (siehe Darstellung bei
ausgewähltem Snapshot 227 ).
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
236 Kapitel V - Anpassung der Analyseprojekte
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 237
Standardmäßig ist dem Berechtigungsobjekt noch kein Feldwert zugeordnet. Durch Klicken auf
Keine Felder abgefragt werden die dem Berechtigungsobjekt zugeordneten Feldwerte angezeigt.
(Abbildung 304)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
238 Kapitel V - Anpassung der Analyseprojekte
Ein dynamischer Abfragewert kann über das Symbol eingefügt werden. Es ist nun möglich die
Eigenschaften von dynamischen Feldwerten auszuprägen (Abbildung 305).
Operator
gleich
irgendeiner
alle
Tabelle
Hier wird die Tabelle ausgewählt, die den Wert für das zu prüfende Berechtigungsobjekt enthält.
Um Vorschlagswerte anzuzeigen muss zuvor ein Snapshot ausgewählt worden sein. Es werden
dann alle in dem Snapshot enthaltenen Tabellen angezeigt.
Spalte
Die Spalten der zuvor ausgewählten Tabelle werden angezeigt. Hier wird die Spalte ausgewählt,
die den dynamischen Wert, bei erfolgreicher Where-Bedingung, enthält. Der Wert entspringt der
gleichen Zeile wie die erfolgreiche Where-Bedingung.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 239
Falls leer:
Ein einzutragender Wert in „falls leer“ kann durch Markieren der Auswahlbox berücksichtigt
werden. Er kommt in folgenden Fällen zur Anwendung:
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und kein Eintrag in der
angegebenen Spalte vorhanden ist.
b. Wenn es keinen Datensatz gibt, der die Where-Bedingung erfüllt.
Standardwert
Ein einzutragender Standardwert kann durch Markieren der Auswahlbox berücksichtigt werden. Er
kommt in folgenden Fällen zur Anwendung:
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und kein Eintrag in der
angegebenen Spalte vorhanden ist.
b. Wenn es keinen Datensatz gibt, der die Where-Bedingung erfüllt.
c. Wenn die angegebene Tabelle oder Spalte im Snapshot nicht vorhanden ist
Hierbei ist zu beachten, dass die Priorität von „Falls leer“ über der des Standardwerts liegt.
Where-Bedingung
>Auswahl der Tabellen-Spalte, die den Namen der gewünschten dynamischen Abfrage enthält.
>Vergleichs-Operator
>Kriterium, das in der Tabellen-Spalte erwartet wird.
Hinweis:
Sollten mehrere Datensätze das Kriterium aus der Where-Bedingung enthalten, dann gelten
folgende Regeln:
Abbildung 306 zeigt beispielhaft die dynamische Suche nach dem Feldwert der Berechtigungsgruppe
für das Berechtigungsobjekt S_TABU_DIS
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
240 Kapitel V - Anpassung der Analyseprojekte
{
<OPERATOR> <TABELLE> <SPALTE DER TABELLE>
WHERE-BEDINGUNG
<SPALTE DER TABELLE><VERGLEICHS-OPERATOR> <KRITERIUM>
OPTIONAL
<FALLS LEER>
<STANDARDWERT>
}
Beispiel:
Welche Tabellenberechtigungsgruppe ist in der Tabelle TDDAT für die Tabelle V_001_S hinterlegt?
Mit „falls leer &NC&“ & „Standardwert FC01“
{
(
S_TABU_DIS (ACTVT, DICBERCLS = select TDDAT.CCLASS where TABNAME = 'V_001_S' when empty '&NC&
)
}
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 241
In dem ersten Block (1 in Abbildung 307) wird geprüft, ob die Zugriffsberechtigung auf Tabellen über
das Berechtigungsobjekt S_TABU_DIS und/oder S_TABU_NAM erfolgt.
Es wird in der Tabelle TDDAT nach allen Datensätzen gesucht, die in der Spalte TABNAME, mit
dem Operator „gleich“, TABNAME=‘V_001_S‘ beinhalten. Wird ein Datensatz gefunden, wird aus
dieser Zeile der Wert der Spalte CCLASS als dynamischer Abfragewert (Feldwert DICBERCLS
(Berechtigungsgruppe)) extrahiert.
Der Wert für falls leer ist &NC&. Er käme in diesem Beispiel zur Anwendung:
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und kein Eintrag vorhanden
ist.
b. Wenn es keinen Datensatz gibt, der die Where-Bedingung erfüllt.
a. wenn die angegebene Tabelle oder Spalte im Snapshot nicht vorhanden ist
Nach Ausführung der Abfrage mit einem hinterlegten Snapshot, erscheint das Ergebnis der Abfrage
unter dem Feldwert (Abbildung 307). Der dynamische Feldwert ist im diesem Beispiel FC01 und
stammt aus der Spalte CCLASS. Die Auswertung Berechtigungsobjekt S_TABU_DIS in der Abfrage
Kontenplan zuordnen ist somit dynamisch erfolgt und bildet unternehmenseigene Zuordnungen im
Berechtigungswesen wieder.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
242 Kapitel V - Anpassung der Analyseprojekte
Wird z. B. eine Fiori-App im SAP-System installiert, so wird zur dieser Fiori-App ein Hashwert
erzeugt der automatisch in die Tabelle USOBHASH eingetragen wird. Dieser Hashwert wird dann, im
Gegensatz zur Transaktionsberechtigung, mit dem Berechtigungsobjekt S_SERVICE abgefragt.
Die Berechtigungsabfragen in CheckAud sind so aufgebaut, dass die Berechtigungen für installierte
Apps mit dem Objekt S_SERVICE geprüft werden können.
Die App-Abfrage mit dem Berechtigungsobjekte S_SERVICE wird in (1) (Abbildung 308) dargestellt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 243
Nachdem ein Hashwert bei der APP-Installation erzeugt wurde, wir dieser in Tabelle USOBHASH
gespeichert. Dieser Hashwert wird dann mit dem Berechtigungsobjekt S_SERVICE abgefragt. Dabei
wird wie folgt vorgegangen:
Mit der Customizing-abhängige Abfrage wird in der Tabelle USOBHASH ermittelt, ob die App
installiert ist (1 in Abbildung 310). Dabei wird in der Spalte OBJ_NAME der Tabelle USOBHASH
nach dem Wert MIGO_GO gesucht. Wird dieser Wert gefunden, wird in der Spalte NAME der
Tabelle USOBHASH geprüft, ob ein Hashwert vorhanden ist. Ist ein Hashwert vorhanden, dann ist die
Prüfung der Abfrage erfolgreich.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
244 Kapitel V - Anpassung der Analyseprojekte
Falls die App installiert ist, ermittelt die dynamische Abfrage über die Tabelle USOBHASH welcher
Hash-Wert der App zugeordnet ist. Der Wert wird dann dem Berechtigungsobjekte S_SERVICE
zugeordnet (2 in Abbildung 311). Dabei wird in der Spalte OBJ_NAME der Tabelle USOBHASH nach
dem Wert MIGO_GO gesucht. Wird dieser Wert gefunden, wird in der Spalte NAME der Tabelle
USOBHASH geprüft, welcher Hashwert vorhanden ist. Der Hashwert wird dann für den Feldwert
SRV_NAME des Berechtigungsobjektes S_SERVICE übernommen. Der TYP des Prüfkennzeichen
muss HT lauten, daher lautet der Operator für den Feldwert SRV_TYPE „gleich“.
Der so ermittelte Hashwert für das Berechtigungsobjektes S_SERVICE wird für die
Berechtigungsprüfung herangezogen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 245
Abbildung 313 - technischer Editor zur Anpassung von Berechtigungsabfragen (HANA DB)
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
246 Kapitel V - Anpassung der Analyseprojekte
V - 3.5.4 Berechtigungsarten
Über die Toolbox Berechtigungen können die verschiedenen HANA DB Berechtigungsarten per
Drag&Drop in die jeweiligen Logik-Container gezogen werden.
Systemberechtigung:
Über Systemberechtigungen (System Privileges) werden Zugriffe zur Verwaltung der Datenbank
vergeben, u.a. Pflege von Schemata, Benutzern, Katalogrollen, Backup Aktivitäten, Lizenzierungen
usw. Die Anwendergruppe für Systemberechtigungen sind die Datenbankadministratoren. Die HANA
Standardbenutzer SYSTEM und _SYS_REPO verfügen standardmäßig über alle
Systemberechtigungen
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 247
Objektberechtigung:
Über Objektberechtigungen werden Zugriffe auf Datenbankobjekte vergeben, dazu gehören u.a.
Schemata, Tabellen, Views und Prozeduren. Für jeden SQL Befehlstyp (z.B. SELECT, UPDATE,
EXECUTE etc.) existiert eine eigene Objekt Berechtigung. Ein Benutzer muss für einen
Tabellenzugriff entweder Objekt Berechtigungen auf die einzelne Tabelle oder auf das übergeordnete
Schema haben. Objekt Berechtigungen können sowohl auf Katalog-Objekte vergeben werden als
auch auf Repository-Objekte.
Paketberechtigung:
Über Paketberechtigungen werden Zugriffe auf die Entwicklungsumgebung vergeben. Diese ist
untergliedert in logisch zusammengehörige Objekte, die so genannten Pakete. Ein Benutzer, der
über Paket Berechtigung auf ein Repository Paket berechtigt ist, ist automatisch auf alle darin
enthaltenen Objekte und Unterpakete berechtigt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
248 Kapitel V - Anpassung der Analyseprojekte
Analyseberechtigung:
Über Analyseberechtigungen (Analytic Privileges) werden Zugriffe auf Applikationsdaten vergeben,
z.B. über Analytische Views, Attribut Views, Calculation Views. Hiermit wird gesteuert, auf welche
Daten der View ein Benutzer zugreifen darf. Die Abgrenzung erfolgt über „zeilenweise“
Berechtigungen. Dadurch sind z.B. organisatorische Abgrenzungen möglich. Auch kann der
Gültigkeitszeitraum innerhalb der Analytic Privileges festgelegt werden.
Anwendungsberechtigung:
Anwendungsberechtigungen werden benötigt für den Aufruf von SAP HANA XS Anwendungen
(Extended Services). Die Berechtigungen werden in dem Paket definiert, in dem auch die Applikation
liegt. Application Privileges sind frei definierbare Namen, die in einer Datei mit dem festen Namen
.xsprivileges definiert werden. Diese werden dann im Quelltext der Anwendung abgefragt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 249
EXAKT / exact Ausdruck wird mit wahr ausgewertet, wenn exakt die Werteausprägung vorgefunden
wurde.
IRGENDEINER / any Ausdruck wird mit wahr ausgewertet, wenn ein Teil der Werteausprägung
vorgefunden wurde.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
250 Kapitel V - Anpassung der Analyseprojekte
ALLE / all Ausdruck wird mit wahr ausgewertet, wenn alle der angegebenen
Werteausprägungen vorgefunden wurden (implizites UND).
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 251
Abbildung 320 - Ausw ahl der verfügbaren ABAP oder HANA DB Tabellen gem äß Tabellen-Sets
Mit Drag&Drop können die einzelnen Tabellen ausgewählt und in das Analyseprojekt verschoben
werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
252 Kapitel V - Anpassung der Analyseprojekte
Nach der durchgeführten Analyse von CheckAud werden die Tabelleninhalte der ausgewählten
Tabelle aufgelistet.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 253
Das Einfügen der vordefinierten Tabellenabfragen in das eigene Projekt erfolgt per Drag&Drop.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
254 Kapitel V - Anpassung der Analyseprojekte
muss zuerst eine beliebige Tabelle in das Analyseprojekt eingefügt werden. Nachfolgende Beispiele
zeigen das Vorgehen anhand von SAP (ABAP) Tabellen. Gleiches kann selbstverständlich auch für
HANA DB Tabellen genutzt werden.
Nach Hinzufügen der gewünschten Tabelle, wählt man diese aus. Anschließend kann man über den
Reiter Abfrage eine weiteren Tabelle zu der bestehenden hinzufügen. Hierbei wird die zweite Tabelle
aus dem Tabellen-Sets ausgewählt und neben der bereits bestehenden Tabelle eingefügt. Das
Kombinieren zweier Tabellen erfolgt über die Drag&Drop-Funktion. Die Schaltfläche weist
darauf hin, dass die Tabelle eingefügt werden kann.
Sind die gewünschten Tabellen kombiniert, kann der Inhalt der Ergebnissanzeige definiert werden.
Dies erfolgt über die Selektion der Felder der jeweiligen Tabellen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 255
Im nächsten Schritt erfolgt das Verbinden der Tabellen durch Tabellen-Joins. Nachfolgend werden
anhand von Beispielen die vier Arten des Verbindens von Tabellen erläutert.
Mit Hilfe der Selektion kann der Inhalt des Ergebnisses eingeschränkt werden.
Erklärung: der INNER JOIN führt Datensätze aus der linken und rechten Tabelle genau dann
zusammen, wenn die unter JOIN angegebenen Kriterien alle erfüllt sind. Ist eines oder mehrere der
Kriterien nicht erfüllt, so entsteht kein Datensatz in der Ergebnismenge.
Vorgehen: Die Tabelle AGR_AGRS in das Projekt einfügen. Anschließend die Tabelle AGR_AGRS
im Projekt auswählen und auf den Reiter Abfrage wechseln. Im darauffolgenden Schritt wird die
Tabelle AGR_USERS mit der bereits bestehenden Tabelle kombiniert. Als Nächstes erfolgt das
Einrichten des Joins.
JOIN:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
256 Kapitel V - Anpassung der Analyseprojekte
Ergebnisse filtern:
Mit Hilfe der Selektion kann die Ergebnisanzeige eingeschränkt werden. Im Beispiel wird das
Ergebnis auf eine Sammelrolle und einen Benutzername eingeschränkt.
Ergebnis: es werden alle Sammelrollen angezeigt, die einem bestimmen Benutzer zugeordnet sind.
Erklärung: ein Datensatz aus der linken Tabelle kommt in jedem Fall in das Ergebnis, d.h. die
resultierende Tabelle hat genauso viel Datensätze wie die linke Tabelle. Wenn ein Datensatz der
rechten Tabelle den Join-Kriterien entspricht, wird er entsprechend in den Spalten eingetragen,
ansonsten bleiben die Spalten leer.
Vorgehen: die Tabelle USER_ADDRS in das Projekt einfügen. Anschließend die Tabelle
USER_ADDRS im Projekt auswählen und auf den Reiter Abfrage wechseln. Im darauffolgenden
Schritt wird die Tabelle AGR_USERS mit der bereits bestehenden Tabelle kombiniert. Als Nächstes
erfolgt das Einrichten des Joins.
JOIN:
Ergebnisse filtern:
Der Filter der Selektion muss AGR_NAME = „leer“ lauten, damit alle Benutzer ohne
Rollenzuweisung angezeigt werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 257
Erklärung: der RIGHT OUTER JOIN ist die Umkehrung des LEFT OUTER JOIN. Ein Datensatz aus
der rechten Tabelle kommt in jedem Fall in das Ergebnis, d.h. die resultierende Tabelle hat genauso
viel Datensätze wie die rechte Tabelle. Wenn ein Datensatz der linken Tabelle den Join-Kriterien
entspricht, wird er entsprechend in den Spalten eingetragen, ansonsten bleiben die Spalten leer.
Vorgehen: die Tabelle AGR_USERS in das Projekt einfügen. Anschließend die Tabelle
AGR_USERS im Projekt auswählen und auf den Reiter Abfrage wechseln. Im darauffolgenden Schritt
wird die Tabelle USER_ADDRS mit der bereits bestehenden Tabelle kombiniert. Als nächstes erfolgt
das Einrichten des Joins.
JOIN:
Ergebnisse filtern:
Der Filter der Selektion muss AGR_NAME = „leer“ lauten, damit alle Benutzer ohne Rollen
Zuweisung angezeigt werden.
Erklärung: dieser Join ist eine Kombination aus LEFT- und RIGHT OUTER JOIN. Jeder Datensatz der
rechten und der linken Tabelle kommt in die Ergebnismenge. Findet sich über das JOIN-Kriterium ein
passender Partner, werden beide zusammengefügt, andernfalls wird die jeweils fehlende Seite leer
gelassen.
Vorgehen: die Tabelle USR02 in das Projekt einfügen. Anschließend die Tabelle USR02 im Projekt
auswählen und auf den Reiter Abfrage wechseln. Im darauffolgenden Schritt wird die Tabelle
DEVACCESS mit der bereits bestehenden Tabelle kombiniert. Als nächstes erfolgt das Einrichten
des Joins.
JOIN:
Ergebnisse filtern:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
258 Kapitel V - Anpassung der Analyseprojekte
Abbildung 329 - Hinw eis, Tabelle nicht vollständig ausgelesen, da im Tabellen-Set des Scans ein Filter
aktiv w ar
Abbildung 330 - Hinw eis, Tabelle nicht vollständig ausgelesen, da im Tabellen-Set des Scans eine
Anonym isierung/Pseudonym isierung aktiv w ar
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 259
Die Bewertung besteht aus einzelnen Filterkriterien, die mit den Operatoren UND bzw. ODER
verknüpft werden. Die Funktionsweise entspricht den Selektionskriterien auf dem Tab Abfrage.
Sobald die Bewertungskriterien für einen Datensatz erfüllt sind, wird er in der Ergebnisliste
entsprechend markiert. Falls keinerlei Kriterien hinterlegt sind, werden alle Datensätze in der
Bewertungsspalte mit einem - versehen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
260 Kapitel V - Anpassung der Analyseprojekte
Es können alle Spalten bewertet werden, die ein Teil der Ergebnismenge sind. Zusätzlich gibt es die
Möglichkeit, die vorhandene Anzahl an Datensätzen in der Ergebnismenge zu bewerten.
Beispielsweise ist es denkbar, dass eine Tabellenabfrage keinerlei Ergebnisse enthalten soll. In
diesem Fall kann man das Bewertungskriterium von COUNT einfach auf den Wert 0 (mit Operator
gleich) setzen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 261
Für eine Tabellenabfrage mit einer Bewertung kann ein Score berechnet werden, der dann in die
Score-Berechnung des Projekts eingeht. Dies ist jedoch nicht zwingend. Falls eine Berechnung des
Scores gewünscht ist, sollte der entsprechende Haken gesetzt sein:
Vordefinierte Tabellenabfragen werden mit einer vorgefertigten Bewertung ausgeliefert. Natürlich ist es
von Zeit zu Zeit notwendig, die Bewertung an die eigenen Gegebenheiten anzupassen. Dies ist
möglich, ohne die Referenz zu dieser Tabellenabfrage auflösen zu müssen. Dies kann über die
Schaltfläche durchgeführt werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
262 Kapitel V - Anpassung der Analyseprojekte
V-5 Parameterwerte
V - 5.1 Vordefinierte Parameterabfragen
Bei den vordefinierten Parameterabfragen handelt es sich um Vorgaben des DSAG Prüfleitfadens
SAP ERP 6.0 sowie der IBS Best Practice Vorgaben. Die vordefinierten Parameterabfragen
beinhalten Vorgabewerte für die hinterlegten Parameter. Diese werden bei der Analyse des
Projektes aus dem hinterlegten Snapshot ermittelt und mit den Vorgaben verglichen.
Mit der Filterfunktion kann nach Parametergruppen gesucht werden bzw. nach Parameterabfragen in
denen die Parametergruppen enthalten sind.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 263
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
264 Kapitel V - Anpassung der Analyseprojekte
Eigene Vorgaben werden über das -Symbol definiert. Der gewünschte Parameter muss hierfür
dem Projektbaum hinzugefügt und ausgewählt werden. Es besteht nun die Möglichkeit die
Auswirkung sowie die Kriterien für den Parameter zu hinterlegen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel V - Anpassung der Analyseprojekte 265
Abbildung 338 - Erstellung von Vorgaben für die Param eterausw ertung
Durch das definieren der Auswirkung wird der Analyse-Score der Parameterabfrage beeinflusst. Je
höher das Risiko definiert ist, umso stärker wirkt die definierte Auswirkung auf den Analyse-Score
aus.
Über die Schaltfläche Kriterium hinzufügen wird der Operator für den Vergleich des Parameterwerts
zur Vorgabe hinzugefügt. Es stehen folgende Operatoren zu Verfügung:
· gleich
· ungleich
· kleiner als
· kleiner gleich
· größer als
· größer gleich
Die Operatoren können bei Bedarf eine UND- oder ODER-Verknüpfung erhalten, insofern mehr als
eine Vorgabe den jeweiligen Parameter zugeordnet wird.
Weiterhin kann die Auswirkung, also die anzunehmende Schadenswirkung Falle der Nichterfüllung
der Sollvorgabe, definiert werden. Hierfür steht die bereits aus der Berechtigungsabfrage bekannte
Schaltflächenleiste zur Verfügung:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
266 Kapitel V - Anpassung der Analyseprojekte
Diese Einstellung wirkt sich auf die Berechnung des Scores zur Parameterabfrage aus.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
267
Kapitel VI - Automatisierung
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
268 Kapitel VI - Automatisierung
VI Automatisierung
Mit Hilfe der Automatisierung können die einzelnen Abläufe wie Scannen der SAP-Systeme,
Importieren von Snapshots sowie das Analysieren und Exportieren von Projekten automatisch
ausgeführt werden. Es bedarf nur weniger Konfigurationsschritte.
VI - 1 Kommandozeilenmodul
Für den kompletten automatisierten Durchlauf einer Prüfung, angefangen mit dem Scan und
abschließend mit dem Export, ist das Kommandozeilenmodul von CheckAud entwickelt worden. Für
die Benutzung dieses Tools bedarf es vorab der Erstellung eines CheckAud Analyseprojektes.
Dieses Analyseprojekt muss vorkonfiguriert sein, da während des automatischen Durchlaufes keine
Konfiguration möglich ist.
Im Projekt ist es sehr wichtig, dass unter Analyse-Einstellung der Snapshot Systemname – jüngster
Snapshot ausgewählt ist. Ist dies nicht der Fall, kommt es beim Analysieren zu einem Abbruch der
Analyse.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel VI - Automatisierung 269
Um das Kommandozeilenmodul von CheckAud aufzurufen, muss der komplette Pfad der
ibs.casa.client.cmd.exe in der Kommandozeile angegeben werden. Hierbei ist zu beachten, dass die
Anführungszeichen berücksichtigt werden, da es sonst zu Fehlern aufgrund von Leerzeichen im
Dateipfad kommt. Unter der Standardinstallation von CheckAud lautet der Dateipfad:
Hinweis: ist lediglich das Scanmodul installiert, kann dieses ebenfalls via Kommandozeilenaufruf
gestartet und für automatisierte Scans eingerichtet werden. Der Aufruf erfolgt mit:
VI - 2 Funktionserklärung
Über die Komandozeile kann CheckAud mit verschiedenen Steuerungsparametern gestartet werden.
Nachfolgend werden diese Paramter erläutert:
/L /lang[uage] [DE|EN]
Diese Funktion stellt die Sprache um. Es kann entweder DE oder EN angegeben werden.
Standardmäßig wird die eingestellte Systemsprache genutzt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
270 Kapitel VI - Automatisierung
Damit wird ein Snapshot von einem System erstellt. Der Parameter system muss dem bereits in
CheckScan vorgepflegte Titel in der Beschreibung des zu scannenden SAP Systems entsprechen.
Das Parameter group steht für die vorgepflegte Gruppe in CheckScan. Anstatt eines einzelnen
System-Scans kann eine Gruppe von Systemen gescannt werden. Im zweiten Parameter path wird
der Pfad, unter dem der Snapshot gespeichert wird, angeben. Einzelne Snapshots können
individuelle Namen erhalten. Wird kein Name explizit vergeben, erstellt CheckScan den Namen aus
der System-ID, den Mandanten, dem Datum und der Uhrzeit. Gruppen erhalten automatisch den
Namen aus der System-ID, den Mandanten, dem Datum und der Uhrzeit. Eine individuelle Vergabe
von Namen bei Gruppen ist nicht möglich. Der dritte und vierte Parameter ist optional. Bei Bedarf
kann der Snapshot anonymisiert oder pseudonymisiert werden. Wird der Parameter nicht gesetzt,
erhält der Snapshot automatisch den Benutzer-Modus normal. Mit dem vierten Parameter kann eine
Benutzerliste geladen werden. Mithilfe der Benutzerliste werden die in der Liste hinterlegten Namen
nicht anonymisiert oder pseudonymisiert.
Beispiel für das Erstellen eines Snapshots, wenn nur das Scanmodul installiert und verwendet wird:
"C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckAud\ibs.casa.scan.cmd.exe"
/s "IBS E02" "C:\users\BENUTZER\desktop\IBS_E02.casnapshot"
Im Zielverzeichnis des Snapshots wird bei aktivierter Pseudonymisierung gleichzeitig die Excel-Liste
mit der Gegenüberstellung von Pseudonymen und Klarnamen erstellt. Bei der Verwendung der
Anonymisierung ist dies nicht der Fall.
Benutzer-Modus Anonymisierung:
· Ano,
· anonymize oder anonymise,
· anonymization oder anonymisation
Benutzer-Modus Pseudonymisierung:
· pseudo,
· pseudonymize oder pseudonymise,
· pseudonymization oder pseudonymisation
Benutzer-Modus Normal:
· normal
Beispiel für das Erstellen eines pseudonymisierten Snapshots mit einer Benutzerliste:
"C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckAud\ibs.casa.client.cmd.exe"
/s "IBS E02" "C:\users\BENUTZER\desktop\IBS_E02.casnapshot"
pseudonymize "C:\users\BENUTZER\desktop\Benutzliste.txt"
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel VI - Automatisierung 271
Beispiel für den Import des Snapshots mit Angabe einer Bemerkung:
"C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckAud\ibs.casa.client.cmd.exe"
/i "C:\users\BENUTZER\desktop\IBS_E02.casnapshot" remark="Das ist eine Bemerkung"
Beispiel für den Import des Snapshots mit Zuordung des Snapshot zu einer Snapshot-Gruppe:
"C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckAud\ibs.casa.client.cmd.exe"
/i "C:\users\BENUTZER\desktop\IBS_E02.casnapshot" group="Neue Gruppe"
/reset (compare|variables|userfilter|authfilter|userattr)
Deaktiviert den Snapshot-Vergleich bzw. löscht hinterlegte Variablen, Benutzerfilter,
Berechtigungsfilter oder Benutzerzuordnungen. Die Einstellungen werden alle direkt auf dem Projekt-
Knoten vorgenommen. Die Anwahl eines anderen Knotens wird aktuell nicht unterstützt. Es wird
empfohlen, bei dem Wechsel von Variablen, Benutzerfiltern, Berechtigungsfiltern oder
Benutzerzuordnungen die Funktion /reset durchzuführen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
272 Kapitel VI - Automatisierung
Beispiel zum Aktivieren des Vergleichs mit dem zweit-jüngsten Snapshot des aktuell gewählten
Systems:
"C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckAud\ibs.casa.client.cmd.exe"
/set compare second
/a, /analyze
Ein zuvor geladenes Projekt wird mithilfe dieser Funktion analysiert.
/p, /progess
Mit dieser Funktion kann man einen der anderen Teilprozesse detaillierter nachverfolgen, falls der
Standardoutput dieser Funktion in ein Logfile übertragen werden soll. Dies dient der
Fehlerbehandlung, beziehungsweise der Nachvollziehbarkeit des jeweiligen Prozesses.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel VI - Automatisierung 273
CheckAud Datenbank selektiert. Mit dem Parameter „client“ können einzelne Mandaten zum
Löschen selektiert werden. Auch hier besteht die Möglichkeit mithilfe des „*“ alle Mandanten eines
SAP-Systems gleichzeitig zu selektieren. Der Parameter „age“ gibt an, wie alt die Snapshots
maximal sein dürfen. Snapshots die das angegebene Alter überschreiten werden aus der Datenbank
gelöscht. Das Alter kann in folgende Zeiten als Ganzzahl definiert werden:
d für Tage
w für Wochen
m für Monate
y für Jahre
Wird kein Zeitraum definiert, werden alle Snapshots des angegebenen SAP-Systems gelöscht.
Beispiel zum Löschen einzelner Snapshots des Mandanten 800 aus dem SAP-System IB1 die älter
als 2 Jahre sind:
"C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckAud\ibs.casa.client.cmd.exe"
/delete IB1 800 2y
Einzelne Snapshots oder ganze System-IDs die mit einem Schreibschutz versehen wurden, können
nicht aus der Datenbank gelöscht werden. Das Löschen der Snapshots oder der System-IDs wird
erst wieder möglich, sobald der Schreibschutz entfernt wurde.
Hinweis: bei der Erstellung dieser Prozesse ist die Reihenfolge der einzelnen Parameter zu
beachten, da das Kommandozeilenmodul die einzelnen Befehle nacheinander abarbeitet. Die
Spracheinstellung „/L“ sowie die Anzeige für den Prozessfortschritt (/p) muss am Anfang definiert
werden, da am Ende der Befehlszeile keine Rücksicht mehr auf die Spracheinstellung oder
Prozessfortschritt genommen werden kann. Die Grundeinstellungen werden aus der graphischen
Oberfläche von CheckAud genutzt.
Zusätzlich wird bei der Verwendung der Automatisierung empfohlen, die Programme
CheckAud und CheckScan zu schließen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
274 Kapitel VI - Automatisierung
Abbildung 342 - Beispiel eines kom plettt autom atisierten Ausw ertungslaufs
Beispiel in Textform:
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel VI - Automatisierung 275
auf der Kommandozeile die Umlaute nur noch als ungewollte Sonderzeichen dargestellt werden
(sowohl die im Batch enthaltenen, als auch die von CheckAud ausgegebenen).
VI - 3.1 Aufgabenvorbereitung
Mit dieser Batch Datei kann, wie in Anfang dieses Kapitels vorgeführt, ein kompletter Durchlauf einer
Prüfung durchgeführt werden. Dabei ist zu beachten, dass die jeweilige Namensgebung und
Pfadangabe korrekt abgebildet wird. Des Weiteren muss vor der Planung ein Projekt angelegt werden
und mit einem Snapshot verbunden sein, damit die Aufgabenplanung ein erfolgreiches Resultat
liefern kann. Hier ist zu beachten, dass das Projekt natürlich im Nachhinein mit anderen Abfragen
angepasst werden kann, jedoch sollte die Benennung von Projekt oder Snapshot nicht variieren.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
276 Kapitel VI - Automatisierung
In diesem Fenster kann man beliebige Aufgaben definieren und in einem festgelegten Rhythmus
wiederholen. Um einen regelmäßigen Abzug eines Systems mit anschließender Analyse zu
erstellen, muss die einfache Aufgabe erstellen…-Funktion im rechten Aktionsbereich ausgewählt
werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel VI - Automatisierung 277
Die Definition einer Beschreibung ist empfehlenswert, da so ein Überblick geschaffen wird, falls
mehrere Systeme mit unterschiedlichen Aufgaben verarbeitet werden oder mehrere Mitarbeiter mit
diesen Aufgaben interagieren müssen.
Der Trigger für die Aufgabe kann ganz individuell eingerichtet werden, je nach Art der Prüfung. Die
monatliche Prüfung muss nicht jeden Monat stattfinden, sondern es kann definiert werden, welchen
Monat und welchen Tag im Monat gescannt werden soll.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
278 Kapitel VI - Automatisierung
In der Aktionsauswahl muss die Funktion „Programm starten“ gewählt werden, da es sich bei dem
Batch-Format um eine ausführbare Datei handelt.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel VI - Automatisierung 279
Unter Programm/Script: wird der Dateipfad der Batchdatei hinterlegt, die zuvor konfiguriert wurde.
Dies kann mit Hilfe des Durchsuchen-Buttons geschehen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
280 Kapitel VI - Automatisierung
In der Zusammenfassung sollte noch einmal genau geprüft werden, ob die Einstellungen den
Anforderungen für eine wiederkehrende Prüfung gerecht werden. Sobald die Aufgabe fertig gestellt
wird, ist sie aktiv und wird immer dann ausgeführt, wenn die Trigger-Einstellungen erfüllt sind.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel VI - Automatisierung 281
In der Aufgabenplaner-Übersicht können alle derzeitigen Aufgaben des Users eingesehen werden.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
282 Kapitel VI - Automatisierung
Für die Anpassung bereits erstellter Aufgaben, lässt sich durch ein Doppelklick auf eine Aufgabe ein
Optionsmenü öffnen, in dem Anpassungen an der Aufgabe vorgenommen werden können. Beim
Starten des derzeitigen Scripts erscheint die Kommandozeile. Um dies zu unterbinden, muss die
Option Unabhängig von der Benutzeranmeldung ausführen ausgewählt werden. Diese Option
ermöglicht das Starten der Batchdatei ohne den Benutzer am System angemeldet zu haben. Des
Weiteren wird die Kommandozeile auch nicht auf den Bildschirm erscheinen. Mit dem Drücken des
OK-Buttons erfragt Windows die Benutzerdaten, von der aus die Aufgabe gestartet werden soll.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
283
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
284 Kapitel VII - Protokollierung der Datenverarbeitung
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel VII - Protokollierung der Datenverarbeitung 285
Detaillierte Informationen bzgl. der Meldungen des Ereignisprotokolls zu CheckAud und CheckScan
finden sich im gesonderten Data Protection Guide.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
287
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
288 Kapitel VIII - Technischer Support
Zusätzliche Screenshots der Fehlermeldung oder Ihrer Vorgehensweise sind immer sehr hilfreich!
Der Support-Fall wird anschließend durch den Support der IBS Schreiber GmbH aufgenommen und
bearbeitet, es wird über ein Ticket-System eine Antwort mit der Fallnummer als Eingangsbestätigung
versendet.
Sofern es zu Programmfehlern oder Abstürzen der Software kommen sollte, können die Logdatei
eingesehen und bei Bedarf dem Support der IBS Schreiber GmbH bereitgestellt werden.
Die Logdateien für CheckAud lassen sich in dem Menüpunkt in CheckScan sowie
im Menüpunkt in CheckAud einsehen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01
Kapitel VIII - Technischer Support 289
Die Logdateien für Automatisierung von CheckScan und CheckAud werden unter folgenden Namen
gespeichert:
casd_DATUM_UHRZEIT.log
Ggfl. ist es notwendig, diese Log-Dateien dem Support der IBS Schreiber auf Nachfrage zur
Verfügung zu stellen, um aufgetretene Probleme näher einzugrenzen.
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
Dokumentenversion: UG.CASA.2021.2.2111.01