CheckAud 2021.2 UserGuide de

User Guide CheckAud® for SAP Systems 2021.
2
Dokumentenversion: UG.CASA.2021.2.2111.01
Ein Produkt der IBS Schreiber GmbH

Inhaltsverzeichnis 3
Inhaltsverzeichnis
Kapitel I Einleitung 7
I-1 CheckAud 2021.2 Einsatz & Nutzen ............................................................................... 8
I-2 CheckAud 2021.2 als Bestandteil des Risikomanagements .......................................... 8
Kapitel II CheckScan 2021.2 (Scanmodul) 9

II - 1 Benutzeroberfläche .................................................................................................... 10
II - 2 Tabellen-Sets ............................................................................................................. 11
2.1 ABAP System e ........................................................................................................................................ 11
2.2 HANA DB System e .................................................................................................................................. 12
2.3 Eigenes Tabellen-Set erstellen ........................................................................................................... 13
2.4 Hinw eis zu Feldern m it nicht unterstützten Datentypen ............................................................... 18
II - 3 Einstellungen .............................................................................................................. 19
II - 4 Informationen über CheckScan .................................................................................. 20
4.1 Lizenz einsehen / installieren ............................................................................................................. 20
4.2 Nutzung des Scanm oduls ohne Lizenz ............................................................................................. 20
II - 5 Anlegen einer neuen Systemverbindung (ABAP) ....................................................... 20
5.1 Neue SAP System -Verbindungen über SNC anlegen ..................................................................... 22
5.2 Hinzufügen w eiterer Tabellen-Sets ................................................................................................... 22
5.3 Param eterw erte auslesen ................................................................................................................... 24
5.4 Vorschlagsw erte für Org-Ebenen auslesen .................................................................................... 25
5.5 Anonym isierte Nutzungsstatistik auslesen .................................................................................... 25
II - 6 Anlegen einer neuen Systemverbindung (HANA DB) .................................................. 27
6.1 Verschlüsselung der System verbindung ........................................................................................ 29
6.2 Hinzufügen w eiterer Tabellen-Sets ................................................................................................... 29
II - 7 Anonymisierung und Pseudonymisierung .................................................................. 30
II - 8 Verwalten der Systemverbindungen in Gruppen ....................................................... 32
II - 9 Erstellung eines Snapshots (ABAP & HANA DB) .......................................................... 35
Kapitel III CheckAud 2021.2 (Auswertungsmodul) 41

III - 1 Benutzeroberfläche .................................................................................................... 42
1.1 Projekt - Neues Projekt / Projekt öffnen ........................................................................................... 44
1.2 Snapshots ............................................................................................................................................... 45
1.2.1 Import von Snapshots ..................................................................................................................... 45
1.2.2 Verw alten - Verw altung verfügbarer Snapshots .......................................................................... 48
1.3 Einstellungen - Standardsprache / Server / Einstellungen Exporte ............................................. 51
1.4 Docking von Reitern & Toolboxes ...................................................................................................... 52
1.5 Arbeiten m it der Zw ischenablage ...................................................................................................... 53
III - 2 Analyseprojekte .......................................................................................................... 55
2.1 Einführung ............................................................................................................................................... 55
2.2 Die Elem ente in einem Analyseprojekt ............................................................................................. 55
2.3 Analyse-Einstellungen .......................................................................................................................... 57
2.3.1 Ebene der Berechtigungsausw ertung (ABAP) ............................................................................... 58
© 2021 IBS Schreiber GmbH User Guide CheckAud® for SAP Systems 2021.2
4 Inhaltsverzeichnis
2.3.2 Ebene der Berechtigungsausw ertung (HANA DB) ......................................................................... 59

2.3.3 Berücksichtigung von inexistenten und deaktivierten Transaktionen ............................................. 59
2.3.4 Snapshot / Snapshot-Vergleich ...................................................................................................... 62
2.3.5 Variablen – variable Prüfw erte in Berechtigungsabfragen ............................................................ 63
2.3.6 Benutzerfilter ................................................................................................................................... 67
2.3.7 Berechtigungsfilter .......................................................................................................................... 71
2.4 Vererbung der Analyse-Einstellungen .............................................................................................. 74
2.5 Filterung in der Ansicht des Analyseprojektes .............................................................................. 77
2.6 Mehrsprachigkeit der Analyseprojekte ............................................................................................ 78
III - 3 Durchführung einer Analyse ....................................................................................... 80
3.1 Ausw ertung einer Berechtigungsabfrage (ABAP) .......................................................................... 80
3.2 Ausw ertung einer Berechtigungsabfrage (HANA DB) .................................................................... 82
3.3 Ausw ertung einer tabellarischen Abfrage ....................................................................................... 85
3.4 Ausw ertung einer Param eterabfrage ............................................................................................... 86
3.5 Ausw ertung m ehrerer Abfragen ....................................................................................................... 89
III - 4 Ergebnisdarstellung .................................................................................................... 89
4.1 Ergebnisdarstellung Berechtigungsabfrage (ABAP) ...................................................................... 89
4.1.1 Reiter Berechtigte Benutzer ............................................................................................................ 90
4.1.2 Reiter Berechtigte Benutzer - Vergleich von Snapshots ................................................................ 93
4.1.3 Reiter Berechtigte Sammelrollen ...................................................................................................... 95
4.1.4 Reiter Berechtigte Einzelrollen ......................................................................................................... 98
4.1.5 Detailfenster .................................................................................................................................. 100
4.1.6 Detailfenster - Berechtigung ......................................................................................................... 102
4.1.7 Detailfenster - Einzelprofil ............................................................................................................. 103
4.1.8 Detailfenster - Sammelprofil .......................................................................................................... 107
4.1.9 Detailfenster - Einzelrolle und Sammelrolle .................................................................................... 108
4.1.10 Detailfenster - Benutzer .............................................................................................................. 109
4.2 Ergebnisdarstellung Berechtigungsabfrage (HANA DB) .............................................................. 112
4.2.1 Reiter Berechtigte Benutzer .......................................................................................................... 113
4.2.2 Reiter Berechtigte Benutzer - Vergleich von Snapshots .............................................................. 115
4.2.3 Reiter Berechtigte Rollen ............................................................................................................... 116
4.3 Ergebnisdarstellung tabellarische Abfrage ................................................................................... 118
4.4 Ergebnisdarstellung Param eterabfrage ......................................................................................... 119
4.5 Individuelle Layouts der Tabellendarstellung ............................................................................... 121
4.5.1 Sortierung in Tabellenansicht ........................................................................................................ 121
4.5.2 Spaltenreihenfolge ändern ............................................................................................................ 122
4.5.3 Ein- und Ausblenden von Spalten ................................................................................................. 123
4.5.4 Ad-Hoc-Filter in Tabellenansicht ................................................................................................... 124
4.5.5 Gruppierung von Ergebnissen ...................................................................................................... 125
4.5.6 Layout Speichern .......................................................................................................................... 128
III - 5 Export der Ergebnisse ............................................................................................... 129
5.1 Export einer Berechtigungsabfrage ................................................................................................. 129
5.2 Export einer Berechtigungsabfrage - Vergleich von Snapshots ............................................... 132
5.3 Export einer tabellarischen Abfrage ................................................................................................ 133
5.4 Export einer Param eterabfrage ........................................................................................................ 134
5.5 Teil-/Gesam texport eines Analyseprojektes ................................................................................. 135
5.5.1 Benutzer-Export - csv ................................................................................................................... 140
5.5.2 Rollen-Export - csv ........................................................................................................................ 140
5.5.3 Prüfbericht - docx ......................................................................................................................... 141
5.5.4 Benutzer-Berechtigungs-Matrix - xlsx .......................................................................................... 141
5.5.5 Sammelrollen-Berechtigungs-Matrix .............................................................................................. 142
5.5.6 Einzelrollen-Berechtigungs-Matrix ................................................................................................. 142
5.5.7 Exporte in Matrix-Darstellung - Verknüpfte Excel-Dokumente ...................................................... 143
5.6 Verschlüsselung der Exportdateien ................................................................................................ 144
Inhaltsverzeichnis 5
5.7 Anzeige der zuletzt exportierten Dateien ....................................................................................... 145

5.8 Optionen für Teil-/Gesam texport ...................................................................................................... 145
Kapitel IV Risikomanagement 149

IV - 1 Einführung ................................................................................................................ 150
IV - 2 Definition – Was ist ein Risiko? ................................................................................. 150
IV - 3 Konfiguration des Risikomanagement ...................................................................... 150
3.1 Risikobeschreibung & Dokum entation ........................................................................................... 150
3.1.1 Risikobeschreibung & Dokumentation Berechtigungsabfrage ...................................................... 151
3.1.2 Risikobeschreibung & Dokumentation tabellarische Abfrage ........................................................ 154
3.1.3 Risikobeschreibung & Dokumentation Parameterabfrage ............................................................. 155
3.1.4 Anpassung von Risikobeschreibung & Dokumentation ................................................................. 155
3.2 Ausw irkung des Risiko ...................................................................................................................... 156
3.2.1 Ausw irkung des Risiko - Berechtigungsabfragen ........................................................................ 156
3.2.2 Ausw irkung des Risiko - Tabellarische Abfragen ........................................................................ 157
3.2.3 Ausw irkung des Risiko - Parameterabfragen ............................................................................... 157
3.3 Benutzer-Zuordnung bei Berechtigungsabfragen ........................................................................ 158
3.4 Benutzer-Zuordnung über Benutzer-Berechtigungs-Matrix im portieren ............................... 161
3.5 Vererbung der Benutzer-Zuordnung .............................................................................................. 164
3.6 Projektansichten zur Visualisierung der Änderungen im Risikom anagem ent ..................... 167
IV - 4 Der Score eines Analyseprojektes ............................................................................ 169
Kapitel V Anpassung der Analyseprojekte 173

V-1 Erste Schritte - Neues Projekt anlegen ..................................................................... 174
1.1 Erstellen neuer Elem ente im Analyseprojekt ................................................................................ 176
1.2 Um benennen neuer Elem ente im Analyseprojekt ....................................................................... 178
1.3 Verschieben und Anordnen neuer Elem ente im Analyseprojekt ............................................. 179
1.4 Löschen von Elem enten im Analyseprojekt .................................................................................. 181
V-2 Verwendung von Vorlagenbäumen .......................................................................... 182
2.1 Vorlagenbäum e .................................................................................................................................... 182
2.2 Lizenzierte Vorlagenbäum e .............................................................................................................. 183
2.3 Obsolete Vorlagebäum e / Abfragen ................................................................................................ 186
2.4 Em pfohlene Tabellen-Sets zur Verw endung der Vorlagenbäum e (ABAP & HANA DB) ......... 188
2.5 Referenz auf einen Vorlagenbaum .................................................................................................. 190
2.6 Referenz auf einen Teil eines Vorlagenbaum s ............................................................................. 192
V-3 Berechtigungsabfragen ............................................................................................ 193
3.1 IBS-Standardabfragen ......................................................................................................................... 193
3.2 Vorabanzeige der IBS-Standardabfragen ........................................................................................ 196
3.3 Abfragereferenzen auflösen ............................................................................................................. 198
3.4 Berechtigungsabfragen (ABAP) ........................................................................................................ 202
3.4.1 Erstellen/Ändern eigener Abfragen – Grafische Ansicht ............................................................. 203
3.4.2 Erstellen/Ändern eigener Abfragen – Technische Ansicht .......................................................... 215
3.4.3 Logische Verknüpfungen für Abfragen ........................................................................................ 216
3.4.4 Logische Operatoren für Abfragen .............................................................................................. 217
3.4.5 Bedingung für Abfragen ............................................................................................................... 217
3.4.6 Vergleichsoperatoren für Feldw erte ............................................................................................ 219
3.4.7 IRGENDEIN-Objekt-Operator .......................................................................................................... 220
3.4.8 Release-unabhängige Berechtigungsabfragen ............................................................................ 222
3.4.8.1 Einführung ............................................................................................................................ 222
3.4.8.2 Technische Umsetzung ........................................................................................................ 223
3.4.8.3 Aufbau einer Release-unabhängigen Abfrage (Grafische Ansicht) ................................... 224
6 Inhaltsverzeichnis
3.4.8.4 Aufbau einer Release-unabhängigen Abfrage (Technische Ansicht) ................................ 227

3.4.8.5 Darstellung bei ausgew ähltem Snapshot ............................................................................. 227
3.4.8.6 Beispiele für die Anw endung ............................................................................................... 228
3.4.9 Customizing-abhängige Abfragen ................................................................................................. 230
3.4.9.1 Einführung ............................................................................................................................ 231
3.4.9.2 Aufbau einer Customizing-abhängigen Abfrage (Grafische Ansicht) ................................. 231
3.4.9.3 Aufbau einer Customizing-abhängigen Abfrage (Technische Ansicht) .............................. 234
3.4.9.4 Beispiele für die Anw endung ............................................................................................... 234
3.4.10 Dynamische Feldw erte in Abfragen ........................................................................................... 236
3.4.10.1 Einführung .......................................................................................................................... 236
3.4.10.2 Aufbau einer dynamischen Feldw ert-Abfrage (Grafische Ansicht) ................................. 237
3.4.10.3 Aufbau einer dynamischen Feldw ert-Abfrage (Technische Ansicht) .............................. 240
3.4.10.4 Beispiel für die Anw endung ............................................................................................... 241
3.4.11 Erw eiterung der Abfragen um App-Berechtigungen .................................................................. 242
3.4.11.1 Einführung .......................................................................................................................... 242
3.4.11.2 Aufbau einer App-Abfrage am Beispiel der Abfrage „Warenbew egung“ ......................... 243
3.5 Berechtigungsabfragen (HANA DB) .................................................................................................. 244
3.5.1 Erstellen/Ändern eigener Abfragen – Grafische Ansicht ............................................................. 245
3.5.2 Erstellen/Ändern eigener Abfragen – Technische Ansicht .......................................................... 245
3.5.3 Logische Verknüpfungen für Abfragen ........................................................................................ 246
3.5.4 Berechtigungsarten ....................................................................................................................... 246
3.5.5 Vergleichsoperatoren bei Berechtigungsarten ............................................................................. 249
V-4 Arbeiten mit den Tabellen und tabellarischen Abfragen .......................................... 250
4.1 Vordefinierte tabellarische Abfragen .............................................................................................. 253
4.2 Erstellen eigener tabellarischer Abragen ...................................................................................... 253
4.3 Tabellenabfragen auf nicht vollständig ausgelesene Tabellen .................................................. 258
4.4 Bew ertungskriterien für Tabellen-/Tabellen-Abfragen erstellen ............................................. 259
V-5 Parameterwerte ........................................................................................................ 262
5.1 Vordefinierte Param eterabfragen .................................................................................................... 262
5.2 Erstellen eigener Param eternabfragen .......................................................................................... 263
5.3 Definieren der Vorgaben und Ausw irkung .................................................................................... 264
Kapitel VI Automatisierung 267

VI - 1 Kommandozeilenmodul ........................................................................................... 268
VI - 2 Funktionserklärung ................................................................................................... 269
VI - 3 Planung von Scans mit Hilfe einer Batchdatei ......................................................... 275
3.1 Aufgabenvorbereitung ....................................................................................................................... 275
3.2 Aufgabe planen .................................................................................................................................... 275
Kapitel VII Protokollierung der Datenverarbeitung 283

Kapitel VIII Technischer Support 287
7
Kapitel I - Einleitung
8 Kapitel I - Einleitung
I Einleitung
I-1 CheckAud 2021.2 Einsatz & Nutzen
CheckAud for SAP Systems wurde mit der Zielrichtung entwickelt, das Berechtigungskonzept
transparent und leicht auswertbar zu machen, aber auch um die sicherheitsrelevanten Bereiche
eines SAP-Systems prüfen zu können. Dabei wird das Werkzeug primär bei der internen Revision
der Unternehmen oder durch externe Prüfer eingesetzt, um den jeweiligen Prüfungsauftrag technisch
und fachlich abbilden zu können. Viele der in CheckAud® verfügbaren Funktionen sind mit Hinblick
auf die Nutzung durch den Prüfer konzipiert und entwickelt worden.
Heutige Anforderungen an die SAP-Systemsicherheit verlangen zusätzlich regelmäßige (präventive)

Kontrollen, die durch die jeweiligen Fachbereiche durchzuführen sind. Somit sind weitere Anwender
von CheckAud z. B. in der Systemadministration, in der Berechtigungsverwaltung oder in den
jeweiligen Fachabteilungen wie Finanzbuchhaltung oder Materialwirtschaft zu finden. Diese
Anwender haben mitunter einen anderen Schwerpunkt bei der Nutzung als der Prüfer und somit
andere Anforderungen an CheckAud. Zusätzlich müssen die technisch sehr detaillierten Ergebnisse
über die Berechtigungsstruktur eines SAP-Systems auch in geeigneter Form für die Management-
Ebene aufbereitet werden, um mögliche Sicherheitsrisiken schnell zu erkennen und entsprechend
darauf reagieren zu können. Diese Management-Sicht ist in CheckAud ebenfalls verfügbar, so dass
nachgelagerte, manuelle Aufbereitung und Bewertung der Ergebnisse minimiert werden.
I-2 CheckAud 2021.2 als Bestandteil des Risikomanagements

CheckAud ist unter der Annahme einer deutlich breiteren Aufstellung im Unternehmen konzipiert
worden. Die Prüfsoftware soll nicht nur von der internen Revision, sondern in allen
Geschäftsbereichen eingesetzt werden, welche die Berechtigungsvergabe im SAP-System (fachlich
wie technisch) und somit die Systemsicherheit beeinflussen.
Im Rahmen des Risikomanagements sollten für alle Geschäftsbereiche eines Unternehmens unter
Beachtung gesetzlicher Ordnungsmäßigkeitsvorgaben, Unternehmensvorgaben (wie z. B.
Funktionstrennungen) entsprechende Risiken, deren Auswirkungen sowie die jeweils dazu
gehörenden Präventiv- resp. Korrekturmaßnahmen definiert worden sein. Diese Informationen fließen
während der Erstkonfiguration, aber auch während der regelmäßigen Nutzung, in CheckAud ein.
So stellt CheckAud das technische Kontrollinstrument für das Risikomanagement dar. Einmal
konfiguriert und regelmäßig gepflegt, ist CheckAud ein zentrales Element des Risikomanagements
in SAP-Systemen.
9
Kapitel II - CheckScan 2021.2 (Scanmodul)
10 Kapitel II - CheckScan 2021.2 (Scanmodul)
II CheckScan 2021.2 (Scanmodul)
II - 1 Benutzeroberfläche
Nachfolgende Abbildung zeigt die Benutzeroberfläche von CheckScan 2021.2:
Abbildung 1 - Benutzeroberfläche CheckScan
1. Hauptmenü
Snapshot Hauptfenster zur Verwaltung der SAP-Systemverbindungen / HANA
Datenbank-Verbindungen
Tabellen-Sets Konfiguration der auszulesenden SAP-Tabellen / HANA
Datenbanktabellen
Einstellungen Programmglobale Einstellungen für CheckScan
Über CheckScan Lizenz- und Versionsinformationen
Beenden Beendet CheckScan
2. SAP-Systemverbindungen / HANA Datenbank-Verbindungen, Tabs zur
Anzeige der Systeme als Liste oder in Gruppen
3. Anzeige der gepflegten SAP-Systemverbindungen / HANA Datenbank
Verbindungen als Liste oder in Gruppen
4. Anonymisierung oder Pseudonymisierung des Snapshots, optional
5. Snapshot-Verschlüsselung, optional Verschlüsselung der
Pseudonymisierungsdatei
6. Erstellung des Snapshot / Anzeige des aktuellen Status der
Snapshoterstellung
Kapitel II - CheckScan 2021.2 (Scanmodul) 11
II - 2 Tabellen-Sets
II - 2.1 ABAP Systeme
In dem Menüpunkt Tabellen-Sets ist standardmäßig das Tabellen-Set Auth hinterlegt. Dieses
Tabellen-Set umfasst alle relevanten SAP-Tabellen für die Analyse der vergebenen SAP
Berechtigungen. Daher ist es zwingend notwendig, dass CheckScan zum Erstellen eines Snapshots
Zugriff auf diese Tabellen hat. An diesem Tabellen-Set können keine Änderungen vorgenommen
werden. Neben dem obligatorischen Tabellen-Set AUTH sind weitere, optional auswählbare Tabellen-
Sets vorhanden. Hierbei handelt es sich u. A. um Tabellen mit Informationen aus den Modulen BW,
FI, HCM, ISU, MM, SD und Basis, die nicht zwingend benötigt werden, um nur
Berechtigungsprüfungen durchzuführen.
Abbildung 2 - Standard Tabellen-Set Auth

Wird ein Tabellen-Set im Auswahlfenster markiert, so zeigt der untere Fensterbereich die im
Tabellen-Set enthaltenen SAP-Tabellen im Detail an. Folgende Tabellenansicht wird dafür aufbereitet:
Tabelle Name der SAP-Tabelle, die beim Scan berücksichtig

werden soll
Alle Spalten auslesen (außer den Hinweis, ob alle Spalten der angegebenen SAP-Tabelle
angegebenen) berücksichtig werden sollen (Nein: , Ja: )
Spalten Je nach Auswahl, ob alle Tabellenspalten berücksichtig
werden sollen, können explizit Tabellenspalten aus- oder
eingeschlossen werden
Tabelle vollständig auslesen In vordefinierten Tabellen-Sets existieren SAP-Tabellen die
unter bestimmten Kriterien ausgelesen werden. Das
Kriterium zum Auslesen dieser SAP-Tabelle ist mit
folgendem Icon gekennzeichnet. Ein Bewegen des
Mauszeigers auf das Icon zeigt das hinterlegte Kriterium zu
dieser Tabelle an.
Auch auslesen bei Anonymisierung Spalten der SAP-Tabelle, die bei aktiver Anonymisierung
und Pseudonymisierung und Pseudonymisierung trotzdem ausgelesen werden
Pseudonymisierte Spalten Spalten die in der Tabellenanzeige pseudonymisiert

dargestellt werden
Nicht ausgelesene Spalten bei Ist die Anonymisierung und Pseudonymisierung aktiviert,
Anonymisierung und werden die hinterlegten Spalten beim Auslesen der Tabelle
Pseudonymisierung übersprungen
Über die Schaltfläche können eigenerstellte Tabellen-Sets geladen oder gespeichert

werden.
Detaillierte Informationen zu den SAP-Tabellen / Tabellen-Sets sowie deren Verarbeitung im Sinne

der Datenschutz / Datenlöschlöschkonzepte können dem gesondert bereitgestellten
Datenschutzleitfaden (CheckAud_DataProtectionGuide) entnommen werden.
II - 2.2 HANA DB Systeme

In dem Menüpunkt Tabellen-Sets ist standardmäßig das Tabellen-Set Auth hinterlegt. Dieses
Tabellen-Set umfasst alle relevanten SAP HANA Datenbank-Tabellen für die Analyse der vergebenen
HANA Datenbank Berechtigungen. Daher ist es zwingend notwendig, dass CheckScan zum
Erstellen eines Snapshots Zugriff auf diese Tabellen hat. An diesem Tabellen-Set können keine
Änderungen vorgenommen werden. Neben dem obligatorischen Tabellen-Set AUTH sind weitere,
optional auswählbare Tabellen-Sets vorhanden.
Abbildung 3 - Standard Tabellen-Set Auth

Wird ein Tabellen-Set im Auswahlfenster markiert, so zeigt der untere Fensterbereich die im
Tabellen-Set enthaltenen HANA Datenbank-Tabellen im Detail an. Folgende Tabellenansicht wird
dafür aufbereitet:
Schema Name des Datenbankschemas, in welchem sich die

benötigte HANA Datenbank-Tabelle befindet
Tabelle Name der HANA Datenbank-Tabelle, die beim Scan

berücksichtig werden soll
Alle Spalten auslesen (außer den Hinweis, ob alle Spalten der angegebenen HANA
angegebenen) Datenbank-Tabelle berücksichtig werden sollen (Nein: ,
Ja: )
Spalten Je nach Auswahl, ob alle Tabellenspalten berücksichtig
werden sollen, können explizit Tabellenspalten aus- oder
eingeschlossen werden
Tabelle vollständig auslesen In vordefinierten Tabellen-Sets existieren HANA Datenbank-
Tabellen die unter bestimmten Kriterien ausgelesen werden.
Das Kriterium zum Auslesen dieser HANA Datenbank-
Tabelle ist mit folgendem Icon gekennzeichnet. Ein
Bewegen des Mauszeigers auf das Icon zeigt das
hinterlegte Kriterium zu dieser Tabelle an.
Auch auslesen bei Anonymisierung Spalten der HANA Datenbank-Tabelle, die bei aktiver
und Pseudonymisierung Anonymisierung und Pseudonymisierung trotzdem
ausgelesen werden
Pseudonymisierte Spalten Spalten die in der Tabellenanzeige pseudonymisiert
dargestellt werden
Nicht ausgelesene Spalten bei Ist die Anonymisierung und Pseudonymisierung aktiviert,
Anonymisierung und werden die hinterlegten Spalten beim Auslesen der Tabelle
Pseudonymisierung übersprungen
Über die Schaltfläche können eigenerstellte Tabellen-Sets geladen oder gespeichert

werden.
Detaillierte Informationen zu den HANA Dantebank-Tabellen / Tabellen-Sets sowie deren

Verarbeitung im Sinne der Datenschutz / Datenlöschlöschkonzepte können dem gesondert
bereitgestellten Datenschutzleitfaden (CheckAud_DataProtectionGuide) entnommen werden.
II - 2.3 Eigenes Tabellen-Set erstellen
Über die Schaltfläche kann ein eigenes Tabellen-Set angelegt werden. Nach
der Vergabe eines Namens für das zusätzlichen Tabellen-Set, kann über die Schaltfläche
eine neue Tabelle hinzugefügt werden, die CheckScan während des Scan
Vorganges auslesen soll. Anhand der technischen Namen besteht die Möglichkeit, bestimmte
Spalten ein- / auszublenden, zu anonymisieren oder zu pseudonymisieren.
Nachfolgendes Beispiel zeigt das zusätzliche Auslesen der Tabelle T001L eines ABAP Systems:
Abbildung 4 - Bestim m te Spalten beim Auslesen berücksichtigen
Nachdem der Snapshot in CheckAud importiert wurde, kann die Tabelle T001L in der
Tabellenanzeige dargestellt werden. Durch das Kriterium, welches in der Tabellen-Einstellung
hinterlegt werden muss, werden explizit nur die hinterlegten Spalten in der Tabellenanzeige
erscheinen. Die Trennung der angegebenen Spalten erfolgt durch ein Komma.
Hinweis 1: Werden keine Spalteneinträge hinterlegt, kommt es bei dem Start des Scans zu einem
Fehler.
Hinweis 2: Der im SAP-System angelegte RFC-Schnittstellenbenutzer (Scan-User) muss über die

Berechtigung verfügen, die im eigenen Tabellen-Set angegebene Tabelle auch lesen zu dürfen.
Besitzt er diese Berechtigung für die angegebene Tabelle nicht, kommt es bei dem Start des Scans
zu einem Fehler.
Nachfolgendes Beispiel zeigt das zusätzliche Auslesen der Tabelle T001L eines ABAP Systems,
wobei hier nun bestimmte Spalten der Tabelle vom Scan ausgeschlossen werden:
Abbildung 5 - Spalten der Tabelle beim Auslesen ausblenden
Nachdem der Snapshot in CheckAud importiert wurde, kann die Tabelle T001L in der
Tabellenanzeige dargestellt werden. Durch das Kriterium, welches in der Tabellen-Einstellung
hinterlegt wurde, werden bestimmte Spalten aus der Tabellenanzeige ausgeschlossen.
Hinweis: Werden keine Spalteneinträge hinterlegt, enthält der Snapshot alle Spalten der
angegebenen Tabelle.
wobei hier nun bestimmte Spalten der Tabelle anonymisiert/pseudonymisiert werden:
Abbildung 6 - Spalten beim Auslesen anonym isieren/pseudonym isieren
Die Werte der Spalte WERKS werden bei aktiver Anonymisierung/Pseudonymisierung in der
Tabellenanzeige von CheckAud nun unkenntlich dargestellt.
wobei hier nun bestimmte Spalten der Tabelle bei aktivierter Anonymisierung/Pseudonymisierung
übersprungen werden:
Abbildung 7 - Spalten bei aktiver Anonym sierung/Pseudonym isierung beim

Auslesen überspringen
Die Inhalte der Spalten WERKS und LGORT werden bei aktiver Pseudonymisierung oder
Anonymisierung in der Tabellenanzeige von CheckAud ohne Einträge dargestellt.
Auch für HANA DB Systeme können nach o. b. Vorgehensweise eigene Tabellen-Sets erstellt
werden. Hierbei ist lediglich die zusätzliche Angabe des Datenbank-Schemas zu beachten:
Abbildung 8 - Tabellen eines HANA DB System s auslesen
II - 2.4 Hinweis zu Feldern mit nicht unterstützten Datentypen

Für das Auslesen der Tabellen wird u. A. der Funktionsbaustein RFC_READ_TABLE verwendet.
Dieser Funktionsbaustein für das Auslesen aller Datentypen der im SAP-System vorhandenen
Tabellen. Nachfolgende Datentypen sollten nicht über CheckScan mit einem eigenen Tabellen-Set
gelesen werden:
· DEC, CURR
o Hier werden die Werte in vielen Fällen nicht korrekt zurückgeliefert, so dass keine sinnvollen
Analysen über Felder dieser Typen durchgeführt werden können. Das Auslesen scheitert aber
auch nicht, so dass die Felder nicht grundsätzlich ausgeschlossen werden müssen.
· RAW
o Die Daten von Feldern des Typs RAW können nur unvollständig ausgelesen werden (nur die
erste Hälfte der Daten wird zurückgegeben). Ab einer Länge von mehr als 255 Zeichen ist ein
Auslesen generell nicht mehr möglich.
· STRING, SSTRING, RAWSTRING
o Tabellen, die Felder dieser Datentypen enthalten, können auf Grund der variablen Länge
grundsätzlich nicht ausgelesen werden. Das Auslesen scheitert auch dann, wenn die
betreffenden Spalten explizit ausgenommen werden.
II - 3 Einstellungen
Abbildung 9 - Einstellungen des Scanm oduls
Standardsprache Legt fest, in welcher Sprache das Scanmodul gestartet werden soll.
Dialoge Einige Dialoge können mit der Option Diesen Hinweis k ünftig nicht
mehr anzeigen ausgeblendet werden. Mit dieser Schaltfläche lassen
sich ausgeblendete Dialoge wieder anzeigen.
ABAP Systeme hier werden Anmeldeinformationen für einen SAP Standardbenutzer
Standardbenutzer hinterlegt, welcher per Option in den Systemverbindungen genutzt
werden soll, damit entfällt die jeweilige Angabe des
Kommunikationsbenutzers in den Systemverbindungen
HANA DB Systeme hier werden Anmeldeinformationen für einen HANA Datenbank

Standardbenutzer Standardbenutzer hinterlegt, welcher per Option in den
Systemverbindungen genutzt werden soll, damit entfällt die jeweilige
Angabe des Kommunikationsbenutzers in den Systemverbindungen
SNC Bibliothek SNC(Secure Network Communications) wird verwendet, um die
Sicherheit durch Verschlüsselung zwischen Client- und
Serverkomponenten zu gewährleisten.
CheckScan erkennt automatisch, ob der SAP Secure Login Client auf
der Workstation bereits installiert ist und pflegt den Pfad der SNC
Bibliothek automatisch ein. Um die Verbindung mit Hilfe von SNC
herzustellen, benötigt CheckScan den Zugriff auf die Datei
sapcrypto.dll, die im Programmverzeichnis des SAP Secure Login
Client hinterlegt ist. Sollte die automatische Erkennung der Datei nicht
möglich sein, besteht die Möglichkeit der manuellen Pflege des
Pfades. Wird keine SNC-Verbindung verwendet, ist die SNC-Bibliothek
nicht notwendig.
Standardverzeichnis für Legt fest, in welchem Pfad das Dialogfenster zur Speicherung der
Snapshots Snapshots geöffnet werden soll.
II - 4 Informationen über CheckScan

II - 4.1 Lizenz einsehen / installieren
Die Schaltfläche stellt die Lizenz im Detail dar. Über die Schaltfläche
kann diese aktualisiert bzw. erneuert werden. Das Vorgehen ist analog zur
Erstinstallation der Lizenzdatei.
II - 4.2 Nutzung des Scanmoduls ohne Lizenz

Das Scanmodul kann ohne Lizenz zum Auslesen von SAP-Quellsystemen verwendet werden. Dies
ist bspw. im Rahmen von Vorbereitungen für eine externe Prüfung durch die IBS Schreiber GmbH
notwendig. Snapshots, welche durch ein unlizenziertes Scanmodul erzeugt werden, sind durch eine
Zwangsverschlüsselung gesichert. Diese Snapshots können nur durch Mitarbeiter der IBS Schreiber
GmbH im Rahmen der Prüfung importiert und ausgewertet werden.
II - 5 Anlegen einer neuen Systemverbindung (ABAP)

Hinweis: Für die Anlage von Systemverbindungen werden detaillierte Informationen (TCP/IP-
Adresse, DNS-Adresse oder SAProuter-String, Messageserver, Servergruppe, Mandant,
Systemnummer etc.) zu den auszulesenden SAP-Quellsystemen benötigt. Diese sollten über die
SAP Basisadministration in Erfahrung gebracht werden.
Über die Schaltfläche kann eine neue Verbindung zu einem SAP-Quellsystem
angelegt werden. Bereits angelegte Quellsysteme können über die Schaltfläche
exportiert bzw. importiert werden. Somit können Informationen zu SAP-Quellsystemen zwischen
verschiedenen Installationen des Scanmoduls ausgetauscht werden.
Weiterhin kann über diese Schaltfläche die SAPLOGON.INI einer vorhandenen SAP LogOn-
Installation eingelesen werden. Dabei werden die aus der SAPLOGON.INI verfügbaren
Verbindungsinformationen übernommen und müssen nur noch mit Mandanten bzw. den
Anmeldeinformationen des SAP-Kommunikationsbenutzers ergänzt werden.
Zur Erstellung einer neuen Systemverbindung wird folgender Dialog angezeigt:
Abbildung 10 - Eingabe der Verbindungsinform ationen zu einem SAP-System
Beschreibung beliebige Beschreibung zum anzulegenden Quellsystem

System Auswahl zwischen Verbindung über Anwendungsserver oder Gruppen /
Serverselektion
Server TCP/IP-Adresse oder DNS-Adresse des SAP-Host
SAProuter-String alternative Verbindung über den SAProuter-String
Systemnummer Instanznummer des SAP-Quellsystems
System-ID Systembezeichnung des SAP-Quellsystems
Mandant auszulesender Mandant des SAP-Quellsystems
Zugangsdaten Name und Kennwort des SAP-Kommunikationsbenutzers zur Anmeldung des
Scanmoduls am Quellsystem (alternativ kann hier auch ein in den
Einstellungen hinterlegter SAP-Standardbenutzer per Flag aktiviert werden)
Passwort sofern dieses Flag nicht aktiviert ist, wird bei jeder Snapshot-Erstellung nach
speichern dem Passwort des SAP-Kommunikationsbenutzers gefragt, bei aktiviertem
Flag wird das Passwort verschlüsselt hinterlegt
Über die Schaltfläche kann überprüft werden, ob mit den hinterlegten Informationen eine
Verbindung zu dem Quellsystem möglich ist.
II - 5.1 Neue SAP System-Verbindungen über SNC anlegen

Um SNC (Secure Network Communication) zu aktivieren, wird die SNC-Bibliothek vorausgesetzt und
lässt sich nur dann aktivieren. Um die SNC-Verbindung herzustellen, muss der SNC-Name des
Servers hinterlegt werden. Der SNC-Name des Benutzers ist optional und kein Pflichtfeld. Nach der
Auswahl des korrekten Sicherheitslevels, kann die Verbindung nun getestet werden.
Abbildung 11 - Verbindung über SNC
II - 5.2 Hinzufügen weiterer Tabellen-Sets
Im Reiter können neben dem Pflicht-Tabellen-Set AUTH weitere Tabellen-Sets

ausgewählt werden, welche für diese Systemverbindung zusätzlich relevant sein sollen. Die
TabellenSets:
· IBS_AUTH_ADVANCED,
· IBS_BW,
· IBS_FI,
· IBS_GDPR
· IBS_HCM,
· IBS_ISU,
· IBS_MM,
· IBS_SD und
· IBS_SYSTEM
stehen optional als vorgefertigte Auswahl zu Verfügung. Die anwendereigenen Tabellen-Sets werden
im Hauptmenüpunkt Tabellen-Sets erstellt und in diesem Reiter dynamisch angezeigt.
Die nachfolgende Abbildung zeigt die zusätzliche Auswahl des Tabellen-Set

IBS_AUTH_ADVANCED:
Abbildung 12 - Ausw ahl zusätzlicher Tabellen-Sets
Über die Schaltfläche Speichern wird die neue Systemverbindung gesichert. In der SAP-
Quellsystemübersicht in der Spalte Tabellen-Set ist ersichtlich, welche Tabellen-Sets aktiviert
worden sind.
Abbildung 13 - Scanm odul m it angelegter System verbindung

Bereits angelegte Systemverbindungen können mit der Schaltfläche editiert bzw. mit gelöscht
werden.
II - 5.3 Parameterwerte auslesen
Im Reiter finden sich neben Tabellen-Sets auch noch weitere Optionen zu

auszulesenden Informationen:
Abbildung 14 - Param eterw erte auslesen
Um die Parameter eines SAP-Systems in CheckAud prüfen zu können, müssen diese ausgelesen
werden. Das Auslesen der Parameterwerte ist in CheckScan standardmäßig aktiviert. Zu den bereits
bestehenden Berechtigungen für das Tabellen-Set AUTH werden zusätzliche Berechtigungen
benötigt, um die Parameterwerte auszulesen. Das Auslesen der Systemparameter ist erst ab dem
SAP Releasestand 7.40 möglich. Bei älteren Releaseständen werden trotz gesetzter Option zu
Auslesen keine Parameterauswertungen in CheckAud möglich sein.
II - 5.4 Vorschlagswerte für Org-Ebenen auslesen
Im Reiter finden sich neben Tabellen-Sets auch noch weitere Optionen zu

auszulesenden Informationen:
Abbildung 15 - Vorschlagsw erte für Org-Ebenen auslesen
Um die Vorschlagswerte für Organisations-Ebenen (z. B. für Buchungskreis BUKRS) in CheckAud

verwenden zu können, müssen diese mit ausgelesen werden. Das Auslesen der Vorschlagswerte für
Org-Ebenen ist in CheckScan standardmäßig aktiviert. Zu den bereits bestehenden Berechtigungen
für das Tabellen-Set AUTH werden zusätzliche Berechtigungen benötigt.
Hinweis: Sofern es beim Auslesen des SAP-Systems zu längeren Laufzeiten kommt, kann diese
Option des Auslesens der Org-Ebebenen deaktiviert werden, um Laufzeiten zu verbessern. Dadurch
werden dann aber keine Vorschlagswerte für Org-Ebenen bei der Auswertung zur Verfügung gestellt
und müssen manuell eingegeben werden.
II - 5.5 Anonymisierte Nutzungsstatistik auslesen

Es besteht die Möglichkeit, die SAP Nutzungsstatistiken in anonymisierter Form auszulesen.
Hierüber können in späteren Auswertungen dann Aussagen zu genutzten Transaktionen getätigt
werden, was eine Nachsteuerung des Berechtigungskonzeptes erleichtern kann.
Um die Nutzungsstatistik anonymisiert auszulesen, muss die entsprechende Option im Scanmodul

aktiviert sein:
Abbildung 16 - Anonym isierte Nutzungsstatistik auslesen
Hinweis:
· die Statistik wird vollständig anonymisiert ausgelesen, es werden keine Benutzernamen zu den
Statistikinformationen erfasst (keine Verhaltenskontrolle möglich)
· IBS Schreiber GmbH stellt eine vorgefertigte Rolle zum anonymisierten Auslesen der
Nutzungsstatistik bereit
· es ist zu empfehlen, die Berechtigung auf das Objekt S_TOOLS_EX für den Scanuser
nirgends zuzuordnen, da hierüber das vollständige Auslesen der Nutzungsstatistik inkl.
vollständiger Benutzernamen ermöglicht wird!
Bei ausgelesener Nutzungsstatistik stehen im Auswertungsmodul in der Toolbox Tabellen

verschiedene Tabellen für Auswertungen zur Verfügung:
Abbildung 17 - Verfügbare Tabellen für Ausw ertungen der Nutzungsstatistik
II - 6 Anlegen einer neuen Systemverbindung (HANA DB)

Hinweis: Für die Anlage von Systemverbindungen werden detaillierte Informationen (TCP/IP-
Adresse, DNS-Adresse, Instanznummer etc.) zu den auszulesenden HANA Datenbanken benötigt.
Diese sollten über die SAP Basisadministration in Erfahrung gebracht werden.
Über die Schaltfläche kann eine neue Verbindung zu einer HANA Datenbank
angelegt werden. Bereits angelegte Quellsysteme können über die Schaltfläche
exportiert bzw. importiert werden. Somit können Informationen zu HANA Datenbanken als
Quellsysteme zwischen verschiedenen Installationen des Scanmoduls ausgetauscht werden.
Weiterhin können über diese Schaltfläche entsprechende Verbindungsinformationen aus dem SAP
HANA Cockpit bzw. dem SAP HANA Studio übernommen werden und müssen nur noch mit den
Anmeldeinformationen des Kommunikationsbenutzers ergänzt werden.
Zur Erstellung einer neuen Systemverbindung wird folgender Dialog angezeigt:
Abbildung 18 - Eingabe der Verbindungsinform ationen zu einer HANA Datenbank
Beschreibung beliebige Beschreibung zum anzulegenden Quellsystem

Server TCP/IP-Adresse oder DNS-Adresse der HANA Datenbank
Instanz-Nummer Instanz-Nummer der HANA Datenbank
Modus Auswahl des Betriebsmodus der HANA Datenbank, hier muss angegeben
werden, ob die auszulesende HANA Datenbank als Einzel- oder
Mehrfachcontainer arbeitet und ggfls. welches Tenant auszulesen ist
Zugangsdaten Name und Kennwort des Kommunikationsbenutzers zur Anmeldung des
Scanmoduls am Quellsystem (alternativ kann hier auch ein in den
Einstellungen hinterlegter HANA Datenbank Standardbenutzer per Flag
aktiviert werden)
Passwort sofern dieses Flag nicht aktiviert ist, wird bei jeder Snapshot-Erstellung nach
speichern dem Passwort des Kommunikationsbenutzers gefragt, bei aktiviertem Flag
wird das Passwort verschlüsselt hinterlegt
Über die Schaltfläche kann überprüft werden, ob mit den hinterlegten Informationen eine
Verbindung zu dem Quellsystem möglich ist.
II - 6.1 Verschlüsselung der Systemverbindung

Sofern der Zugriff auf die HANA Datenbank per gesicherter SSL/TLS Verbindung erfolgen muss, kann
dies im Reiter Netzwerk konfiguriert werden:
Abbildung 19 - Aktivierung der SSL/TLS Verschlüsselung
Verschlüsselung wenn Flag gesetzt, wird die Systemverbindung zur HANA Datenbank über
ak tivieren das SSL / TLS Verschlüsselungsprotokoll aufgebaut, hierbei erfolgt eine
(SSL/TLS) entsprechende Zertifikatsabfrage
Zertifik at validieren wenn Flag gesetzt, wird das abgefragte Zertifikat auf Echtheit geprüft, dies
erhöht die Sicherheit und minimiert mögliche Angriffe auf die Kommunikation,
allerdings wird es hier bei der Nutzung von selbst-signierten Zertifikaten zu
einer Fehlermeldung kommen
II - 6.2 Hinzufügen weiterer Tabellen-Sets
Im Reiter können neben dem Pflicht-Tabellen-Set AUTH weitere Tabellen-Sets

ausgewählt werden, welche für diese Systemverbindung zusätzlich relevant sein sollen. Die Tabellen-
Sets:
· IBS_SYSTEM
stehen optional als vorgefertigte Auswahl zu Verfügung.
Abbildung 20 - Ausw ahl zusätzlicher Tabellen-Sets
II - 7 Anonymisierung und Pseudonymisierung

Mit Hilfe der Anonymisierung oder der Pseudonymisierung werden im Snapshot personenbezogene
Daten unkenntlich dargestellt.
Abbildung 21 - Snapshot anonym sieren
Bei der Anonymisierung ist die Zuordnung der Benutzernamen nicht möglich. Die Benutzernamen
werden anonymisiert im Snapshot hinterlegt und es kann nicht auf den ursprünglichen Namen
geschlossen werden.
Abbildung 22 - Snapshot pseudonym isieren
Bei der Pseudonymisierung wird neben dem Snapshot eine zusätzliche Excel-Datei erstellt. In der
Excel-Datei sind die Pseudonyme und die zugehörigen Benutzernamen hinterlegt. Somit ist eine
Zuordnung der Pseudonyme zu dem Benutzernamen möglich. Bei Bedarf kann diese Mapping-Datei
auch verschlüsselt werden, um personenbezogene Daten zu schützen:
Abbildung 23 - Mapping Datei verschlüsseln
Abbildung 24 - Partielle Anonym isierung
In einer Textdatei hinterlegte Benutzer können aus der Pseudonymisierung/Anonymisierung

ausgeschlossen werden (partielle Pseudonymisierung/Anonymisierung). Dies hat zur Folge, dass
diese Benutzer in Klarnamen in der CheckAud-Analyse angezeigt werden. Die Syntax der Textdatei
darf in jeder Zeile nur einen Benutzernamen beinhalten. Sollten in einer Zeile mehrere
Benutzernamen aufgeführt sein, wird der zweite Name nicht berücksichtigt.
Abbildung 25 - Anzeige des Benutzer-Modus in der Snapshotverw altung des Ausw ertungsm oduls
Abbildung - Benutzer-Modus
In der Snapshotverwaltung des CheckAud Auswertungsmoduls ist der jeweilige Benutzer-Modus der
Snapshots ersichtlich.
Normal keine Pseudonymisierung oder Anonymisierung

Partielle Pseudonymisierung Pseudonymisierter Snapshot in Verwendung der
Benutzerliste (Textdatei)
Partielle Anonymisierung Anonymisierter Snapshot in Verwendung der
Benutzerliste (Textdatei)
Pseudonymisierung Pseudonymisierter Snapshot
Anonymisierung Anonymisierter Snapshot
Detaillierte Informationen zur Anonymisierung und Pseudonymisierung sowie zur technischen

Umsetzung dieser Verfahren können dem gesondert bereitgestellten Datenschutzleitfaden
(CheckAud_DataProtectionGuide) entnommen werden.
II - 8 Verwalten der Systemverbindungen in Gruppen

Bei Bedarf können die angelegten Systemverbindungen in Gruppen organisiert werden, um so bspw.
das sequentielle Auslesen der Quellsysteme zu erleichtern bzw. übersichtlicher zu gestalten. Um
die Systemverbindungen zu gruppieren, muss in die Gruppenansicht über das Tab
gewechselt werden.
Abbildung 26 - System verbindungen in der Gruppenansicht
Über die Schaltfläche können beliebige Gruppen erstellt werden:
Abbildung 27 - Erstellte System gruppen
An den Gruppen sind über folgenden Schaltflächen verschiedene Aktionen möglich:
- eine neue Systemverbindung erstellen und zur Gruppe hinzufügen

- Gruppe umbenennen
- Gruppe löschen, die mit der Gruppe verknüpften Systemverbindungen werden dabei
nicht gelöscht
Über die Schaltfläche ABAP-Systeme oder HANA DB kann eine Toolbox eingeblendet werden, in der
die bereits angelegten Systemverbindungen zur Auswahl stehen. Mit der Schaltfläche kann die
Toolbox bei Bedarf dauerhaft eingeblendet werden:
Abbildung 28 - Gruppenansicht inkl. Toolbox zur Ausw ahl der Quellsystem e
Über Drag&Drop können nun die Systemverbindungen zu den gewünschten Gruppen zugeordnet
werden:
Abbildung 29 - Gruppen m it zugeordneten System verbindungen
Das Symbol in der Toolbox mit den Systemverbindungen zeigt eine aktive Zuordnung zu
Gruppen an. Weiterhin kann als Hilfe bei einer großen Anzahl von Systemverbindungen mit der
Filterfunktion gezielt in der Toolbox nach Systemen gesucht werden.
Abbildung 30 - Nutzung der

Filterfunktion für die System suche
II - 9 Erstellung eines Snapshots (ABAP & HANA DB)

Für die Erstellung von Snapshots der gewünschten SAP-Quellsysteme bzw. von HANA Datenbanken
müssen eine oder mehrere Systemverbindungen in der Listen- oder in der Gruppenansicht per Flag
markiert werden:
Abbildung 31 - Für Snapshot-Erstellung m arkierte System e in der Listenansicht
Werden mehrere Systeme für den Snapshot markiert, so werden diese sequentiell durch das
Scanmodul ausgelesen und die jeweiligen Snapshots im angegebenen Zielverzeichnis abgelegt.
Bei Bedarf können die Snapshots zusätzlich über ein Passwort verschlüsselt werden. Dieses wird
beim Import des Snapshots in die Datenbank des Auswertungsmoduls abgefragt.
Abbildung 32 - Optionale Verschlüsselung des Snapshot
Bei Bedarf kann die Zuordnungsdatei der Pseudonyme zu Klarnamen ebenfalls verschlüsselt werden.
Diese Option steht nur zur Verfügung, wenn der Snapshot pseudonymisiert werden soll und die
entsprechende Option Snapshot pseudonymisieren aktiviert ist:
Abbildung 33 - Optionale Verschlüsselung der Zuordnungsdatei
Das Erstellen der Snapshots erfolgt über die Schaltfläche wird geprüft, ob
entsprechende Schutzmaßnahmen zum Scannen personenbezogener Daten getroffen wurden
(Verbindung über SNC, Verschlüsselung des Snapshots, Pseudonymisierung etc.). Sofern keine der
eben genannten Schutzmaßnahmen aktiviert wurden, erscheint vorab folgender Warnhinweis:
Abbildung 34 - Warnhinw eis fehlende Datenschutzm aßnahm en
Detaillierte Informationen zu den Schutzmaßnahmen beim Scan personenbezogener Daten können

dem gesondert bereitgestellten Datenschutzleitfaden (CheckAud_DataProtectionGuide) entnommen
werden.
Im nächsten Schritt wird ein Dialogfenster zum Abspeichern der Snapshot-Datei geöffnet:
Abbildung 35 - Window s Standarddialogfenster zum Speichern des Snapshot
Die Namensgebung der zu speichernden Datei setzt sich wie folgt zusammen:
SystemID_Mandant_Datum_Uhrzeit.casnapshot
Abbildung 36 - Fortschritt des Scans
Nach dem Starten des Scans wird die Systemauswahl deaktiviert und in unterem Bereich werden die
zu scannende Tabellen angezeigt, sowie die voraussichtliche benötigte Zeit bis zum Abschluss des
Scans. Nach erfolgreicher Fertigstellung des Scanvorgangs wird ein Ergebnisfenster angezeigt:
Abbildung 37 - Ergebnisfenster des erfolgreichen Scans
Hinweis:
Wird im Ergebnisfenster ein -Symbol angezeigt, handelt es sich um den Hinweis, dass einige
optionale Tabellen im Snapshot nicht berücksichtigt worden sind. Das Erstellen des Snapshots
erfolgte dennoch erfolgreich. Wird der Mauszeiger nun auf das angezeigte Symbol bewegt, erscheint
ein Fenster, welches die übersprungenen Tabellen in dem dazugehörigen Tabellen-Set anzeigt.
Hinweis:
Das oben beschrieben Verfahren ist für ABAP-Scans und HANA DB-Scans jeweils einzeln
durchzuführen. Mit dem Wechsel der Reiter ABAP Systeme zu HANA DB Systeme können die
jeweiligen Systemscans gestartet werden.
41
Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
42 Kapitel III - CheckAud 2021.2 (Auswertungsmodul)
III CheckAud 2021.2 (Auswertungsmodul)

III - 1 Benutzeroberfläche
Nachfolgende Abbildung zeigt die Benutzeroberfläche von CheckAud 2021.2:
Abbildung 38 - Startbildschirm CheckAud
Neues Projek t Projektansicht zur Erstellung/Bearbeitung von Analyseprojekten

Projek t öffnen Projektansicht für bereits erstellte Analyseprojekte
ECS Regelwerk Importiert ein Regelwerk der Easy Content Solution (ECS) als
importieren Analyseprojekt in CheckAud
Snapshot Import und Verwaltung der Snapshots
Einstellungen Globale Programmeinstellungen
Administrative Lizenzverwaltung und weiterführende Informationen zu
Über Check Aud
CheckAud
Beenden Beendet CheckAud
In der Projektansicht werden folgende, zusätzliche Oberflächenelemente angezeigt:
Kapitel III - CheckAud 2021.2 (Auswertungsmodul) 43
Abbildung 39 - Projektansicht CheckAud

1 Wechselt zum Startbildschirm, ohne das aktuell geöffnete Analyseprojekt zu schließen.
2 Tab für akt. gewähltes Analyseprojekt, jedes geöffnete Analyseprojekt wird in einem
eigenen Tab dargestellt, somit können gleichzeitig mehrere Projekte in CheckAud
geöffnet werden.
3 Menü für Schnellzugriff auf Standardfunktionen.
Projekt speichern
Projekt speichern unter
Rückgängig
Wiederholen
Analyse starten (Projekt, Teilprojekt oder akt. gewählte Abfrage)
Analyse abbrechen (Projekt, Teilprojekt oder akt. gewählte Abfrage)
Ergebnisexport des ausgewählten Elements im Analyseprojekt
Ergebnisexport abbrechen
Erstellen eines neuen Verzeichnisses im Analyseprojekt

Erstellen einer neuen Abfrage (ABAP oder HANA DB) im Analyseprojekt
Umbenennen des akt. gewählten Elementes im Analyseprojekt
Löschen des akt. gewählten Elementes im Analyseprojekt
Standard Projekt Baumansicht darstellen
Vererbung der Analyse-Einstellung in der Projekt Baumansicht visualisieren
Vererbung der Benutzer-Zuordnung in der Projekt Baumansicht visualisieren
visualisiert die Änderung an der Schadensauswirkung von Berechtigungsabfragen
visualisiert die Definition von kompensierenden Kontrollen von Berechtigungsabfragen
visualisiert die Änderung von Bewertungskriterien an tabellarischen Abfragen
visualisiert die Änderung der Dokumentation von Berechtigungsabfragen
visualisiert nicht referenzierte Elemente im Analyseprojekt
4 Analyseprojekt, hier wird das aktuell ausgewählte Analyseprojekt als Baumdarstellung

angezeigt. Änderungen an der Struktur des Projektes werden hier durchgeführt.
5 Hauptfenster, in diesem Bereich werden inhaltliche Einstellungen des Projektes
vorgenommen, wie z. B. Einstellungen zum verwendeten SAP Scan, Filter- oder
Variableneinstellungen sowie Einstellungen zur Risikobewertung einzelner Abfragen im
Projekt.
6 Toolbox, in diesem Werkzeugkasten werden alle seitens IBS vordefinierten
Berechtigungsabfragen, Tabellenabfragen, Parameterabfragen bereitgestellt. Im Reiter
Bäume sind die ausgelieferten Abfragen bereits in Form von sogenannten
Vorlagebäumen thematisch sortiert. Die Toolbox ist standardmäßig ausgeblendet, kann
aber mit ständig eingeblendet werden.
7 Sprachauswahl, über diese Schaltfläche kann zwischen den definierten Sprachen (im
Standard Deutsch und Englisch) gewechselt werden. Dabei werden sowohl die
Benutzeroberfläche als auch die Inhalte der Projekte auf die neue Spracheinstellung
gewechselt. 1
1
Sofern für das Projekt in der gew ählten Sprache Übersetzungen gepflegt w urden
III - 1.1 Projekt - Neues Projekt / Projekt öffnen

In diesem Menüpunkt können Analyseprojekte neu erstellt oder bereits vorhandene Projekte geöffnet
werden. Zusätzlich gibt es die Möglichkeit, zuletzt verwendete Projekte per Schnellzugriff zu öffnen.
Nachdem Projekte geöffnet bzw. gespeichert wurden, werden diese in dem Bereich Zuletzt
verwendet chronologisch hinterlegt. Bei Bedarf lassen sich einzelne Projekte mit Hilfe der
Schaltfläche in die Favoritenliste aufnehmen. Projekte, die als Favorit gekennzeichnet sind,
werden mit dem erneuten Drücken der Schaltfläche aus der Favoritenliste wieder entfernt.
Die Schaltfläche bzw. ermöglicht das Ändern der Auflistungsreihenfolge in der Favoritenliste.
Abbildung 40 - Zuletzt genutzte Analyseprojekte

Mit der Schaltfläche werden zuletzt geöffnete Analyseprojekte oder Favoriten aus den Listen
entfernt.
III - 1.2 Snapshots

Der Menüpunkt Snapshot ermöglicht das Importieren der vom Scanmodul CheckScan erstellten
Snapshot-Dateien. Weiterhin besteht hier die Möglichkeit, bereits in der CheckAud Datenbank
vorhandene Snapshots zu verwalten.
III - 1.2.1 Import von Snapshots

Um die vom Scanmodul erzeugten Snapshot-Dateien zu importieren, wird wie folgt vorgegangen.
Über den Menüpunkt Snapshot wird der Import eines von CheckScan erstellten Snapshots mit der
Schaltfläche Snapshot importieren gestartet:
Abbildung 41 - Im port von Snapshots
Es öffnet sich ein Windows-Standarddialog zum Auswählen von Dateien, hier muss eine bereits
vorher erstellte Snapshot-Datei gewählt werden. Danach wird die Datei eingelesen:
Abbildung 42 - Einlesen der Snapshot-Datei
Vor dem eigentlichen Import werden erste Informationen zu dem eingelesenen Snapshots in einer
Übersicht dargestellt:
Abbildung 43 - Übersicht Im port Snapshot ABAP System
Abbildung 44 - Übersicht Im port Snapshot HANA System

Zu den Informationen gehören:
· System / Mandant (ABAP Snapshot) bzw. System / Tenant (HANA DB Snapshot)
· Erstellungsdatum des Snapshots
· Benutzermodus (Normal, Anonymisiert oder Pseudonymisiert)
· wurden Parameterwerte ausgelesen
· wurden Vorschlagswerte für Org-Ebenen ausgelesen
· die in Snapshots hinterlegten Tabellen-Sets
Weiterhin kann hier vorgegeben werden, in welcher Snapshot-Gruppierung dieser neu zu

importierende Snapshot angelegt werden soll. Gruppierungen von Snapshots dienen der besseren
Verwaltung und Übersichtlichkeit. Neben der Standard-Gruppe kann der Snapshot auch anderen
Gruppen (sofern in der Snapshotverwaltung angelegt) zugewiesen werden bzw. kann hier auch beim
Import eine neue Gruppe erstellt werden.
Abbildung 45 - Zuordnung der Gruppe
Zu diesen Informationen können optional Anmerk ungen zu den Mandanten oder Snapshots hinterlegt
werden. Alle hier angezeigten und optional zusätzlich gepflegten Informationen werden später
ebenfalls in der Verwaltung der Snapshots angezeigt.
Über die Schaltfläche kann der Import und damit die Aufbereitung der Snapshot-Daten in
der CheckAud-Datenbank gestartet werden:
Hinweis: im Bereich Enthaltene Tabellen werden u. U. Tabellennamen farblich gekennzeichnet:
Schwarz Tabellen, welche vollständig ausgelesen wurden

Tabellen, welche aufgrund eines Filterkriteriums nicht vollständig ausgelesen
Blau wurden, das entsprechende Filterkriterium wird angezeigt, wenn die Maus
über den Tabellennamen bewegt wird
Tabellen, welche per Konfiguration des für den Scan verwendeten Tabellen-
Sets vorgegeben wurden, aber nicht ausgelesen werden konnten. Ursache
Rot hierfür kann sein, dass die Tabellen im SAP System nicht vorhanden sind
oder aber das der verwendete RFC-Schnittstellenbenutzer/Scan-User nicht
die Berechtigung hatte, diese Tabellen auszulesen.
Tabellen, welche aufgrund der beim Scan aktivierten
Grau Anonymisierung/Pseudonymisierung beim Auslesen übersprungen wurden,
somit stehen diese Tabelleninhalte nicht zur Auswertung zur Verfügung
III - 1.2.2 Verwalten - Verwaltung verfügbarer Snapshots

Über die Schaltfläche Snapshot und Snapshots verwalten können in CheckAud importierte
Snapshots verwaltet werden.
Abbildung 46 - Startbildschirm Verw altung von Snapshots
Abbildung 47 - Snapshot-Managem ent
Das Snapshot-Management enthält Informationen über die in der CheckAud-Datenbank vorhandenen

Snapshots. Diese werden getrennt nach Gruppe, Art des Snapshots (ABAP/HANA DB) sowie
System, Mandant und Tenant tabellarisch dargestellt. Mehrere Schaltflächen und
Informationssymbole stehen für die Verwaltung der Snapshots zur Verfügung:
eingelesener Snapshot zum System/Mandant ist lizenziert und kann verwendet

werden
Kommentar zum System/Mandant bzw. Snapshot ändern
System/Mandant bzw. Snapshot gegen Löschen aus der Datenbank schützen
System/Mandant bzw. Snapshot löschen
Statistikinformation zum Snapshot anzeigen
Export der Snapshot-Statistik in eine Textdatei
Anzahl SAP-Benutzer im Snapshot ist von der genutzten CheckAud-Lizenz

abgedeckt, es liegt keine Lizenzverletzung vor
Anzahl SAP-Benutzer im Snapshot ist nicht von der genutzten Lizenz abgedeckt, es
liegt eine Lizenzverletzung vor oder der Snapshot wurde mit anderen
Lizenzeinstellungen erzeugt. In diesem Fall sollte der Support der IBS Schreiber
GmbH kontaktiert werden.
Die in der CheckAud-Datenbank enthaltenen Snapshots können über Gruppen organisiert werden.
Die Standard Gruppe ist systemseitig vorgegeben und nimmt alle Snapshots auf, wenn diese beim
Import nicht explizit einer neuen Gruppe zugewiesen worden sind.
Über die Schaltfläche können eigene Gruppen erstellt und die Snapshots via
Drag&Drop diesen dann zugeordnet werden. Dabei werden dann innerhalb der Gruppen die
Snapshots automatisch wieder nach System / Mandant / Tenant als Untergruppe gruppiert.
Abbildung 48 - Erstellung einer eigenen Snapshot-Gruppe und Zuw eisung eines Snapshots
Abbildung 49 - Neue Snapshot-Gruppe
Die Gruppierung kann später bei der Auswahl in den Einstellungen des Analyseprojektes
entsprechende Anwendung finden.
Abbildung 50 - Verw endung eigener Snapshot-Gruppen in Einstellungen des Analyseprojektes
III - 1.3 Einstellungen - Standardsprache / Server / Einstellungen Exporte
Abbildung 51 - CheckAud Einstellungen

Standardsprache:
CheckAud ist mehrsprachig nutzbar. Dabei stehen im Standard die Programmfunktionen sowie die
Inhalte der im Standard ausgelieferten Analyseprojekte sowohl in Deutsch als auch Englisch zur
Verfügung. Der Wechsel der Sprache erfolgt über die Schaltflächen bzw. .
Je nach Einstellung wird CheckAud immer in dieser gewählten Sprache gestartet, kann aber im
laufenden Betrieb jederzeit gewechselt werden.
Dialoge:
Einige Dialoge können mit der Option Nicht wieder anzeigen ausgeblendet werden. Mit dieser
Schaltfläche lassen sich ausgeblendete Dialoge wieder anzeigen.
Server:
Die während der Installation vorgenommenen Einstellungen zur Serveradresse und -port werden
angezeigt. Es ist nicht möglich, diese Einstellungen zu ändern.
Einzelexporte, Sammelexporte, Berechtigungs-Matrizen, Excel-Exporte:
Hier vorgenommene Einstellungen für den Export von ausgewerteten Analyseprojekten gelten
programmglobal und werden automatisch bei der Erstellung neuer Analyseprojekte als
Standardeinstellung in das Projekt überführt. Im jeweiligen Analyseprojekt können diese
Einstellungen vom programmglobalen Standard abweichend konfiguriert werden. Weitere
Informationen finden sich hierzu im Kapitel Einstellungen 145 für Teil-/Gesamtexporte.
III - 1.4 Docking von Reitern & Toolboxes

Das Docking Reitern und Toolboxes ermöglicht die individuelle Einrichtung der Benutzeroberfläche.
Reiter und Toolboxes können via Drag&Drop als eigenes Fenster beliebig auf dem Bildschirm
platziert werden. Hierfür muss lediglich der gewünschte Reiter oder die Toolbox mit gedrückter
Maustaste von der aktuellen Position in einen beliebigen Bildschirmbereich gezogen werden:
Abbildung 52 - Docking von Reitern und Toolboxes

Dies ist ebenfalls mit den Reitern der geöffneten Analyseprojekte möglich. Die Projektreiter lassen
sich damit aus dem Hauptfenster lösen und auf dem Bildschirm verschieben.
Abbildung 53 - Docking der Analyseprojekt-Reiter

Als Unterstützung kann auch ein Navigationskreuz verwendet werden, welches automatisch
angezeigt wird, sobald ein Reiter oder eine Toolbox per Drag&Drop als Fenster herausgelöst wird.
Die Position des neuen Fensters, kann mit Hilfe des Navigationskreuzes bestimmt werden.
Abbildung 54 -
Docking-Navigationskreuz
Die äußeren Punkte der Navigationskreuz stehen für oben, rechts, unten und links. Der mittlere
Punkt stellt die Standardansicht wieder her. Alternativ kann zum Wiederherstellen der
Standardansicht auch der Kontextmenüeintrag Standard-Layout wiederherstellen verwendet werden,
sobald man per Linksklick auf eine Fenstertitelleiste klickt. Mit Schließen von CheckAud wird das
individuell eingerichetete Layout der Oberfläche gespeichert. Dies sorgt dafür, dass das Layout beim
nächsten Start von CheckAud bestehen bleibt.
III - 1.5 Arbeiten mit der Zwischenablage

Inhalte des Analyseprojektes oder auch die in den Tabellenansichten gelisteten Informationen
können über die Zwischenablage in andere Programme kopiert werden. Durch einen Rechtsklick z.
B. innerhalb des Ergebnisfensters einer Berechtigungsabfrage öffnet sich ein Kontextmenü. Es ist
möglich, nur den Zellwert zu kopieren oder die ganze Zeile. Über Kopieren werden darüber hinaus die
anderen Zellwerte angezeigt. Diese können dann je nach Bedarf auch einzeln angewählt und kopiert
werden.
Abbildung 55 - Werte kopieren
Die Textinhalte der Elemente im Analyseprojekt können über die Zwischenablage kopiert werden. Im
u. s. Beispiel ist der kopierte Wert FB03 - Beleg anzeigen.
Abbildung 56 - Elem entinhalte kopieren
III - 2 Analyseprojekte
III - 2.1 Einführung
Analyseprojekte enthalten neben den technischen Abfragen sämtliche Einstellungen, Vorgaben und
Informationen zur Durchführung einer Prüfung. Dabei kann die Struktur des Analyseprojektes die
Vorgehensweise bei der Prüfungsdurchführung widerspiegeln. Weiterhin können an einem
Analyseprojekt folgende Einstellungen / Informationen hinterlegt werden:
· Auszuwertende Snapshots (= Aufnahmen der jeweiligen SAP-Systeme oder HANA Datenbanken),

es können dabei mehrere Snapshots unterschiedlicher Systeme und Mandanten in einem Projekt
genutzt werden.
· Filter, es können bestimmte Benutzerkonten für die Auswertung ein- bzw. ausgeschlossen
werden. Dabei stehen umfassende Auswahlkriterien wie Benutzerattribute (Status, Gültig bis,
Namensraum) und Rollen bzw. Profile zur Verfügung.
· Variablen, es können Vorgaben für die in den Analyseprojekten variabel gestalteten Abfragen
(Abfragen mit Bezug auf org. Ebenen wie z. B. Buchungskreise, Geschäftsbereiche) definiert
werden.
· Benutzer-Zuordnung, es können für jede Abfrage individuelle Sollvorgaben hinsichtlich berechtigter

Benutzer hinterlegt werden. Diese wirken sich dann neutral auf der errechneten Score der Abfrage
aus. (siehe Kapitel Der Score eines Analyseprojektes 169 )
· Einstellungen des Risikomanagements, hier werden die Bewertungen für das hinter der techn.
Abfrage stehende Risiko hinterlegt. Dabei werden fachliche Beschreibungen des Risikos, Angaben
zur Schadenswirkung bzw. organisatorische Kontrollen hinterlegt, die ggf. die Schadenswirkung
kompensieren können.
· Dokumentation, es können hier Schlagworte (Tags) zum Suchen innerhalb des Projektes hinterlegt
werden. Zusätzlich können weiterführende Informationen hinsichtlich Anwendungsbereichs und
Zielsetzung zur technischen Berechtigungsabfrage gepflegt werden.
Bereits erstellte Analyseprojekte können per Doppelklick aus dem Windows Explorer heraus direkt
mit CheckAud zusammen geöffnet werden. Die Projektdateien sind an der Dateiendung .caproject
und dem Icon erkennbar.
III - 2.2 Die Elemente in einem Analyseprojekt
Projekt
Startpunkt einer jeden Analyse ist das Analyseprojekt. Einstellungen zur Analyse auf dieser Ebene
werden auf alle untergeordneten Elemente vererbt. Das Element kann beliebig in Deutsch bzw.
Englisch benannt werden. Durch gedrückt halten der Strg-Taste und einem Mausklick auf den Pfeil
links neben dem Symbol Projekt können sämtliche Unterpunkte des Projektes expandiert bzw.
komprimiert werden.
Ordner
Ordner stellen organisatorische Container innerhalb des Projektes dar. Ein Ordner selbst kann
Einstellungen erben bzw. durch eine Vererbungsunterbrechung neue Einstellungen zur Analyse
vorgeben, die dann auf untergeordnete Elemente vererbt werden. Das Element kann beliebig in
Deutsch bzw. Englisch benannt werden. Durch gedrückt halten der Strg-Taste und einem Mausklick
auf den Pfeil links neben dem Symbol Ordner können sämtliche Unterpunkte des Ordners expandiert
bzw. komprimiert werden.
Berechtigungsabfrage
Die Berechtigungsabfrage ist die technische Prüfung auf (beliebig einstellbare) Kombinationen von
Berechtigungsobjekten, die ein Benutzer auf Grund seiner Rollen-, Profil- oder
Referenzbenutzerzuordnung erhalten kann. Hinter dieser Berechtigungsabfrage steht im Allgemeinen
ein Risiko, das durch die Prüfung inkl. der an der Berechtigungsabfrage hinterlegten Bewertung
quantifiziert wird. Das Element kann beliebig in Deutsch bzw. Englisch benannt werden.
Berechtigungsabfrage (Referenz)
Hierbei handelt es sich um eine IBS-Standard-Berechtigungsabfrage, die in der technischen

Zusammensetzung und in der Bezeichnung nicht geändert werden kann. Lediglich Angaben zur
Schadensauswirkung, Risikobeschreibung sowie die Benutzer-Zuordnung können individuell
hinterlegt werden. Referenz-Abfragen werden automatisch durch Updates in der Zusammensetzung
bei Bedarf aktualisiert.
Analysebaum (Referenz)
Themenbezogene Zusammenstellungen von Standardabfragen auf Basis von Best-Practice-

Erfahrungen der IBS werden in Form von Analysebäumen ausgeliefert. Durch gedrückt halten der
Strg-Taste und einem Mausklick auf den Pfeil links neben dem Symbol Analysebaum können
sämtliche Unterpunkte des Analysebaumes expandiert bzw. komprimiert werden. Diese
Analysebäume können in ein eigenes Analyseprojekt als Referenz eingebunden werden. Dabei
können die Struktur sowie die Benennung der in dem referenzierten Analysebaum enthaltenen
Abfragen nicht angepasst werden. Wie bei Referenzabfragen können hier lediglich individuelle
Angaben zur Schadensauswirkung, Risikobeschreibung sowie zur Benutzer-Zuordnung hinterlegt
werden. Referenzierte Analysebäume werden automatisch durch Updates in der Struktur sowie bei
den Zusammensetzungen der enthaltenen Abfragen bei Bedarf aktualisiert.
Dokumente (Referenz)
Hierbei handelt es um eine in den Analysebäumen hinterlegte Dokumentation. Neben Erklärungen

einzelner Parameter und technische Begriffe, werden Hinweise aus der Best-Practice Erfahrung
aufgeführt. Diese Dokumente werden seitens der IBS Schreiber GmbH bereitgestellt und können
nicht verändert werden.
Tabellarische Abfrage (Referenz)
Hierbei handelt es sich um seitens der IBS Schreiber GmbH vorgegebene tabellarische Abfragen.
Eine tabellarische Abfrage besteht aus einer Zusammenführung (JOIN) von einer oder mehrerer SAP-
Tabellen bzw. HANA Datenbanktabellen, welche gemäß Tabellen-Set 11 mit dem Snapshot
ausgelesen wurden. Zusätzlich können Filterungen der Tabelleninhalte sowie Vorgaben zur
Auswertung hinterlegt werden. Zusammensetzung und ausgewählte Tabellen einer referenzierten,
tabellarischen Abfrage können nicht geändert werden.
Tabellarische Abfrage
Hierbei handelt es sich um eine selbsterstellte, tabellarische Abfrage. Hier können alle im Snapshot
enthaltenen SAP-Tabellen bzw. HANA Datenbanktabellen für beliebe JOIN-Verknüpfungen und
Filterungen verwendet werden.
Parameterabfrage
Hierbei handelt es sich um eine Prüfung eines oder mehrerer SAP-Systemparameter. Sofern diese
mit dem Snapshot zur Verfügung gestellt werden (siehe Kapitel Parameter 24 ), können die
Parameter gegen definierte Sollvorgaben geprüft werden.
1Essei denn, es handelt sich bei dem Ordner um ein Element eines referenzierten Analysebaums, der in das eigene
Analyseprojekt eingebunden w urde.
III - 2.3 Analyse-Einstellungen

Der Reiter Analyse-Einstellungen enthält die für das gesamte Projekt oder für das im Analyseprojekt
gewählte Element geltenden Einstellungen hinsichtlich. Es wird in Einstellung für die Analyse von
ABAP und HANA DB Systemen unterschieden:
· Ebene der Berechtigungsauswertung

o ABAP Benutzer Sammelrollen, Einzelrollen
o HANA DB Benutzer, Rollen
· auszuwertenden Snapshot bzw. zu vergleichenden Snapshot
· zu verwendende Variablen (Ausprägung der Organisationsebenen, nur ABAP)
· zu verwendende Benutzerfilter (welche Benutzer sollen im Ergebnis gezeigt/nicht gezeigt werden)
· zu verwendende Berechtigungsfilter (Beachtung der Berechtigungsherkünfte bei der Auswertung)
Abbildung 57 - Analyse - Einstellungen (ABAP)
Abbildung 58 - Analyse - Einstellungen (HANA DB)
III - 2.3.1 Ebene der Berechtigungsauswertung (ABAP)

Berechtigungsabfragen können auf verschiedenen Ebenen ausgewertet werden:
Benutzer Es werden sämtliche Benutzer ausgewertet, welche die geprüfte Berechtigung

aufgrund der ihnen zugewiesenen Einzelrollen, Sammelrollen, Profilen und
Referenzbenutzern erhalten.
Sammelrollen Es werden sämtliche Sammelrollen ausgewertet, welche die geprüfte
Berechtigung vollständig enthalten. Hierbei werden die Herkünfte der
Berechtigungswerte über enthaltene Einzelrollen mit berücksichtig.
Einzelrollen Es werden sämtliche Einzelrollen ausgewertet, welche die geprüfte
Berechtigung vollständig enthalten.
Abbildung 59 - Ausw ertungsebenen
Durch Anklicken der Schaltflächen Benutzer, Sammelrollen, Einzelrollen kann definiert werden,
welche Ebene der Berechtigungsauswertung aktiviert werden soll. Sofern bspw. Auswertungen der
Sammel-/Einzelrollen nicht benötigt werden, können diese deaktiviert und damit das
Laufzeitverhalten während der Auswertung verbessert werden:
Abbildung 60 - Ausw ertungsebenen, selektiert
III - 2.3.2 Ebene der Berechtigungsauswertung (HANA DB)

Berechtigungsabfragen können auf verschiedenen Ebenen ausgewertet werden:
Benutzer Es werden sämtliche Benutzer ausgewertet, welche die geprüfte Berechtigung

aufgrund der ihnen zugewiesenen Rollen erhalten.
Rollen Es werden sämtliche Rollen ausgewertet, welche die geprüfte Berechtigung
vollständig enthalten.
Abbildung 61 - Ausw ertungsebenen
Durch Anklicken der Schaltflächen Benutzer bzw. Rollen kann definiert werden, welche Ebene der
Berechtigungsauswertung aktiviert werden soll. Sofern bspw. Auswertungen der Rollen nicht benötigt
werden, können diese deaktiviert und damit das Laufzeitverhalten während der Auswertung
verbessert werden:
Abbildung 62 - Ausw ertungsebenen, selektiert
III - 2.3.3 Berücksichtigung von inexistenten und deaktivierten Transaktionen

Eine Berechtigungsanalyse beinhaltet in der Regel alle Transaktionen, unabhängig davon, ob diese in
dem zu prüfenden System zur Anwendung kommen können. In einem BW-System existiert
beispielsweise die Transaktion SE16N nicht.
Bei der Erstellung des Berechtigungskonzeptes werden allerdings auch solche Transaktionen im
Rollenbau berücksichtigt, in der Regel werden die Rollen aus dem ERP-System für das BW-System
angepasst. Damit beinhalten die Rollen im BW auch Transaktionen, welche das BW nicht kennt,
diese Transaktionen können im BW demnach auch nicht ausgeführt werden und haben keine
Auswirkung.
Abbildung 63 - Ausw ertung Ergebnis gesam t
Um solche Transaktionen bei der Analyse auszuschließen, besteht die Möglichkeit im Projektreiter
„Analyse-Einstellungen“ jene Abfragen auszulassen, die „nicht existierende Transaktions-Codes“
beinhalten. Damit werden bei der Analyse nur jene Abfragen ausgewertet, die wirklich für das
jeweilige System relevant sind.
Abbildung 64 - Ausw ahl Transaktion existiert nicht
Beim Vergleich der Auswertungen ohne Einschränkung auf nicht existente Transaktionen und mit
Einschränkung ist ersichtlich, dass die Transaktionen FA39 sowie SC38 nicht mehr erscheinen.
Abbildung 65 - Ausw ertung Ergebnis Transaktion existiert nicht
Eine weitere Ausschlussfunktion berücksichtigt gesperrte Transaktionen. In jedem

Berechtigungskonzept können bestimmte Transaktionen in den diversen Rollen existieren, obwohl
sie im System gesperrt wurden. Ein Grund für eine solche Sperre ist, dass aus Sicherheitsgründen
bestimmte Transaktionen nicht mehr verwendet werden dürfen. In einem ersten Schritt werden in der
Regel solche Transaktionen gesperrt, da es einfacher bzw. effizienter ist, als das gesamte
Rollenkonzept daraufhin zu durchsuchen und diese Transaktion aus den Rollen zu entfernen.
Abbildung 66 - Ausw ahl Transaktion gesperrt
Der Vergleich der beiden Auswertungen, ohne Einschränkung auf gesperrte Transaktionen und mit
Einschränkung, zeigt das Ergebnis, dass die Transaktion SE80 fehlt, da es sich um eine gesperrte
Transaktion handelt.
Abbildung 67 - Ergebnis Transaktion gesperrt
Beide Ausschlussvarianten werden projektbezogen aktiviert und sind dann sinnvoll, wenn bei der
Analyse der Fragestellung nachgegangen werden soll, welche Benutzer bestimmte Vorgänge
ausführen können. In diesem Fall werden die Benutzer herausgefiltert, die zwar berechtigt sind,
jedoch die Transaktion dennoch nicht ausführen können, da diese gesperrt bzw. nicht existent sind.
Soll jedoch eine Analyse auf die korrekte Ausprägung der Rollen durchgeführt werden, müssen
gesperrte oder inexistente Transaktionen inkludiert bleiben. Nur so erhält man eine umfassende
Aussage zur Rollenausprägungen.
III - 2.3.4 Snapshot / Snapshot-Vergleich

Um ein Analyseprojekt auszuwerten muss in den Analyse-Einstellungen ein auszuwertender
Snapshot über das DropDown-Menü gewählt werden:
Abbildung 68 - Ausw ahl Snapshot
Die Auswahl des Snapshots erfolgt entweder direkt mit Auswahl des gewünschten Datums, an dem
der Snapshot erstellt wurde, oder variabel über die Option Automatisch den jüngsten Snapshot
verwenden. In dieser Einstellung wird bei mehreren Snapshots desselben Systems / Mandanten
automatisch die aktuelle Version aus der Datenbank ausgewählt. Wird diese Analyse-Einstellung auf
Ebene des Analyseprojektes bzw. eines Ordners angewendet, wird diese über die Vererbung an alle
untergeordneten Elemente weitergegeben.
Weiterhin besteht die Möglichkeit, einen zusätzlichen Snapshot für einen Vergleich auszuwählen.
Der Snapshot-Vergleich unterstützt bei der Durchführung von Follow-Up-Prüfungen (Delta-Analysen
zweier Snapshots desselben Systems). Die Ergebnisse eines Vergleiches beziehen sich dabei nur
auf die Anzahl der berechtigten Benutzer. Dies ermöglicht einen einfachen Überblick über
Änderungen an Benutzer-Berechtigungen und erleichtert die Benutzer-Rezertifizierung.
Für die Auswahl des zu vergleichenden Snapshots wird abhängig vom gewählten Standard-Snapshot
die zum dadurch vorgegebenen System/Mandanten passenden, älteren Snapshots im zweiten
DropDown-Menü gelistet.
Abbildung 69 - Ausw ahl zw eier Snapshots für Vergleich
Sollten zu dem im Standard gewählten Snapshot keine weiteren passenden Snapshots vorliegen, ist
keine Auswahl für den Vergleich möglich.
III - 2.3.5 Variablen – variable Prüfwerte in Berechtigungsabfragen

Berechtigungsabfragen können variable Prüfwerte enthalten. Dies ist besonders hilfreich bei Abfragen
auf organisatorische Ebenen (z. B. wer hat eine Berechtigung in einem bestimmten Buchungskreis).
Variable Prüfwerte werden in den Analyse-Einstellungen ausgeprägt. In den Berechtigungsabfragen
werden diese Werte durch das Wort Variablen (Grafische Ansicht) und dem Zeichen $ (technische
Ansicht) in den Feldwerteausprägungen eines Berechtigungsobjektes gekennzeichnet.
Abbildung 70 - Variable Feldw erte in der grafischen Ansicht
Abbildung 71 - Variable Feldw erte in der technischen Ansicht
Wird in den Analyse-Einstellungen ein Snapshot ausgewählt und befinden sich in den
Berechtigungsabfragen des Analyseprojektes/des gewählten Ordners variable Prüfwerte, werden
diese unter dem Reiter Variablen aufgelistet:
Abbildung 72 - Auflistung ariabler Prüfw erte
Variable Prüfwerte können über die Schaltfläche ausgeprägt werden. Dabei muss neben dem
Feldwert auch der logische Vergleichsoperator definiert werden:
Abbildung 73 - Vergleichsoperator "gleich" für Feldw erte
Abbildung 74 - Vergleichsoperator "w ie" für Feldw erte
Abbildung 75 - Vergleichsoperator "alle" für Feldw erte
Abbildung 76 - Vergleichsoperator "irgendeiner" für Feldw erte
Abbildung 77 - Vergleichsoperator "gleich" für zw ei Feldw erte
Abbildung 78 - Vergleichsoperator "gleich" für Feldw erte von - bis
Hinweis: die Eingabefelder für die Vergleichskriterien verfügen über eine Such- und Auto-
Vervollständigen-Funktion. Es werden entsprechende Vorschlagswerte passend zum Feld
angeboten.
Durch Anklicken der Schaltfläche öffnet sich zusätzlich ein DropDown mit der Listung aller
verfügbaren Feldwerte. Diese Funktion steht nur zur Verfügung, wenn im Scanmodul die für die
Erstellung des Snapshots die Option Vorschlagswerte für Org-Ebenen auslesen aktiviert ist.
Eine genaue Beschreibung der zur Verfügung stehenden Vergleichsoperatoren findet sich im Kapitel
Vergleichsoperatoren für Feldwerte 219 .
Über die Schaltfläche können Variablenausprägungen geladen oder gespeichert

werden. Wird diese Analyse-Einstellung auf Ebene des Analyseprojektes bzw. eines Ordners
angewendet, wird diese über die Vererbung an alle untergeordneten Elemente weitergegeben.
Nach einem Export der vordefinierten Filtereinstellungen stehen diese als Schnellzugriff über die
Schaltfläche zu Verfügung. Mit dem Selektieren der gewünschten Datei, werden

die Filtereinstellungen in CheckAud geladen.
Abbildung 79 - Beispiel eines Schnellzugriffs anhand eines zuletzt

aufgerufenen Variablen-Sets
Hinweis: Die zuletzt verwendeten Filtereinstellungen sind auch nach dem Schließen des Projektes
oder der Software weiterhin in der Auflistung aufgeführt.
Hinweis: Sonderausprägungen von variablen Feldwerten werden durch CheckAud folgendermaßen

interpretiert, z. B.:
Berechtigungsobjek t F_LFA1_BUK, Feld BUKRS = $

Feld BUKRS nicht ausgeprägt, d. h. es wird bei der Berechtigungsprüfung nicht betrachtet.
Berechtigungsobjek t F_LFA1_BUK, Feld BUKRS = “*“

Feld BUKRS ist mit „*“ ausgeprägt, d. h. es wird nur nach Benutzern gesucht, die das
Berechtigungsobjekt F_LFA1_BUK mit dem Feld BUKRS als „*“ ausgeprägt bekommen haben.
Berechtigungsobjek t F_LFA1_BUK, Feld BUKRS wie “*“

Feld BUKRS ist mit „wie *“ ausgeprägt, d. h. es wird nur nach Benutzern gesucht, die das
Berechtigungsobjekt F_LFA1_BUK mit irgendeinem Feldwert für BUKRS ausgeprägt bekommen
haben, somit werden hier alle vergebenen Feldwerte für diesen Benutzer gelistet.
Hinweis: der Reiter Variablen wird nur bei ABAP Systemen angezeigt.
III - 2.3.6 Benutzerfilter

Über Benutzerfilter können gezielt Benutzer für die Analyse ein- oder ausgeschlossen werden. Diese
Analyse-Einstellung kann über den Reiter Benutzerfilter vorgenommen werden. Dafür muss vorher ein
Snapshot für das Analyseprojekt/das Element im Analyseprojekt ausgewählt sein, da diese
Einstellung von den Merkmalen innerhalb einer Systemaufnahme abhängig ist:
Abbildung 80 - Benutzerfilter für die Analyse
Für die Definition der Benutzerfilter können Ein- bzw. Ausschlusskriterien definiert werden.
Als Kriterium in ABAP-Systemen stehen folgende Attribute zur Verfügung:

· Benutzer
· Typ
· Sperre
· Gültig von
· Gültig bis
· Gruppe
· Abteilung
· Funktion
Als Kriterium in HANA DB-Systemen stehen folgende Attribute zur Verfügung:

· Benutzer
· Gültig von
· Gültig bis
· Eingeschränkt
· Deaktiviert
· Benutzergruppe
Für die Filterkriterien (abhängig vom Attribut) stehen folgende Vergleichsoperatoren zur Verfügung:
· gleich
· ungleich
· wie
· nicht wie
· enthält
· enthält nicht
· kleiner als
· größer als
· kleiner gleich
· größer gleich
Wird diese Analyse-Einstellung auf Ebene des Analyseprojektes bzw. eines Ordners angewendet,
wird diese über die Vererbung an alle untergeordneten Elemente weitergegeben.
Sind noch keine Filterkriterien definiert, werden Standard-Filter angeboten. Diese sind über die
Schaltfläche zu aktivieren.
Abbildung 81 - Vordefinierte Benutzerfilter
Folgende Standard-Filter stehen für ABAP-Systeme zur Auswahl:
Abbildung 82 - Aktive Benutzer - nicht durch Adm in gesperrt
Abbildung 83 - Aktive Dialog- und Servicebenutzer, nicht durch Adm in gesperrt
Abbildung 84 - Nur Service- und Dialogbenutzer
Abbildung 85 - Keine Service- und Dialogbenutzer
Über die Schaltfläche können Filter geladen oder gespeichert werden. Ein
Import von Filterkriterien aus einer TXT-Datei wird ebenfalls angeboten. Darüber können mehrere
Filtereinstellungen (z. B. auf Benutzer-ID) schnell eingelesen werden. Die TXT-Datei darf dabei pro
Zeile nur eine Benutzer-ID enthalten haben:
Abbildung 86 - TXT-Datei m it zu SAP Benutzer-IDs
Über die Schaltfläche öffnet sich ein Dialogfenster zur Auswahl von
bereits vorher gespeicherten Benutzerfiltern. Hier muss das Dateiformat von *.causerfilter
auf *.txt umgestellt werden:
Abbildung 87 - Dateityp um stellen
Abbildung 88 - Eingelesene TXT-Datei als Filterdefinition
angeboten.
verfügbaren Feldwerte.
III - 2.3.7 Berechtigungsfilter

Über den Berechtigungsfilter ist es möglich, für die Berechnung der Rechteherkunft bestimmte Rollen
oder Profile zu betrachten oder aber auszublenden. So kann zum Beispiel bei der Berechnung der
Rechteherkünfte das Sammelprofil SAP_ALL ausgeblendet werden. Als Ergebnis werden nur die
Benutzer angezeigt, welche die geprüfte Berechtigung über andere Wege als mit dem Sammelprofil
SAP_ALL erhalten haben.
Für die Definition der Berechtigungsfilter können Ein- bzw. Ausschlusskriterien definiert werden. Für
den Berechtigungsfilter stehen folgende Kriterien der Berechtigungsherkunft zur Verfügung:
· Einzelprofil
· Sammelprofil
· Einzelrolle
· Sammelrolle
· Referenzbenutzer
Abbildung 89 - Kriterienblock für Berechtigungsfilter
Für die Filterkriterien stehen folgende Vergleichsoperatoren zur Verfügung:

· gleich
· ungleich
· wie
· nicht wie
Abbildung 90 - Vergleichsoperatoren für Filterkriterien

Bei den Filterkriterien wird ebenfalls in Ausschluss- und Einschlusskriterien unterschieden:
Abbildung 91 - Einschlusskriterium
Benutzer mit dem Profil SAP_ALL und Benutzer mit einer oder mehreren, berechtigten Rolle(n) /
eines oder mehreren berechtigten Referenzbenutzer(n), werden angezeigt. Benutzer, die die
Berechtigung ausschließlich über Profilvergabe bekommen, und nicht SAP_ALL haben, werden nicht
angezeigt.
Abbildung 92 - Einschlusskriterium
Hier werden Benutzer angezeigt, welche die ausgewertete Berechtigung über Sammelprofile erhalten
haben, die teilweise oder vollständig mit der eingegebenen Profilbezeichnung übereinstimmt. Der
Vergleichsoperator kann mit der Wildcard * am Ende der Zeichenkette verwendet werden.
Abbildung 93 - Ausschlusskriterium
Es werden nur Benutzer angezeigt, welche die ausgewertete Berechtigung nicht über das
Sammelprofil SAP_ALL erhalten haben.
Abbildung 94 - Ausschlusskriterium
Es werden nur Benutzer angezeigt, welche die ausgewertete Berechtigung nicht über Sammelprofile
mit der Zeichenfolge SAP erhalten haben.
angeboten.
verfügbaren Feldwerte.
Hinweis: Berechtigungsfilter werden derzeit nur für ABAP-Systeme angeboten.
III - 2.4 Vererbung der Analyse-Einstellungen

Über die Vererbung von Analyse-Einstellungen kann schnell und effizient ein Analyseprojekt
aufgebaut werden. Analyse-Einstellungen können auf Projekt-, Ordner- oder Abfrageebene
vorgenommen werden:
Projektebene: Einstellungen werden auf alle untergeordneten Elemente vererbt.
Ordnerebene: Einstellungen werden durch die Vererbung übernommen, alternativ kann auf
Ordnerebene die Vererbung unterbrochen werden. In diesem Fall werden die neuen
Einstellungen ab dieser Ebene auf alle darunterliegenden Elemente vererbt.
Abfrageebene: Einstellungen werden über die Vererbung übernommen, alternativ kann auf
Abfrageebene die Vererbung unterbrochen werden. In diesem Fall gelten für diese Abfragen
eigene Einstellungen.
Über die Vererbung werden Analyse-Einstellungen (Auswahl Snapshot, Variablenvorgaben und

Filtereinstellungen) weitergegeben. Durch Entfernen des Flags Systemzuordnung, Variablen und
Filter erben kann die Vererbung auf den einzelnen Unterebenen allgemein unterbrochen werden.
Abbildung 95 - Vererbung aktiviert, Einstellungen w erden übernom m en
Abbildung 96 - Vererbung unterbrochen, Einstellungen ab dieser Ebene individuell
Danach können dann für diese Ebene neue Snapshot-Einstellungen, Variablen und Filterungen
gesetzt werden.
Um die Unterbrechung der Vererbung im Analyseprojekt schnell zu erkennen, besteht die

Möglichkeit, die Ansicht im Analyseprojekt zu wechseln.
Standardansicht des Analyseprojektes
Abbildung 97 - Standardansicht des Analyseprojektes
Die Vererbungsunterbrechungen der Analyse-Einstellungen in der Ansicht des

Analyseprojektes kenntlich machen
Abbildung 98 - Vererbungsunterbrechung der Analyse-Einstellungen im

Analyseprojekt darstellen
Wird die Vererbung der Analyse-Einstellungen in einzelnen Abfragen oder Ordnern unterbrochen, so
kann die Unterbrechung über diese Funktion sichtbar gemacht werden.
III - 2.5 Filterung in der Ansicht des Analyseprojektes
In komplexen Analyseprojekten ist es hilfreich, gesuchte Elemente über die Suchfunktion

einblenden zu lassen. So können Elemente nach Namen, Schlagworten, enthaltenen
Berechtigungsobjekten, Transaktionen, Tabellen und Parameter in der Ansicht des
Analyseprojektes gefiltert dargestellt werden. Diese Funktion findet sich in dem
Eingabefeld über dem Analyseprojekt.
Abbildung 99 - Filterung im Analyseprojekt
III - 2.6 Mehrsprachigkeit der Analyseprojekte

Die Analyseprojekte werden ebenfalls mehrsprachig gepflegt. Die von IBS ausgelieferten Standards
sind in Deutsch und Englisch verfügbar. Eigene Analyseprojekte und deren selbsterstellten Inhalte
müssen vom Anwender mehrsprachig gepflegt werden. Die Inhalte (Abfragenamen,
Risikobeschreibungen, Hinweise etc.) können intuitiv in Deutsch und Englisch bearbeitet werden.
Eigene Elemente im Analyseprojekt (Ordner oder Abfragen) können mit der Schaltfläche
umbenannt werden. Dabei gibt es die Möglichkeit, den Eintrag für Deutsch als auch für Englisch
vorzunehmen:
Abbildung 100 - Mehrsprachigkeit in Analyseprojekten
Weiterführende Informationen zu Abfragen wie Risikobeschreibungen, Dokumentation etc. können

über die Schaltfläche bzw. über in den jeweiligen Sprachen gepflegt
werden.
Abbildung 101 - Pflege der Dokum entationen in Deutsch
Abbildung 102 - Pflege der Dokum entationen in Englisch
III - 3 Durchführung einer Analyse

Die Durchführung einer Analyse kann für eine einzelne Abfrage (Berechtigungsabfrage, tabellarische
Abfrage, Parameterabfrage) bzw. für mehrere Abfragen in einem Teilprojekt oder im gesamten
Analyseprojekt erfolgen. Die Auswertung ist nur möglich, wenn für mindestens eine Abfrage im
Analyseprojekt ein Snapshot zugeordnet wurde.
III - 3.1 Auswertung einer Berechtigungsabfrage (ABAP)

Um eine einzelne Berechtigungsabfrage auszuwerten, muss diese im Projekt ausgewählt sein. Über
den Reiter Ergebnisse kann dann für diese Berechtigungsabfrage die Auswertung mit der
Schaltfläche Jetzt analysieren gestartet werden.
Abbildung 103 - Ausw ertung einer Berechtigungsabfrage
Abbildung 104 - Ausgew ertete Berechtigungsabfrage
Alternativ kann die gewählte Berechtigungsabfrage auch über die Schaltfläche ausgewertet bzw.
kann die Auswertung über die Schaltfläche gestoppt werden.
Ausgewertete Berechtigungsabfragen werden im Analyseprojekt über die Ergebniskennzahlen

sichtbar gemacht:
Abbildung 105 - Ausgew ertete Berchtigungsabfrage
Sollte für die Auswertung ein zusätzlicher Snapshot für den Vergleich ausgewählt worden sein,
werden die Ergebnisse des Vergleichs wie folgt dargestellt:
Abbildung 106 - Ausgew ertete Berechtigungsabfrage, Vergleich

zw eier Snapshots
Details zu den Ergebnisanzeigen finden sich im Kapitel Ergebnisanzeigen im Analyseprojekt 89 .
III - 3.2 Auswertung einer Berechtigungsabfrage (HANA DB)

Um eine einzelne Berechtigungsabfrage auszuwerten, muss diese im Projekt ausgewählt sein. Über
den Reiter Ergebnisse kann dann für diese Berechtigungsabfrage die Auswertung mit der
Abbildung 107 - Ausw ertung einer Berechtigungsabfrage
Abbildung 108 - Ausgew ertete Berechtigungsabfrage
Alternativ kann die gewählte Berechtigungsabfrage auch über die Schaltfläche ausgewertet bzw.
Ausgewertete Berechtigungsabfragen werden im Analyseprojekt über die Ergebniskennzahlen

sichtbar gemacht:
Abbildung 109 - Ausgew ertete Berchtigungsabfrage
Sollte für die Auswertung ein zusätzlicher Snapshot für den Vergleich ausgewählt worden sein,
werden die Ergebnisse des Vergleichs wie folgt dargestellt:
Abbildung 110 - Ausgew ertete Berechtigungsabfrage,

Vergleich zw eier Snapshots
Details zu den Ergebnisanzeigen finden sich im Kapitel Ergebnisanzeigen im Analyseprojekt 89 .
III - 3.3 Auswertung einer tabellarischen Abfrage

Um eine einzelne tabellarische Abfrage auszuwerten, muss diese im Projekt ausgewählt sein. Über
den Reiter Ergebnisse kann dann für diese tabellarische Abfrage die Auswertung mit der
Abbildung 111 - Ausw ertung einer tabellarischen Abfrage
Abbildung 112 - Ausgew ertete tabellarische Abfrage
Alternativ kann die gewählte tabellarische Abfrage auch über die Schaltfläche ausgewertet bzw.
Ausgewertete tabellarische Abfragen werden im Analyseprojekt über die Ergebniskennzahlen

sichtbar gemacht:
Abbildung 113 - Ausgew ertete

tabellarische Abfrage
Details zu den Ergebnisanzeigen finden sich im Kapitel Ergebnisanzeigen im Analyseprojekt 89
Hinweis: das beschriebene Vorgehen zur Auswertung von Tabellenabfragen gilt für ABAP- und
HANA DB-Systeme.
III - 3.4 Auswertung einer Parameterabfrage

Um eine Parameterabfrage auszuwerten, muss diese im Projekt ausgewählt sein. Über den Reiter
Ergebnisse kann dann für diese Parameterabfrage die Auswertung mit der Schaltfläche Jetzt
analysieren gestartet werden.
Abbildung 114 - Ausw ertung einer Param eterabfrage
Abbildung 115 - Ausgew ertete Param eterabfrage
Alternativ kann die gewählte Parameterabfrage auch über die Schaltfläche ausgewertet bzw. kann
die Auswertung über die Schaltfläche gestoppt werden.
Ausgewertete Parameterabfragen werden im Analyseprojekt über die Ergebniskennzahlen sichtbar

gemacht:
Abbildung 116 - Ausgew ertete Param eterabfrage
zu den Ergebnisanzeigen finden sich im Kapitel Ergebnisanzeigen im Analyseprojekt 89
Hinweis: Die Parameterwerte können mit Hilfe der Option Parameterwerte auslesen in CheckScan
ausgelesen werden. (siehe Kapitel Parameterwerte auslesen 24 )
Hinweis: Nur von SAP-Systemen ab dem Release 7.40 können Parameter ausgelesen werden.
Hinweis: für HANA DB-Systeme stehen derzeit keine Parameterauswertungen zur Verfügung.
III - 3.5 Auswertung mehrerer Abfragen

Für eine Auswertung mehrerer Abfragen innerhalb eines Teilprojektes oder innerhalb des gesamten
Analyseprojektes muss das gewünschte Teilprojekt oder das gesamte Analyseprojekt ausgewählt
werden. Über die Schaltflächen bzw. kann die Gesamtanalyse gestartet bzw. gestoppt
werden.
Abbildung 117 - Gesam tausw ertung eines Analyseprojektes
Das Symbol zeigt an, dass für die betreffende Abfrage noch Berechnungen laufen.
III - 4 Ergebnisdarstellung
Die Ergebnisse einer jeden Abfrage werden tabellarisch aufbereitet. Dabei gibt es je nach Abfrageart
mehrere Möglichkeiten, die Ergebnisdarstellung durch Sortierung, Filterung, Gruppierung sowie Ein-
und Ausblenden von Informationen zu optimieren.
III - 4.1 Ergebnisdarstellung Berechtigungsabfrage (ABAP)
III - 4.1.1 Reiter Berechtigte Benutzer

Nachfolgendes Ergebnisfenster zeigt die Standard-Tabellenansicht für berechtigte SAP-Benutzer zu
einer Berechtigungsabfrage:
Abbildung 118 - Tabellenansicht einer Berechtigungsabfrage - Berechtigte Benutzer
In der Tabelle können zu den Spalten weitere Informationen eingeblendet werden, sofern man mit der
Maus über ein Feld zeigt.
Abbildung 119 - Detailinform ationen zu Spalten
Im Standard wird das Abfrageergebnis rein tabellarisch dargestellt. Um für einen Benutzer in der
Tabelle die Herkunft der in der Abfrage enthaltenen Berechtigungsobjekte anzuzeigen, kann per Klick
auf die Tabellenzeile des betreffenden Benutzers ein Detailfenster zur Rechteherkunft im unteren
Bereich eingeblendet werden:
Abbildung 120 - Ergebnisdarstellung inkl. Rechteherkunft für einen gew ählten Benutzer
Die Rechteherkunft wird im Standard getrennt nach Anwendungsberechtigung, Fiori App-

Berechtigung und Transaktionsberechtigung angezeigt. Dabei wird als Erstes das abgefragte
Berechtigungsobjekt inkl. der abgefragten Feldwerteausprägung aufgezeigt.
Neben der reinen Anzeige der Objekte, Rollen, Profile und Benutzer werden auch die
entsprechenden Langtexte angezeigt.
Abbildung 121 - Auflistung der Anw endungs-, Fiori App- bzw . Transaktionsberechtigungen
Durch das Expandieren des Baums kann die für den Benutzer tatsächliche
Berechtigungsausprägung inkl. der Rechteherkunft aufgeschlüsselt werden:
Abbildung 122 - Darstellung der Herkunft und Ausprägung eines Berechtigungsobjektes
Bei der Darstellung der Rechteherkunft werden folgende Symbole verwendet:
Berechtigungsobjekt der Abfrage (inkl. Feldwerteausprägung)
techn. Berechtigung im SAP-System
generiertes Profil
SAP Einzelrolle
SAP Sammelrolle
SAP Standard-Einzelprofil
SAP Standard-Sammelprofil
Referenzbenutzer
Anzeige technischer Details zum markierten Element
Alternativ zur Standarddarstellung der Rechteherkunft getrennt nach Anwendungs- und
Transaktionsberechtigung kann über die Schaltfläche zur Darstellung aus Sicht der beteiligten
Rollen gewechselt werden:
Abbildung 123 - Rechteherkunft eines Benutzers aus Sicht der beteiligten Rollen
Im Analyseprojekt werden die Ergebnisse in Kurzform dargestellt:
1 2 3 4 5
1 - Symbol für berechnete Abfrage inkl. farblicher Wertung gemäß Score

2 - Errechneter Score (0 = geringe Systemsicherheit und 100 = hohe Systemsicherheit)
3 - Anzahl der techn. berechtigten Benutzer (gemäß Sollvorgabe nicht legitimiert)
4 - Anzahl der techn. berechtigten Benutzer (gemäß Sollvorgaben legitimiert)
5 - Name der Abfrage
III - 4.1.2 Reiter Berechtigte Benutzer - Vergleich von Snapshots

Sofern in den Analyseeinstellungen ein zweiter Snapshot zum Vergleich gewählt wurde, werden die
Ergebnisse des Vergleichs wie folgt dargestellt. Das Ergebnisfenster weist unter dem Tab Benutzer
zusätzlich die Spalte „Vergleich“ auf:
Abbildung 124 - Tabellenansicht eines Vergleichs zw eier Snapshots
Bei der Ergebnisdarstellung werden für den Vergleich zweier Aufnahmen folgende Symbole
verwendet:
Benutzer ist im aktuellen Snapshot nicht mehr enthalten
Neu berechtigt, Benutzer ist im aktuellen Snapshot für die geprüfte

Berechtigungsabfrage neu berechtigt
Bisherig berechtigt, Benutzer ist im aktuellen Snapshot für die geprüfte
Berechtigungsabfrage nicht mehr berechtigt
Unverändert, Benutzer ist sowohl im aktuellen als auch im zu vergleichendem Snapshot
für die geprüfte Berechtigungsabfrage berechtigt
6 7
6 - Anzahl der techn. berechtigten Benutzer, welche neu berechtigt wurden

7 - Anzahl der techn. berechtigten Benutzer, welche bisher berechtigt waren
Sofern die zu vergleichenden Snapshots unterschiedliche SAP-Systemrelease-Stände oder

geänderte Customizing-Einstellungen aufweisen, es ist möglich, dass die zu Grunde liegende
Berechtigungsabfrage in unterschiedlicher Ausprägung ausgewertet wird. Dies ist bei Release-
unabhängigen Berechtigungsabfragen (Berechtigungsabfragen, welche gemäß SAP-Systemrelease
unterschiedlich in Objektzusammensetzung/-ausprägung ausgewertet werden) der Fall, siehe Kapitel
Release-unabhängige Berechtigungsabfragen 222 . Dies wird in der Ergebnisdarstellung per Hinweis
gekennzeichnet:
Abbildung 125 - Hinw eis auf unterschiedliche Abfragezusam m ensetzung beim Vergleich
Die Unterschiede der verwendeten Abfrage bezogen auf den Snapshot können mit Klick auf den Link
unterschiedliche Abfragen angezeigt werden:
Abbildung 126 - Hinw eis auf unterschiedliche Abfragezusam m ensetzung beim Vergleich
III - 4.1.3 Reiter Berechtigte Sammelrollen

Über den Reiter Sammelrollen wird eine tabellarische Auflistung der Sammelrollen erstellt, welche
jeweils vollumfänglich die abgefragte Berechtigung enthalten, unabhängig davon, ob die Rolle
Benutzern zugeordnet ist:
Abbildung 127 - Tabellenansicht einer Berechtigungsabfrage - Berechtigte Sam m elrollen

Mit der Auswahl einer einzelnen Sammelrolle, lassen sich die Rechteherkünfte dieser ausgewählten
Sammelrolle darstellen.
Abbildung 128 - Rechteherkünfte der Sam m elrolle

Die Rechteherkunft wird im Standard getrennt nach Anwendungsberechtigung und
Transaktionsberechtigung angezeigt. Dabei wird als Erstes das abgefragte Berechtigungsobjekt inkl.
der abgefragten Feldwerteausprägung aufgezeigt.
Abbildung 129 - Auflistung der Anw endungs- bzw . Transaktionsberechtigungen der Sam m elrolle
Mit der Auswahl des Reiters Benutzer werden alle in der Sammelrolle hinterlegten Benutzer
aufgelistet.
Abbildung 130 - Zugeordnete Benutzer der Sam m elrolle
Der Rollenzuweisungs-Pfad des einzelnen Benutzers lässt sich beim Auswählen des Benutzers
anzeigen.
Abbildung 131 - rollenzuw eisungspfad des Benutzers
III - 4.1.4 Reiter Berechtigte Einzelrollen

Über das Tab Einzelrollen wird eine tabellarische Auflistung der Einzelrollen erstellt, welche jeweils
vollumfänglich die abgefragte Berechtigung enthalten, unabhängig davon, ob die Rolle Benutzern
zugeordnet ist:
Abbildung 132 - Tabellenansicht einer Berechtigungsabfrage - Berechtigte Einzelrollen
Mit der Auswahl einer einzelnen Einzelrolle lassen sich die Rechteherkünfte dieser ausgewählten
Einzelrolle darstellen.
Abbildung 133 - Rechteherkünfte der Einzelrolle
Die Rechteherkunft wird im Standard getrennt nach Anwendungsberechtigung und

Transaktionsberechtigung angezeigt. Dabei wird als Erstes das abgefragte Berechtigungsobjekt inkl.
der abgefragten Feldwerteausprägung aufgezeigt.
Abbildung 134 - Auflistung der Anw endungs bzw - Transaktionsberechtigungen einer Einzelrolle
Mit der Auswahl des Reiters Benutzer werden alle in der Einzelrolle hinterlegten Benutzer aufgelistet.
Abbildung 135 - Zugeordnete Benutzer der Einzelrolle
anzeigen.
Abbildung 136 - Rollenzuw eisungs-Pfad des Benutzers
III - 4.1.5 Detailfenster

Über das Detailfenster können Berechtigungswerte von Benutzern, Rollen und Profilen komfortabel
angezeigt werden.
Durch einen Klick auf das Symbol werden weitere Informationen zu:
· Abgefragten Berechtigungsobjekten
· Berechtigungen
· Einzel- und Sammelprofilen
· Einzel- und Sammelrollen
· Referenzbenutzern
· Benutzern
angezeigt.
Abbildung 137 - Aufrufbare Detailfenster
Nachfolgendes Beispiel zeigt ein Detailfenster zu einer Einzelrolle:
Abbildung 138 - Beispiel Detailfenster
Je nach gewähltem Detail-Fenster unterscheidet sich die dargestellte Information sowie deren
Anordnung. Entsprechende Basis-Informationen finden sich, sofern verfügbar, in allen Fenstern.
1 - Fenster-Information: die Fenster-Information zeigt, zu welcher Rolle, zu welchem

Benutzer, Profil etc. des untersuchten Snapshots die gegenwärtigen Informationen gehören.
2 - Registerkarten: Registerkarten bieten die Möglichkeit sich unterschiedliche

Informationen zu der gewählten Auswahl anzeigen zu lassen.
3 - Verlauf: Felder mit blauer Schrift bieten die Möglichkeit, sich das jeweilige Objekt in
einer eigenen Detail-Ansicht anzeigen zu lassen. Beginnend aus dem ersten aufgerufenen Detail-
Fenster wird bei weiteren Absprüngen ein Verlauf erzeugt. Somit lassen sich
Absprünge nachvollziehen, und es besteht jederzeit die Möglichkeit zur vorherigen Information bzw.
zum ersten Detail-Fenster zurückzuspringen.
4 - Zuordnungsfilter: mit dem Zuordnungsfilter lassen sich die dargestellten

Informationen nach verschiedenen Kriterien filtern.
5 - Ad-hoc-Filter der Tabellenansicht: der Filter bietet verschiedene Filtermodi. (siehe

auch Kapitel Individuelle Layouts der Tabellendarstellung 121 )
6 - Expandieren von Informationen: mit den Schaltflächen lassen sich

Zusatzinformationen anzeigen/ausblenden.
III - 4.1.6 Detailfenster - Berechtigung

Registerkarte: Allgemein
In der Registerkarte Allgemein befinden sich Angaben zu der Berechtigung und dem
Berechtigungsobjekt. In welcher Einzelrolle / Einzelprofilen die Berechtigung zu finden ist, kann der
rechten Seite des Details-Fensters entnommen werden. Ein Klick auf die Objekte mit blauer Schrift
navigiert zur jeweiligen Detail-Ansicht.
Abbildung 139 - Detailfenster Berechtigungen
Registerkarte: Feldwerte
In der Registerkarte Feldwerte werden die zur Berechtigung gehördenden Felder und Feldwerte
angezeigt.
Abbildung 140 - Detailfenster Berechtigungen
III - 4.1.7 Detailfenster - Einzelprofil

Registerkarte: Allgemein & Berechtigung
In der Registerkarte Allgemein & Berechtigung befinden sich Angaben zu dem Einzelprofi und den in
dem Einzelprofil enthaltenen Berechtigungen sowie deren Beschreibung. Ein Klick auf die Objekte
mit blauer Schrift navigiert zur jeweiligen Detail-Ansicht.
Abbildung 141 - Detailfenster Einzelprofil (Allgem ein & Berechtigungen)
Registerkarte: Profile und Rollen
Die Registerkarte Profile und Rollen gibt Auskunft darüber, ob das Einzelprofil in Sammelprofilen
enthalten ist. Der Zuordnungsfilter ermöglicht eine Filterung der Sammelprofile nach folgenden
Kriterien: alle, direk t, über Sammelprofil. Des Weiteren kann auch die Fragestellung beantwortet
werden, ob das Einzelprofil in einer Einzel- bzw. Sammelrolle enthalten ist. Durch Aufklappen der
Sammelrolle ist es möglich nachzuvollziehen, über welche Pfade das Profil in der entsprechenden
Sammelrolle enthalten ist. Ein Klick auf die Objekte mit blauer Schrift navigiert zur jeweiligen Detail-
Ansicht.
Abbildung 142 - Detailfenster Einzelprofil (Profile & Rollen)
Registerkarte: Benutzer
In der Registerkarte Benutzer befinden sich alle Benutzer, die dem ausgewählten Einzelprofil
zugeordnet sind. Der Zuordnungsfilter ermöglicht eine Filterung der Sammelprofile nach folgenden
Kriterien: alle, direk t, über Referenzbenutzer, über Sammelrolle, über Einzelrolle, über
Sammelprofil. Durch Aufklappen des jeweiligen Benutzers ist es möglich nachzuvollziehen, aus
welcher Einzelrolle oder Sammelrolle bzw. der darin enthaltenen Einzelrollen und deren Profile der
Benutzer das entsprechende Profil erhält. Ein Klick auf die Objekte mit blauer Schrift navigiert zur
jeweiligen Detail-Ansicht.
Abbildung 143 - Detailfenster Einzelprofil (Benutzer)

Registerkarte: Berechtigungen
Die Registerkarte Berechtigungen gibt die im Profil enthaltenen Berechtigungen inklusive der darin
enthaltenen Berechtigungsobjekte, Berechtigungsfelder und Feldausprägungen an. Durch Aufklappen
der im Profil enthaltenen Berechtigung ist es möglich nachzuvollziehen, woher die Berechtigung
ihre Berechtigungs-Feldwerte erhält. Ein Klick auf die Objekte mit blauer Schrift navigiert zur
jeweiligen Detail-Ansicht.
Abbildung 144 - Detailfenster Einzelprofil (Berechtigungen)
III - 4.1.8 Detailfenster - Sammelprofil

In der Registerkarte Allgemein befinden sich Angaben zu dem Sammelprofil und den im Sammelprofil
enthaltenen Einzelprofilen, sowie deren Beschreibung. Ein Klick auf die Objekte mit blauer Schrift
Abbildung 145 - Detailfenster Sam m elprofil (Allgem ein)
Registerkarten Benutzer, Berechtigungen: analog zur Beschreibung in Kapitel Detailfenster -

Einzelprofil 103
III - 4.1.9 Detailfenster - Einzelrolle und Sammelrolle

In der Registerkarte Allgemein befinden sich Angaben zu der Einzelrolle wie z. B. die Beschreibung,
der Anleger etc. In welchen Sammelrollen / Profilen die Einzelrolle zu finden ist, kann der rechten
Seite des Detail-Fensters entnommen werden. Ein Klick auf die Objekte mit blauer Schrift navigiert
zur jeweiligen Detail-Ansicht.
Abbildung 146 - Detailfenster Sam m elprofil (Allgem ein)

Einzelprofil 103
III - 4.1.10Detailfenster - Benutzer
In der Registerkarte Allgemein befinden sich weitreichende Angaben wie z. B. Name, Gültigkeit,
Benutzertyp etc. zu dem ausgewählten Benutzer.
Abbildung 147 - Detailfenster Benutzer (Allgem ein)
Registerkarte: Rollen
In der Registerkarte Rollen kann nachvollzogen werden, welche Einzel- bzw. Sammelrollen dem
Benutzer zugeordnet sind. Der Zuordnungsfilter ermöglicht eine Filterung der zugeordneten Rollen
nach folgenden Kriterien: alle, direk t, über Referenzbenutzer, über Sammelrolle. Durch Aufklappen
der jeweiligen Rolle kann z. B. nachvollzogen werden, ob eine Einzelrolle aus einer Sammelrolle
stammt oder ob Referenz-Benutzer vorhanden sind. Ein Klick auf die Objekte mit blauer Schrift
Abbildung 148 - Detailfenster Benutzer (Rollen)
Registerkarte: Profile
In der Registerkarte Profile kann nachvollzogen werden, welche Einzel- bzw. Sammelprofile dem
Benutzer zugeordnet sind. Der Zuordnungsfilter ermöglicht eine Filterung der zugeordneten Profile
nach folgenden Kriterien: alle, direk t, über Referenzbenutzer, über Sammelrolle, über Einzelrolle,
über Sammelprofil. Durch Aufklappen des jeweiligen Profils kann z. B. nachvollzogen werden, ob
ein Einzelprofil aus einem Sammelprofil stammt. Ein Klick auf die Objekte mit blauer Schrift navigiert
zur jeweiligen Detail-Ansicht.
Abbildung 149 - Detailfenster Benutzer (Profile)

Einzelprofil 103
III - 4.2 Ergebnisdarstellung Berechtigungsabfrage (HANA DB)
III - 4.2.1 Reiter Berechtigte Benutzer

Nachfolgendes Ergebnisfenster zeigt die Standard-Tabellenansicht für berechtigte HANA DB-
Benutzer zu einer Berechtigungsabfrage:
Abbildung 150 - Tabellenansicht einer Berechtigungsabfrage - Berechtigte Benutzer
Abbildung 151 - Detailinform ationen zu Spalten
Im Standard wird das Abfrageergebnis rein tabellarisch dargestellt. Um für einen Benutzer in der
Tabelle die Herkunft der in der Abfrage enthaltenen Berechtigungen anzuzeigen, kann per Klick auf
die Tabellenzeile des betreffenden Benutzers ein Detailfenster zur Rechteherkunft im unteren Bereich
eingeblendet werden:
Abbildung 152 - Ergebnisdarstellung inkl. Rechteherkunft für einen gew ählten Benutzer
Die Rechteherkunft wird im Standard getrennt nach HANA DB Berechtigungsarten angezeigt. Die
Berechtigungsarten können sein:
· Anwendungsberechtigungen (Application Privileges)

· Systemberechtigungen (System Privileges)
· Paketberechtigungen ( Package Privileges)
· Analyseberechtigungen (Analytic Privileges)
· Objektberechtigungen (Object Privileges)
Durch das Expandieren des Baums kann die für den Benutzer tatsächliche Rechteherkunft
aufgeschlüsselt werden:
Abbildung 153 - Darstellung der Herkunft und Ausprägung eines Berechtigungsobjektes
Bei der Darstellung der Rechteherkunft werden folgende Symbole verwendet:
Systemberechtigung
Objektberechtigung
Paketberechtigung
Anwendungsberechtigung
Analyseberechtigung
Rolle (generisch)
Repository-Rolle
Katalog-Rolle
Hana Deployment Infrastructure Rolle
Inhaber (Grantor)
Objektbesitzer (Object Owner)
Bewilligbare Rolle (Grantable)
Alternativ zur Standarddarstellung der Rechteherkunft getrennt nach Anwendungs- und
Transaktionsberechtigung kann über die Schaltfläche zur Darstellung aus Sicht der beteiligten
Rollen gewechselt werden:
Abbildung 154 - Rechteherkunft eines Benutzers aus Sicht der beteiligten Rollen
1 2 3 4 5
1 - Symbol für berechnete Abfrage inkl. farblicher Wertung gemäß Score

2 - Errechneter Score (0 = geringe Systemsicherheit und 100 = hohe Systemsicherheit)
3 - Anzahl der techn. berechtigten Benutzer (gemäß Sollvorgabe nicht legitimiert)
4 - Anzahl der techn. berechtigten Benutzer (gemäß Sollvorgaben legitimiert)
5 - Name der Abfrage
III - 4.2.2 Reiter Berechtigte Benutzer - Vergleich von Snapshots

Die Darstellung der Ergebnisse einer HANA DB-Abfrage bei Vergleich zweier Snapshots ist
äquivalent zu der im Kapitel Reiter Berechtigte Benutzer - Vergleich von Snapshots 93
beschriebenen Vorgehensweise.
III - 4.2.3 Reiter Berechtigte Rollen

Über den Reiter Rollen wird eine tabellarische Auflistung der Rollen erstellt, welche jeweils
vollumfänglich die abgefragte Berechtigung enthalten, unabhängig davon, ob die Rolle Benutzern
zugeordnet ist:
Abbildung 155 - Tabellenansicht einer Berechtigungsabfrage - Berechtigte Rollen
Mit der Auswahl einer einzelnen Rolle, lassen sich die Rechteherkünfte dieser ausgewählten Rolle
darstellen.
Abbildung 156 - Rechteherkünfte der Rolle
Die Rechteherkunft wird im Standard getrennt nach Berechtigungsart angezeigt.
Abbildung 157 - Auflistung der enthaltenen Berechtigungen einer Rolle
Mit der Auswahl des Reiters Benutzer werden alle in der Sammelrolle hinterlegten Benutzer
aufgelistet.
Abbildung 158 - Zugeordnete Benutzer der Rolle
anzeigen.
Abbildung 159 - Rollenzuw eisungspfad des Benutzers
III - 4.3 Ergebnisdarstellung tabellarische Abfrage

Die Ergebnisdarstellung einer tabellarischen Abfrage ist wieder eine Tabelle:
Abbildung 160 - Ergebnisdarstellung einer tabellarischen Abfrage (ABAP-Tabelle)
Abbildung 161 - Ergebnisdarstellung einer tabellarischen Abfrage (HANA-Tabelle)
Die Spalte Bewertung zeigt an, ob der Tabelleneintrag den Vorgaben entspricht:
Bewertungskriterium nicht erfüllt
Bewertungskriterium erfüllt
Die Bewertung der Tabelleneinträge kann über den Reiter Bewertung vorgenommen werden. Details
hierzu finden sich im Kapitel Eigene Tabellenabfragen 250
Über die Schaltfläche können weitere Detailinformationen zum gewählten Tabelleneintrag

angezeigt werden (nur bei ABAP-Tabellen).
III - 4.4 Ergebnisdarstellung Parameterabfrage
Abbildung 162 - Ergebnisdarstellung Param eterausw ertung
Erfüllte Vorgaben werden nach der durchgeführten Analyse mit -Symbol gekennzeichnet.
Weichen die in CheckAud hinterlegten Vorgaben von den im SAP-System eingestellten
Parameterwerten ab, werden diese mit ein -Symbol gekennzeichnet.
Abbildung 163 - Zusam m enfassung
Zusammengefasst werden die in den Parameterabfragen hinterlegten Parameter in einer Matrix:
Vorgabe erfüllt und Konsistent Die Vorgabe ist erfüllt, der Parameter ist auf allen
SAP-Systeminstanzen einheitlich
Vorgabe erfüllt und nicht Konsistent Die Vorgabe ist erfüllt, der Parameter ist nicht auf
allen SAP-Systeminstanzen einheitlich
Vorgabe nicht erfüllt und Konsistent Die Vorgabe ist nicht erfüllt, der Parameter ist auf
Vorgabe nicht erfüllt und nicht Konsistent Die Vorgabe ist nicht erfüllt, der Parameter ist nicht
auf allen SAP-Systeminstanzen einheitlich
Keine Vorgabe und Konsistent Keine Vorgabe gepflegt, der Parameter ist auf allen
SAP-Systeminstanzen einheitlich
Keine Vorgabe und nicht Konsistent Keine Vorgabe gepflegt, der Parameter ist nicht auf
Abbildung 164 - SAP-Dokum entation zu einem Param eter
Das -Symbol ruft die SAP-Dokumentation des ausgewählten Parameters auf. Die in der
Dokumentation beinhalteten detaillierten Informationen wurden aus dem SAP-System ausgelesen
und übernommen.
Hinweis: Parameterabfragen sind nur für ABAP-Systeme verfügbar.
III - 4.5 Individuelle Layouts der Tabellendarstellung

Die Tabellenansichten der verschiedenen Ergebnisdarstellungen zu Berechtigungsabfragen,
tabellarischen Abfragen sowie Parameterabfragen lassen sich im Layout individuell gestalten.
III - 4.5.1 Sortierung in Tabellenansicht

Ergebnisse können nach Spalten sortiert werden, indem per Mausklick auf den gewünschten
Spaltenkopf geklickt wird. Dabei wird nacheinander gewechselt zwischen
Keine Sortierung --> Aufsteigende Sortierung --> Absteigende Sortierung -->

Keine Sortierung
Es kann immer nur nach einer Spalte in der Tabelle sortiert werden. Alternativ kann zur Konfiguration
der Sortierung auch das Kontextmenü (rechter Mausklick auf betreffende Spalte) genutzt werden:
Abbildung 165 - Kontextm enü für Sortierung nach einer Spalte
III - 4.5.2 Spaltenreihenfolge ändern

Durch Drag&Drop eines Spaltenkopfes kann dieser in der Reihenfolge der Tabellenspalten geändert
werden.
Abbildung 166 - Ändern der Spaltenreihenfolge
Hinweis: nicht alle Spaltenköpfe in den Tabellen lassen sich in der Reihenfolge ändern.
III - 4.5.3 Ein- und Ausblenden von Spalten

Bei Bedarf können nicht benötigte Spalten der Ergebnistabelle temporär ausgeblendet werden. Dies
erfolgt über das Kontextmenü per Rechtsklick auf den betreffenden Spaltenkopf:
Abbildung 167 - Ausblenden nicht benötigter Spalten
Die Spalten können via Kontextmenü, Eintrag Sichtbare Spalten, wieder eingeblendet werden:
Abbildung 168 - Ausgeblendete Spalten w ieder einblenden
III - 4.5.4 Ad-Hoc-Filter in Tabellenansicht

Über Ad-Hoc-Filter dienen zur schnellen Ergebnisfilterung und können zusätzlich zu den
in Kapitel Analyse-Einstellungen 57 beschriebenen Analysefiltern eingesetzt werden. Ad-
Hoc-Filter können über das Symbol im jeweiligen Spaltenkopf definiert werden. Die
Tabellenkomponente bietet einige Standard-Kriterien zur Erstellung von Ad-Hoc-Filtern.
Abbildung 169 - Beispiele zu Ad-hoc-Filter

Ein aktiver Ad-Hoc-Filter wird je Spaltenkopf durch ein farbiges Symbol dargestellt.
III - 4.5.5 Gruppierung von Ergebnissen

In der tabellarischen Ergebnisdarstellung können Gruppierungen vorgenommen werden. Dies kann z.
B. per Drag&Drop des gewünschten Spaltenkopfes auf die darüber liegende Zeile Ziehen Sie einen
Spaltenk opf und legen Sie ihn hier ab, um nach dieser Spalte zu gruppieren. erfolgen:
Abbildung 170 - Drag&Drop zum Gruppieren der Spalten
Alternativ kann auch das Kontextmenü per Rechtsklick auf den Spaltenkopf zum Gruppieren nach
Spalten genutzt werden:
Abbildung 171 - Kontextm enü zum Gruppieren der Spalten
Abbildung 172 - Ergebnisdarstellung m it Gruppierung

Das Entfernen der Gruppierung erfolgt wieder per Drag&Drop oder durch das erscheinende „x“.
III - 4.5.6 Layout Speichern

Das erstellte Layout kann als Vorgabe für andere Ergebnistabellen im Analyseprojekt gespeichert
werden. Somit wird für jede Ergebnistabelle diese Layout automatisch verwendet.
Abbildung 173 - Speichern des Layouts
Im Kontextmenü besteht die Möglichkeit das Layout zu speichern. Gespeichert werden

Gruppierungen, Anpassung der Spalten-Reihenfolge, aus- und eingeblendete Spalten sowie die
Sortierungen. Nicht gespeichert werden die Filteranpassungen in den Spalten. Über die Schaltfläche
kehrt man in die Ausgangsansicht zurück. Wurden

Anpassungen nach dem bereits gespeicherten Layout durchgeführt, kann über die Schaltfläche
auf den letzten Speicherpunkt zurückgekehrt werden.
Es gibt die Möglichkeit, das Speichern, Zurücksetzen oder Wiederherstellen des Layouts auch im
Tabellenkopf durchzuführen.
Nachdem die Gruppierung eingerichtet und gespeichert wurde, kann das Layout exportiert werden.
Dies ermöglicht dem Import des Layouts mit der erstellten Gruppierung in weitere Projekte
einzufügen.
Abbildung 174 - Im port/Export des erstellten Layouts
Hinweis: das Layout der Tabellenansicht wirkt sich ebenfalls auf die aus den Ergebnissen erstellten
Excel-Exporten und aus. Hier werden die gleichen Spalten-Reihenfolgen, Sortierungen etc.
angewendet, wie es vom Layout der Tabelle in CheckAud vorgegeben wurde.
III - 5 Export der Ergebnisse

Ergebnisse eines ausgewerteten Analyseprojektes können für jede einzelne Abfrage, für mehrere
Abfragen eines Teilprojektes oder für das gesamte Analyseprojekt exportiert werden. Beim Teil- oder
Gesamtexport wird eine HTML-Übersicht erstellt, aus der auf die einzelnen Ergebnisdateien (Excel-
Dokumente) verlinkt wird.
III - 5.1 Export einer Berechtigungsabfrage

Für den Ergebnisexport muss eine Berechtigungsabfrage ausgewertet und markiert sein. Über die
Schaltfläche wird der Export gestartet. Es erscheint ein Dialogfenster zur Auswahl des
Speicherpfades:
Abbildung 175 - Speicherpfad für Ergebnisexport angeben
Die Ergebnisdatei wird standardmäßig als Excel Arbeitsmappe (*.xlsx) erstellt und beinhaltet
mehrere Tabellenblätter:
Berechtigte Benutzer Auflistung der berechtigten Benutzer
Rechteherk ünfte Benutzer Auflistung der berechtigten Benutzer inkl. Rechteherkünfte
Auflistung der Sammelrollen, welche das Recht voll vergeben

Berechtigte Sammelrollen
Rechteherkünfte
Auflistung der berechtigten Sammelrollen mit den enthaltenen
Sammelrollen
Sammel-/Einzelrollen resp. Berechtigungsobjekten
Auflistung der Einzelrollen, welche das Recht voll vergeben
Berechtigte Einzelrollen
Rechteherkünfte
Auflistung der berechtigten Einzelrollen mit den enthaltenen
Einzelrollen
Berechtigungsobjekten
Abfrage techn. Zusammensetzung der Berechtigungsabfrage
Analyse-Einstellungen Übersicht zu den Einstellungen der Prüfung
Benutzer-Zuordnung Auflistung der für diese Abfrage legitimierten Benutzer
Risik o-Management Einstellungen aus dem Risikomanagement für diese Abfrage
Dok umentation Informationen aus der Dokumentation zu dieser Abfrage
Abbildung 176 - Ergebnistabelle, Auflistung der berechtigten Benutzer
Abbildung 177 - Ergebnistabelle, Auflistung der berechtigten Benutzer inkl. Rechteherkünfte
III - 5.2 Export einer Berechtigungsabfrage - Vergleich von Snapshots

Falls für die Auswertung der Berechtigung ein zweiter Snapshot zum Vergleich ausgewählt wurde,
wird das Vergleichsergebnis als zusätzliche Spalte im Excelexport beigefügt:
Abbildung 178 - Ergebnistabelle, Vergleich zw eier Snapshots
Sofern die zu vergleichenden Snapshots unterschiedliche SAP-Systemrelease-Stände oder

geänderte Customizing-Einstellungen aufweisen, es ist möglich, dass die zu Grunde liegende
Berechtigungsabfrage in unterschiedlicher Ausprägung ausgewertet wird. Dies ist bei Release-
unabhängigen Berechtigungsabfragen (Berechtigungsabfragen, welche gemäß SAP-Systemrelease
unterschiedlich in Objektzusammensetzung/-ausprägung ausgewertet werden) der Fall, siehe Kapitel
Release-unabhängige Berechtigungsabfragen 222 . Dies wird in dem Export unter dem Reiter Abfrage
wie folgt dargestellt:
Abbildung 179 - Abfragedarstellung im Export, Vergleich zw eier Snapshots
III - 5.3 Export einer tabellarischen Abfrage

Für den Ergebnisexport muss eine tabellarische Abfrage ausgewertet und markiert sein. Über die
Speicherpfades. Die Ergebnisdatei wird standardmäßig als Excel Arbeitsmappe (*.xlsx) erstellt und
beinhaltet mehrere Tabellenblätter:
Ergebnisse Auflistung der Ergebnisse der tabellarischen Abfrage
Techn. Darstellung der tabellarischen Abfrage, Listung der

Abfrage
Tabellen, Tabellenfelder sowie Select- und Join-Kriterien
Darstellung der Kriterien zur Bewertung der Inhalte der

Bewertung
tabellarischen Abfragen (Vorgaben erfüllt/nicht erfüllt)
Abbildung 180 - Export einer tabellarischen Abfrage
III - 5.4 Export einer Parameterabfrage

Für den Ergebnisexport muss eine Parameterabfrage ausgewertet und markiert sein. Über die
Speicherpfades. Die Ergebnisdatei wird standardmäßig als Excel Arbeitsmappe (*.xlsx) erstellt und
beinhaltet mehrere Tabellenblätter:
Ergebnisse Auflistung der Ergebnisse der Parameterabfrage
Abbildung 181 - Export einer Param eterabfrage
III - 5.5 Teil-/Gesamtexport eines Analyseprojektes

Ein Teil- oder Gesamtexport des Analyseprojektes mit mehreren Berechtigungsabfragen kann
ebenfalls über die Schaltfläche durchgeführt werden. Dafür muss im Analyseprojekt ein Teilbaum
bzw. das gesamte Projekt mit mehreren bereits ausgewerteten Abfragen ausgewählt sein:
Abbildung 182 - Ausw ahl eines Teilbaum s innerhalb des Analyseprojektes
Wird nun die Schaltfläche für den Export betätigt, erscheint wieder das bekannte Dialogfenster
zur Angabe des Speicherpfades:
Abbildung 183 - Dialog zum Abspeichern des Teilexport
Im Unterschied zum Export einer einzelnen Abfrage wird beim Teil- oder Gesamtexport als
Dateiformat HTML vorgegeben. Es wird eine HTML-Übersichtsseite generiert, automatisch wird im
selben Speicherort ein Unterverzeichnis mit den einzelnen Excel-Dokumenten zu jeder im Teilexport
enthaltenen Abfrage erstellt. In der HTML-Übersicht werden dann Links auf diesen Speicherort
gesetzt, so dass man komfortabel aus der bekannten Analyseprojektstruktur den gewünschten
Export öffnen kann.
Um die einzelnen Ergebnisexporte auszuwählen, kann die generierte HTML-Übersicht genutzt

werden:
Abbildung 184 - HTML-Übersicht eines Teilexports
Abbildung 185 - Ablage des Exports im Dateisystem
Abbildung 186 - Ablage des Exports im Dateisystem
Beim Teil- bzw. Gesamtexport werden zusätzliche Sammelexporte erzeugt, welche mehrere
Einzelexporte aggregieren. Diese können über die HTML-Ansicht aufgerufen werden:
Abbildung 187 - Übersicht der aggregierten Exporte

Folgende Sammelexporte werden erzeugt:
Auflistung aller ausgewerteten Berechtigungsabfragen

Benutzer-Export (csv-Datei)
mit allen berechtigten Benutzern
Auflistung aller ausgewerteten Berechtigungsabfragen
Rollen-Export (csv-Datei) mit allen berechtigten Rollen (Sammel- und
Einzelrollen)
Prüfbericht (docx-Datei) Ergebnisse als formatierter Word-Bericht
Benutzer-Berechtigungs-Matrix (xlsx-Datei) Gegenüberstellung von Benutzern zu Berechtigungen
Einzelrollen-Berechtigungs-Matrix (xlsx-
Gegenüberstellung von Einzelrollen zu Berechtigungen
Datei)
Sammelrollen-Berechtigungs-Matrix (xlsx- Gegenüberstellung von Sammelrollen zu
Datei) Berechtigungen
III - 5.5.1 Benutzer-Export - csv
Abbildung 188 - Beispiel Benutzer-Export
III - 5.5.2 Rollen-Export - csv
Abbildung 189 - Beispiel Rollen-Export
III - 5.5.3 Prüfbericht - docx
Abbildung 190 - Beispiel Prüfbericht
III - 5.5.4 Benutzer-Berechtigungs-Matrix - xlsx
Abbildung 191 - Beispiel Benutzer-Berechtigungs-Matrix
III - 5.5.5 Sammelrollen-Berechtigungs-Matrix
Abbildung 192 - Beispiel Sam m elrollen-Berechtigungs-Matrix
III - 5.5.6 Einzelrollen-Berechtigungs-Matrix
Abbildung 193 - Beispiel Sam m elrollen-Berechtigungs-Matrix
III - 5.5.7 Exporte in Matrix-Darstellung - Verknüpfte Excel-Dokumente

Die Matrix-Darstellung zeigen keine detaillierten Rechteherkünfte der einzelnen Benutzer / Rollen.
Allerdings sind die Matrix-Dokumente mit den detaillierten Excel-Einzelexporten verknüpft und stellen
so bei Bedarf weitere Informationen zur Verfügung:
Abbildung 194 - Benutzer-Berechtigungs-Matrix
Um die detaillierte Auflistung der Rechteherküfte eines (in diesem Beispiel) Benutzers in der
Benutzer-Berechtigungs-Matrix aufzurufen, kann die Zelle des Schnittpunktes von Benutzer zu
Berechtigung per Klick angewählt werden. Es öffnet sich der jeweilige Einzelexport der
betreffenden Berechtigung mit der ebenfalls bereits gesetzten Markierung des Benutzers und seiner
Rechteherkünfte:
Abbildung 195 - Verknüpfter Einzelexport zu Bestellungen freigeben, Benutzer DDIC
Hinweis: diese Funktion wird ebenfalls in der Einzelrollen-Matrix sowie in der Sammelrollen-Matrix
zur Verfügung gestellt.
III - 5.6 Verschlüsselung der Exportdateien
Der Export einzelner Ergebnisse wird über die Schaltfläche gestartet. Für die Exportdateien kann
bei Bedarf eine Verschlüsselung zur sicheren Datenablage aktiviert werden:
Abbildung 196 - Ausw ahl der Verschlüsselung einer Exportdatei
Beim Teil-/Gesamtexport besteht ebenfalls die Möglichkeit, eine Verschlüsselung für die zu
erstellenden Exportdateien zu aktivieren. Hierbei wird allerdings nicht jede einzelne Datei
verschlüsselt sondern statt dessen ein ZIP-Archiv mit entsprechender Verschlüsselung der Inhalte
erzeugt:
Abbildung 197 - Ausw ahl der Verschlüsselung eine Teil-/Gesam texport
Hinweis zur Verschlüsselung von ZIP-Archiven:
Die mit dem Windows Explorer kompatible ZipCrypo Verschlüsselung errechnet aus dem
eingegebenen Kennwort einen 40Bit Schlüssel, mit welchem die ZIP-Inhalte kodiert werden. Dieses
Verfahren ist anfällig für einfache Brute-Force-Angriffe.
Die starke Verschlüsselung AES256 verwendet Blockchiffren nach dem Rijndael-Algorithmus und gilt
als eines der meistgenutzten und sichersten Verschlüsselungsverfahren. Zur Nutzung sind
Softwareprodukte von Drittherstellern notwendig. Es ist empfehlenswert, die Exporte aus CheckAud
mit dem AES256 Verfahren und einem komplexen, langen Kennwort zu verschlüsseln.
III - 5.7 Anzeige der zuletzt exportierten Dateien

Nach dem Export von Ergebnissen werden im unteren Bereich des Programmfensters die letzten
Exporte chronologisch aufgelistet. Dies ermöglicht einen komfortablen Schnellzugriff auf die bereits
exportierten Dateien.
Abbildung 198 - Schnellzugriff der zuletzt durchgeführten

Exporte
Mit Hilfe der Schaltfläche hinter jedem Export lassen sich die Schnellzugriffe aus der Ansicht
entfernen. Bei Bedarf kann die Schnellzugriffsleiste mit der Schaltfläche im rechten, unteren
Programmfenster geschlossen werden
Hinweis: die Auflistung der zuletzt exportieren Ergebnisse beschränkt sich auf die jeweils geöffnete
Analyseprojektdatei. Mit Schließen der Projektdatei, werden bisher angezeigten Schnellzugriffe
entfernt. Die gespeicherten Exporte bleiben weiterhin am Speicherpfad vorhanden.
III - 5.8 Optionen für Teil-/Gesamtexport

Für den Teil- und Gesamtexport können projektbezogene Einstellungen vorgenommen werden,
welche die erzeugten Einzel- sowie die Sammelexporte beeinflussen. Hierfür muss die Wurzel eines
geöffneten Analyseprojektes markiert sein. Es wird im Hauptfenster der Reiter Export-Optionen
angezeigt:
Abbildung 199 - Konfiguration der Teil-/Gesam texporte
Bereich Einzelexporte:
Über die einzelnen Flags kann gesteuert werden, welche Einzelexport-Dateien bei der Durchführung
von Teil- oder Gesamtexporten erzeugt werden sollen. Deaktiviert man bspw. das Flag
Berechtigungsabfragen so wird beim nächsten Teil-/Gesamtexport keine Excel-Exportdateien der
ausgewerteten Berechtigungen erzeugt.
Bereich Sammelexporte:
Über die einzelnen Flags kann gesteuert werden, welche Sammelexport-Dateien bei der
Durchführung von Teil- oder Gesamtexporten erzeugt werden sollen. Deaktiviert man bspw. das Flag
Prüfbericht so wird beim nächsten Teil-/Gesamtexport keine Prüfbericht als Word-Dokument
erzeugt.
Hinweis: Thick et-Verzeichnis

Wenn aktiviert, wird der Suffix ‘_files‘ an den Namen des Exportverzeichnisses angehängt. Dies
koppelt das Verzeichnis automatisch mit der zugehörigen Exportdatei (HTML-Übersicht). Wenn
deaktiviert, wird stattdessen der Suffix ‘_contents‘ verwendet. Dies ist hilfreich, wenn die
automatische Kopplung von Exportdatei und –Verzeichnis unerwünscht ist. Deaktivieren Sie diese
Option z.B. wenn die Exporte auf einen SharePoint-Server hochgeladen werden sollen (das Thicket-
Verzeichnis wäre dort unsichtbar).
Bereich Berechtigungs-Matrizen:
Über diese Flags wird gesteuert, wie die verschiedenen Berechtigungs-Matrizen (Benutzer-
Berechtigungs-Matrix, Einzelrollen-Berechtigungs-Matrix, Sammelrollen-Berechtigungs-Matrix)
aufgebaut werden sollen.
Wenn aktiviert, werden alle analysierten Benutzer (bzw. Rollen) aus dem
SAP-System in die Berechtigungs-Matrix aufgenommen.
Alle Benutzer /bzw.
Rollen) exportieren Wenn deaktiviert, werden nur Benutzer (bzw. Rollen) exportiert, die einen
Eintrag (Berechtigung) haben. Benutzer (bzw. Rollen) ohne
Berechtigungen werden ausgelassen.
Bei der Analyse können Benutzerfilter gesetzt werden. Diese führen dazu,
dass manche Benutzer (bzw. Rollen) bei der Analyse nicht berücksichtig
werden.
Gefilterte Benutzer (bzw. Wenn aktiviert, werden die in der Analyse ausgefilterte Benutzer (bzw.
Rollen) exportieren Rollen) trotzdem in die Berechtigungs-Matrix aufgenommen (werden mit " -
" markiert).
Wenn deaktiviert, werden ausgefilterte Benutzer (bzw. Rollen) nicht in die

Berechtigungs-Matrix aufgenommen.
Die Benutzer-Berechtigungs-Matrix wird als eine Excel-Datei erzeugt. Da
man allerdings mit sehr großen Excel-Dateien nur schwierig arbeiten kann,
Teile die Benutzer-
wird der Export standardmäßig auf mehrere kleinere Dateien aufgeteilt. Die
Berechtigungs-Matrix in
erzeugten Excel-Dateien enthalten jeweils maximal 50.000 Datensätze.
mehrere Dateien auf
Falls diese Aufteilung nicht erwünscht ist, kann diese Einstellung hier
deaktiviert werden.
Bei der Erzeugung von Excel-Dateien können Kommentare erzeugt
werden, die auf Besonderheiten hinweisen. Beispielsweise können in
Erklärende Kommentare Excel nicht alle Datumsangaben angezeigt werden. Bei automatischer
erzeugen Datums-Konversion wird ein erklärender Kommentar an entsprechender
Zelle platziert. Falls keine Kommentare benötigt werden, kann man sie mit
dieser Option abschalten.
Hinweis: ist das Flag Globale Export-Optionen verwenden aktiviert, so werden die Export-Optionen
aus den Programmeinstellungen von CheckAud für dieses geöffnete Projekt übernommen (siehe
Kapitel Einstellungen 51 ). Sollen abweichend von den globalen Export-Optionen für das geöffnete
Analyseprojekte eigene Optionen gesetzt werden, so muss das Flag Globale Export-Optionen
verwenden deaktiviert werden.
Abbildung 200 - Individuelle Konfiguration der Teil-/Gesam texporte
Wird das Flag Globale Export-Optionen verwenden wieder aktiviert, werden sofort die
programmglobalen Exporteinstellungen übernommen.
149
Kapitel IV - Risikomanagement
150 Kapitel IV - Risikomanagement
IV Risikomanagement
IV - 1 Einführung
Als signifikanter Bestandteil des Risikomanagements ermöglicht CheckAud eine gesonderte Sicht
auf die Ergebnisse der Berechtigungsprüfung und bietet eine effiziente Bewertung der
Systemsicherheit. Dabei können neben der technischen Berechtigungsvergabe auch
organisationsspezifische Besonderheiten wie technische und organisatorische Ausnahmeregelungen
gezielt in die Bewertung mit aufgenommen werden. Auf Basis dieser Informationen werden durch
CheckAud Kennzahlen (Scores) für alle Abfragen errechnet, die u.a. in grafischer Form den
Führungsebenen vorgelegt werden können. Mit diesen Kennzahlen lassen sich bspw. die Funktion
und Wirksamkeit des Risikomanagements dokumentieren, gezielt Berichte und Meldungen erzeugen
(ereignisgesteuertes Berichtswesen) oder Verbesserungen/Verschlechterungen der
Systemsicherheit im Rahmen von Berechtigungsprojekten aufzeigen.
IV - 2 Definition – Was ist ein Risiko?

Unternehmerische Entscheidungen werden unter Risikobetrachtung getroffen, Handlungen werden
bewusst unter Rücksichtnahme möglicher negativer oder positiver Auswirkungen durchgeführt. Dabei
wird versucht, bei Berücksichtigung möglichst genauer Rahmenbedingungen diese Entscheidungen
bzw. Handlungen abzusichern und somit die negativen Auswirkungen so gering wie möglich zu
halten. Hierbei wird das Risiko anhand der Eintrittswahrscheinlichkeit und im Eintrittsfall anhand der
möglichen Schadenswirkung bemessen. Diese Einschätzungen bilden die Grundlage für die Nutzung
von CheckAud als Teil des Risikomanagements.
IV - 3 Konfiguration des Risikomanagement

IV - 3.1 Risikobeschreibung & Dokumentation
Grundlage für das Risikomanagement ist die fachliche Beschreibung des Risikos bezogen auf die
gerade gewählte Abfrage. IBS liefert für die Standardabfragen bereits vordefinierte
Risikobeschreibungen (deutsch/englisch) aus. Diese können genutzt und ggf. an die
unternehmensspezifischen Besonderheiten angepasst werden. Die Dokumentation dient der
detaillierteren Beschreibung zum Risiko, enthält Schlagworte und Empfehlungen zur
Maßnahmendefinition
Kapitel IV - Risikomanagement 151
IV - 3.1.1 Risikobeschreibung & Dokumentation Berechtigungsabfrage

Um die Risikobeschreibung einer Berechtigungsabfrage zu öffnen, muss im Analyseprojekt eine
Berechtigungsabfrage markiert sein. Die Risikobeschreibung sowie weitere zugehöriger
Einstellungen finden sich dann im Hauptfenster auf dem Reiter Risik o-Management.
Abbildung 201 - Risikobeschreibung
Über den Reiter Dok umentation können für jede Berechtigungsabfrage in CheckAud weiterführende
Informationen hinterlegt werden, um die Priorisierung der Abfrage im Rahmen des
Risikomanagements besser einstufen zu können.
Abbildung 202 - Dokum entation und Handlungsem pfehlungen

Schlagworte (Tags)
In diesem Freitextfeld können kommagetrennt Schlagworte hinterlegt werden. Dies ermöglicht eine
Suche innerhalb des Analyseprojektes bzw. in der Übersicht aller Berechtigungsabfragen in
CheckAud 2021.2. Die Tags können in Deutsch und Englisch hinterlegt werden, sofern über die
Sprachauswahl zu einer anderen Sprache gewechselt wird.
Dabei werden durch die Eingabe von ein oder mehreren Stichwörter(n) und verschiedene
Schlüsselbegriffe entsprechende Abfragen, die diese Begriffe enthalten, aufgelistet.
Abbildung 203 - Suche über Schlagw orte

Anwendungsbereich (Scope)
In diesem Freitextfeld kann der Anwendungsfall beschrieben werden, für den diese Abfrage gedacht
ist. Dies dient der besseren Einordnung und Bewertung der jeweiligen Abfrage. Die Informationen
können in Deutsch und Englisch hinterlegt werden, sofern über die Sprachauswahl zu einer anderen
Sprache gewechselt wird.
Zielsetzung (Objectives)
In diesem Freitextfeld kann das Ziel der Abfrage definiert werden. Somit wird näher beschrieben,
wozu die Abfrage dient und was das Ziel bei der Nachbesserung basierend auf den
Abfrageergebnissen sein soll. Die Informationen können in Deutsch und Englisch hinterlegt werden,
sofern über die Sprachauswahl zu einer anderen Sprache gewechselt wird.
IV - 3.1.2 Risikobeschreibung & Dokumentation tabellarische Abfrage

Im Gegensatz zu einer Berechtigungsabfrage wird für tabellarische Abfragen lediglich eine
Dokumentation gepflegt:
Abbildung 204 - Dokum entation einer tabellarischen Abfrage
IV - 3.1.3 Risikobeschreibung & Dokumentation Parameterabfrage

Im Gegensatz zu einer Berechtigungsabfrage wird für Parameterabfragen lediglich eine
Dokumentation gepflegt:
Abbildung 205 - Dokum entation einer Param eterabfrage
IV - 3.1.4 Anpassung von Risikobeschreibung & Dokumentation

Die Freitextfelder unter Risikobeschreibung bzw. auf dem Reiter Dokumentation lassen sich bei
Bedarf anpassen. Mit dem Betätigen der Schaltfläche kann das zugehörige Freitextfeld editiert
werden.
Abbildung 206 - Anpassung der Risikobeschreibung
Abbildung 207 - Anpassung der Risikobeschreibung
Die Schaltfläche blendet die ursprüngliche Risikobeschreibung in einen separaten

Pop-Up-Fenster ein. Die angepasste Risikobeschreibung bleibt unverändert. Mit der Verwendung der
Schaltfläche , wird die angepasste Risikobeschreibung wieder auf den Standardwert
zurückgesetzt.
Abbildung 208 - Standardw ert der Risikobeschreibung
Es ist zu beachten, dass die Anpassung der Risikobeschreibung nur in dem jeweiligen Projekt
stattfindet. Im Reiter Dok umentation können die hier bereitgestellten Textfelder analog zur eben
beschriebenen Vorgehensweise editiert werden
IV - 3.2 Auswirkung des Risiko

IV - 3.2.1 Auswirkung des Risiko - Berechtigungsabfragen
Die Auswirkung beschreibt die Höhe des Schadens im Eintrittsfall. Diese Einschätzung basiert auf
den Erfahrungen des Unternehmens und ist daher individuell auszuprägen. Für die IBS-
Standardabfragen werden entsprechende Einschätzungen des Schadens vorausgeprägt und können
bei Bedarf individuell angepasst werden.
Abbildung 209 - Standardw ert der Risikobeschreibung
Diese Ausprägung beeinflusst den errechneten Score. Details dazu sind im Kapitel Der Score eines
Analyseprojektes 169 zu finden.
Zusätzlich zur Auswirkung des Risikos einer Berechtigungsabfrage kann eine kompensierende
Kontrolle in CheckAud dokumentiert werden. Sofern eine technische Absicherung eines kritischen
Vorgangs über Berechtigungsvergaben im SAP-System nicht möglich ist, kann eine nicht-technische
Kontrolle eingerichtet werden.
Abbildung 210 - Dokum entation einer kom pensierenden Kontrolle
Die Ausprägung der Auswirkung eines Risikos erfolgt wie gehabt individuell. Über das Flag
Kompensierende Kontrolle definiert wird die Einstellung Verbleibende Auswirk ung aktiviert. Die
kompensierende Kontrolle soll die eigentliche Schadenswirkung durch die Definition einer
organisatorischen Handlung kompensieren. Somit muss die Verbleibende Auswirk ung definiert
werden, die geringer ist, als die Ausgangsauswirkung ohne kompensierende Kontrolle. Eine fachliche
Beschreibung inkl. Regelung zur Verantwortlichkeit unterstützt die Dokumentation dieser nicht-
technischen Kontrollmaßnahme. Durch die Definition dieser kompensierenden Kontrolle und der
damit verminderten Schadenswirkung verbessert sich der errechnete Score für diese
Berechtigungsabfrage. Details dazu sind im Kapitel Der Score eines Analyseprojektes 169 zu finden.
IV - 3.2.2 Auswirkung des Risiko - Tabellarische Abfragen

Für tabellarische Abfragen werden keine Risikoauswirkungen gepflegt.
IV - 3.2.3 Auswirkung des Risiko - Parameterabfragen

Für Systemparameter werden ebenfalls Risikoauswirkungen in den bekannten Stufen gepflegt.
Sofern die Parameterabfragen auf dem Auslieferungsstandard der IBS Schreiber GmbH basieren,
sind die Auswirkungen fest vorgegeben und können nicht verändert werden.
Abbildung 211 - Ausw irkung des Risikos bei Param eterabfragen
Bei selbstdefinierten Parameterabfragen kann die Auswirkung des Risikos selbst konfiguriert werden.
Weitere Informationen hierzu finden sich im Kapitel Anpassung der Analyseprojekte 174 .
IV - 3.3 Benutzer-Zuordnung bei Berechtigungsabfragen

Über die Benutzer-Zuordnung können Ausnahmeregelungen (Sollvorgaben) zu den
Berechtigungsabfragen definiert werden. Oftmals sind hochberechtigte Benutzer (techn. Benutzer,
Super-User) im Ergebnis enthalten, die für die Risikobetrachtung nicht herangezogen werden sollen.
Des Weiteren gibt es gemäß der Organisationsstruktur auch für eine abgefragte Berechtigung
legitimierte Benutzer. Diese müssen durch CheckAud ebenfalls von der Risikobetrachtung
ausgeschlossen werden, da diese Benutzer die Berechtigung für ihre Aufgabenerfüllung benötigen.
Daher können in CheckAud Regeln definiert werden, anhand derer die Benutzer für die Abfrage als
berechtigt erkannt werden. Die differenzierte Ausprägung von Benutzern hat unmittelbaren Einfluss
auf die Berechnung des Scores.
Über wird eine Benutzer-Zuordnung für die jeweilige Berechtigungsabfrage

hinzugefügt. Sollen mehrere einzelne Kriterien logisch zu einem Kriterienblock zusammengefasst
werden, so können diese über die Schaltfläche nacheinander erstellt werden. Einzelne Kriterien
können logisch ODER bzw. UND verknüpft werden. Mehrere Kriterienblöcke werden fest als ODER-
Verknüpfung angelegt.
Abbildung 212 - Benutzer-Zuordnung
Folgende Attribute eines SAP-Benutzerkontos können für die Regeln genutzt werden:
· Benutzer (User-ID)
· Typ
· Sperre
· Gültig von
· Gültig bis
· Gruppe
· Abteilung
· Funktion
· Kostenstelle
· Benutzergruppen
Folgende Attribute eines HANA DB-Benutzerkontos können für die Regeln genutzt werden:
· Benutzer
· Gültig von
· Gültig bis
· Eingeschränkt
· Deaktiviert
· Benutzergruppe
Die Attribute können mit folgenden Vergleichsoperatoren abhängig vom Attribut selektiert werden:
· gleich
· ungleich
· wie
· nicht wie
· enthält
· enthält nicht
· kleiner als
· größer als
· kleiner gleich
· größer gleich
Für die Vergleichswerte wie und nicht wie kann * als Wildcard genutzt werden
Die Regeln sind grundsätzlich Einschluss-Regeln, d. h. Benutzer, die der Regel entsprechen, werden
für die Berechtigung legitimiert. Umgekehrt werden alle Benutzer, die der Regel nicht entsprechen,
nicht legitimiert! Regeln lassen sich innerhalb eines Projektes gezielt vererben.
Hier ein Beispiele für die Legitimierung bestimmter Benutzer für eine Berechtigungsabfrage:
Abbildung 213 - Alle Benutzer der Gruppe SUPER sind für die Berechtigungsabfrage legitim iert
Abbildung 214 - Alle Benutzer ausser Benutzer der Gruppe SUPER sind für die Berechtigungsabfrage
legitim iert
Abbildung 215 - Ergebnisdarstellung m it Benutzerzuordnung
Hinweis: eine neu angelegte Benutzerzuordnung ist erst nach erneuter Auswertung der
Berechtigungsabfrage aktiv.
Über die Schaltfläche können Benutzerzuordnungen geladen oder gespeichert

werden. Ein Import von Benutzerzuordnungen aus einer TXT-Datei wird ebenfalls angeboten. Die TXT-
Datei darf dabei pro Zeile nur eine Benutzer-ID enthalten haben:
Abbildung 216 - Im port einer TXT-Datei für Benutzer-Zuordnung
Über die Schaltfläche öffnet sich ein Dialogfenster zur Auswahl von vordefinierten
Benutzerzuordnungen. Hier muss das Dateiformat von *.causerattribution auf *.txt umgestellt werden:
Abbildung 217 - Benutzer-Zuordnung auf Basis einer eingelesenen TXT-Datei
Hinweis: eine rot umrandete Zeile weist darauf hin, dass der eingetragene Wert (in dem Fall für
Benutzername) in dem vom Analyseprojekt verwendeten Snapshot nicht enthalten ist.
IV - 3.4 Benutzer-Zuordnung über Benutzer-Berechtigungs-Matrix importieren

Für eine präzise Analyse der zugewiesenen Berechtigungen ist es notwendig, im Vorfeld jene
Benutzer zu definieren, die bestimmte Berechtigungen sowie Berechtigungskombinationen besitzen
dürfen. Eine solche Zuweisung kann auf 2 Varianten erfolgen. Berechtigte Benutzer können einzeln
über die Benutzer-Zuordnung bei Berechtigungsabfragen hinterlegt werden. Diese Variante erfordert
eine manuelle Einstellung für jeden Benutzer und ist nur dann sinnvoll, wenn es sich um wenige
Benutzer-Zuordnungen handelt. Muss allerdings eine Vielzahl an Zuordnungen vorgenommen werden,
ist es sinnvoll eine Zuweisung über die Massen-Import-Funktion vorzunehmen. Eine solche
Notwendigkeit besteht einerseits, wenn das Programm neu implementiert und erstmalig angepasst
wird, oder in weiterer Folge unter anderem dann, wenn aufgrund von neuen internen Regelungen,
bzw. prozessualen Anpassungen Benutzer-Zuordnungen geändert wurden. Diese Massen-Import-
Funktion findet sich entweder im Menü für Schnellzugriff auf Standardfunktionen oder mittels
Rechtsklick und Kontextmenü direkt auf das Projekt im Projektbaum.
Abbildung 218 - Im port starten
Die Basis für den Import stellt die Benutzer-Berechtigungs-Matrix dar. Diese wird beim Export der
Ergebnisse einer Analyse erstellt.
Abbildung 219 - Original Benutzer-Berechtigungs-Matrix
Die neuen Vorgaben der Benutzerzuordnung werden durch Umsetzen der Feldwerte in dieser Matrix
von X auf O getätigt. Damit werden die Benutzer für die entsprechende Berechtigung als legitimiert
markiert.
Abbildung 220 - Überarbeitete Benutzer-Berechtigungs-Matrix
In weiterer Folge muss die Benutzer-Berechtigungs-Matrix wieder in CheckAud importiert werden, die
Benutzer-Zuordnungen werden daraufhin automatisch bei den jeweiligen Berechtigungsabfragen
hinterlegt.
Abbildung 221 - Durch Im port gesetzte Benutzer-Zuordnung
Nach dem Import und einer erneuten Auswertung werden diese Benutzer-Zuordnungen bei der
Darstellung der Ergebnisse berücksichtigt, in dem diese Benutzer farblich „grün“ dargestellt werden.
Abbildung 222 - Analyseergebnisse inkl. Bew ertung durch Benutzer-Zuordnung
IV - 3.5 Vererbung der Benutzer-Zuordnung

Ähnlich wie Analyse-Einstellungen können auch Benutzer-Zuordnungen per Vererbung innerhalb des
Analyseprojekts auf untergeordnete Elemente weitergegeben werden. Benutzer-Zuordnungen können
auf Projekt-, Ordner- oder Abfrageebene vorgenommen werden:
Projektebene: Benutzer-Zuordnungen werden auf alle untergeordneten Elemente vererbt.
Ordnerebene: Benutzer-Zuordnungen werden durch die Vererbung übernommen, alternativ

kann auf Ordnerebene die Vererbung unterbrochen werden. In diesem Fall werden die neuen
Benutzer-Zuordnungen ab dieser Ebene auf alle darunterliegenden Elemente vererbt.
Abfrageebene: Benutzer-Zuordnungen werden über die Vererbung übernommen, alternativ

kann auf Abfrageebene die Vererbung unterbrochen werden. In diesem Fall gelten für diese
Abfragen eigene Benutzer-Zuordnungen.
Durch Entfernen des Flags Zuordnungsk riterien erben kann die Vererbung auf den einzelnen
Unterebenen allgemein unterbrochen werden.
Abbildung 223 - Vererbung der Benutzer-Zuordnung
Abbildung 224 - Vererbung der Benutzer-Zuordnung unterbrochen
Um die Unterbrechung der Vererbung im Analyseprojekt schnell zu erkennen, besteht die

Möglichkeit, die Ansicht im Analyseprojekt zu wechseln.
Standardansicht des Analyseprojektes
Abbildung 225 - Standardansicht des Analyseprojektes
Die Vererbungsunterbrechungen der Benutzer-Zuordnung in der Ansicht des Projektbaumes

kenntlich machen
Abbildung 226 Vererbungsunterbrechung der Benutzer-Zuordnung im Analyseprojekt darstellen
Wird die Vererbung der Benutzer-Zuordnung in einzelnen Abfragen oder Ordnern unterbrochen, so
kann dies in der Baumansicht mithilfe dieser Einstellung sichtbar gemacht werden.
IV - 3.6 Projektansichten zur Visualisierung der Änderungen im Risikomanagement

Sofern Änderungen der Risikobeschreibung, Auswirkung, Bewertungskriterien (bei tabellarischen
Abfragen) sowie Dokumentation abweichend vom Standard durchgeführt werden, können diese
ebenfalls über entsprechende Projektansichten visualisiert werden. Hierbei werden die im
Analyseprojekt geänderten Abfragen entsprechend markiert dargestellt:
Abbildung 227 - Änderungen des Risikom anagem ents von Abfragen visualisieren
Für die einzelnen Ansichten stehen verschiedene Schaltflächen in der Menüleiste zur Verfügung:
Abbildung 228 - Schaltflächen für Projektansichten
visualisiert die Änderung an der Schadensauswirkung von Berechtigungsabfragen

visualisiert die Definition von kompensierenden Kontrollen von Berechtigungsabfragen
visualisiert die Änderung von Bewertungskriterien an tabellarischen Abfragen

visualisiert die Änderung der Dokumentation von Berechtigungsabfragen
IV - 4 Der Score eines Analyseprojektes

Der Score eines Analyseprojektes ist eine quantitative Aussage zur Systemsicherheit, basierend auf
Einstellungen zur Schadenswirkung, zur Benutzer-Zuordnung, kompensierenden Kontrollen in
Kombination mit den Ergebnissen (=berechtigt vorgefundenen Benutzern) für jede im Projekt
enthaltene Berechtigungsabfrage, tabellarische Abfrage und Parameterabfrage. Dabei wird der Score
einen Wert zwischen 0 (= geringe Systemsicherheit, hohes Risiko) und 100 (hohe Systemsicherheit,
geringes Risiko) annehmen.
Der Score ermittelt sich aus der Gesamtheit aller Abfragen eines Analyseprojektes. Dabei werden
die einzelnen Scores innerhalb des Projektes für jedes Verzeichnis resp. für jede einzelne Abfrage
im Projekt ermittelt. Jede Abfrage kann maximal einen Score von 100 erreichen. Dies ist dann der
Fall, wenn entweder die Abfrage von der Auswirkung her nicht relevant ist (Einstellung der
Auswirkung Keine / None) oder aber wenn unter Betrachtung aller Einstellungen das Ergebnis den
Sollvorgaben entspricht.
Sofern abweichende Ergebnisse (= berechtigte, aber nicht legitimierte Benutzer, abweichende

Parametereinstellungen, abweichende Ergebnisse in den tabellarischen Abfragen) ermittelt werden,
wird ein Malus-Faktor (lat. malus=schlecht) errechnet, der dann von dem Maximal-Score 100
abgezogen wird. Der Score ist mit dem Minimal-Wert 0 begrenzt, daher kann ein Malus-Faktor, so
hoch er auch sein mag, nie den Score einer Abfrage/eines Projektes unter 0 bringen.
Der Malus-Faktor wird dabei aus folgenden Teilen zusammengesetzt:
· Eintrittswahrscheinlichkeit (= Anzahl der technisch berechtigten Benutzer einer

Berechtigungsabfrage)
Die Anzahl der berechtigt vorgefundenen Benutzer bestimmt die Eintrittswahrscheinlichkeit. Je

mehr Benutzer technisch berechtigt sind, desto höher ist die Wahrscheinlichkeit, dass die
abgefragte Berechtigung genutzt wird, desto höher wird der Malus-Faktor berechnet.
· Benutzer-Zuordnung (= Ausnahmeregelungen für berechtigt vorgefundene Benutzer einer

Berechtigungsabfrage)
Sofern technisch berechtigte Benutzer für die abgefragte Berechtigung legitimiert sind, so werden
diese Benutzer nicht in der Höhe der Eintrittswahrscheinlichkeit betrachtet. Nur die technisch
berechtigten, aber nicht legitimierten Benutzer werden für die Berechnung des Malus-Faktors
herangezogen.
· Auswirkung (= individuelle Priorisierung nach Schadenseinschätzung)
Je höher die Schadenswirkung geschätzt wird, desto höher ist der Malus-Faktor und desto stärker
reduziert sich der Score im Eintrittsfall.
· Kompensierende Kontrolle
Sofern keine technische Absicherung im SAP-System realisierbar ist, kann die ursprüngliche
Schadensauswirkung durch die Definition dieser organisatorischen Kontrolle reduziert werden. In

diesem Fall wird die reduzierte Auswirkung in die Berechnung des Malus-Faktors aufgenommen.
Folgende Benutzerzahlen in Abhängigkeit der Auswirkung zu einem Score von 0:
Kritisch 1
Sehr hoch 10
Hoch 25 technisch berechtigt, nicht
Mittel 100 legitimierte Benutzer
Gering 200
Sehr gering 1000
Keine unbeschränkt
Die Cockpit-Ansicht gibt einen schnellen Überblick über den errechneten Score eines
Analyseprojektes inkl. der jeweiligen Teilergebnisse der im Projekt enthaltenen Prüfungsbereiche.
Die Cockpit-Ansicht wird bei einem ausgewerteten Analyseprojekt dargestellt, wenn die
Projektwurzel oder ein Unterverzeichnis mit enthaltenen, ausgewerteten Abfragen markiert wird:
Abbildung 229 - Cockpit-Ansicht
1 Kombinierter Score, hier wird der aus den jeweils untergeordneten Elementen ermittelte Score
des im Analyseprojekt gewählten Elementes angezeigt.
2 Scores der Unterpunkte, hier werden die jeweiligen Scores der direkten Unterpunkte des im
Analyseprojekt gewählten Elementes aufgezeigt.
3 Indikator Highest Score, zeigt an, in welchem Wertebereich sich der höchste Score der
analysierten Berechtigungsabfragen bewegt.
4 Indikator Lowest Score, zeigt an, in welchem Wertebereich sich der niedrigste Score der
analysierten Berechtigungsabfragen bewegt.
Über die Auswahl der Elemente im Analyseprojekt kann auch für untergeordnete Elemente eine
Cockpit-Ansicht erstellt werden:
Abbildung 230 - Beispiele für Cockpit-Ansichten
173
Kapitel V - Anpassung der Analyseprojekte
174 Kapitel V - Anpassung der Analyseprojekte
V Anpassung der Analyseprojekte

V-1 Erste Schritte - Neues Projekt anlegen
Mit der Schaltfläche Neues Projekt im Reiter CheckAud wird ein neues Analyseprojekt erstellt. Es
öffnet sich die Projektansicht:
Abbildung 231 - Neues Projekt in der Projektansicht
Grundlegend müssen folgende Schritte durchgeführt werden, bis weitere Einstellungen zu einem
neuen Analyseprojekt definiert werden können:
1. „Das leere Projekt mit Analysen füllen“
Per Drag&Drop einen Vorlagenbaum, eine einzelne Abfrage, eine tabellarische Abfrage oder eine
Parameterauswertung das neue Projekt ziehen.
Kapitel V - Anpassung der Analyseprojekte 175
Abbildung 232 - Projektinhalte per Drag&Drop zum Projekt hinzufügen
2. „Das mit Analysen gefüllte Projekt mit Daten füllen“
Sobald eines der eben genannten Projektinhalte eingefügt wurde, kann über den Reiter
Analyseeinstellungen der Snapshot ausgewählt werden, mit dem die Analyse durchgeführt
werden soll. Achtung: sind in dem Projekt Abfragen für ABAP- und HANA DB-Systeme enthalten,
so muss jeweils ein Snapshot für ein ABAP- als auch HANA DB-System ausgewählt werden.
Dies erfolgt über den Wechsel der Reiter ABAP bzw. HANA DB.
Abbildung 233 - Ausw ahl des Snapshot
Nach diesen ersten beiden Schritten kann mit der weiteren Ausgestaltung des neuen
Analyseprojektes fortgefahren werden.
V - 1.1 Erstellen neuer Elemente im Analyseprojekt

In einem Analyseprojekt können folgende Elemente erstellt werden:
Neues Verzeichnis
Verzeichnisse stellen organisatorische Container innerhalb des Projektes dar. Ein Verzeichnis selbst
kann Einstellungen erben bzw. durch eine Vererbungsunterbrechung neue Einstellungen zur Analyse
vorgeben, die dann auf untergeordnete Elemente vererbt werden. Das Element kann beliebig in
Deutsch bzw. Englisch benannt werden.
Abfrage (ABAP)
Die Abfrage ist die technische Prüfung auf (beliebig einstellbare) Kombinationen von
Berechtigungsobjekten, die ein SAP-Benutzer auf Grund seiner Rollen-, Profil- oder
Referenzbenutzerzuordnung erhalten kann. Hinter dieser Abfrage steht im Allgemeinen ein Risiko,
das durch die Prüfung inkl. der an der Abfrage hinterlegten Bewertungen quantifiziert wird. Das
Element kann beliebig in Deutsch bzw. Englisch benannt werden.
Abfrage (HANA DB)
Die Abfrage ist die technische Prüfung auf (beliebig einstellbare) Kombinationen von
Berechtigungsarten, die ein HANA DB-Benutzer auf Grund seiner Rollen erhalten kann. Hinter dieser
Abfrage steht im Allgemeinen ein Risiko, das durch die Prüfung inkl. der an der Abfrage hinterlegten
Bewertungen quantifiziert wird. Das Element kann beliebig in Deutsch bzw. Englisch benannt
werden.
Um diese Elemente zu erstellen, muss das Projekt markiert sein; dann kann über die Menüzeile
mit den Schaltflächen
Erstellen eines neuen Verzeichnisses im Analyseprojekt

Erstellen einer neuen Abfrage im Analyseprojekt
das gewünschte Element erstellt werden:
Abbildung 234 - Erstellen neuer Elem ente im eigenen Analyseprojekt
Alternativ kann auch im Analyseprojekt das Kontextmenü für die Erstellung neuer Elemente
verwendet werden:
Abbildung 235 - Erstellen neuer Elem ente im eigenen Analyseprojekt
Hinweis: das neue Element Berechtigungsabfrage im Analyseprojekt ist noch leer, d. h. es sind für
diese Berechtigungsabfrage noch keine zu prüfenden Berechtigungsobjekte definiert. Dies wird durch
das Ausrufezeichen am Icon gekennzeichnet
V - 1.2 Umbenennen neuer Elemente im Analyseprojekt

Neu erstellte Elemente können beliebig umbenannt werden. Dafür muss das betreffende Element
markiert sein. Über die Schaltfläche
Umbenennen des akt. gewählten Elementes im Analyseprojekt
kann das Element umbenannt werden. Dafür stehen die Standardsprachen Deutsch/Englisch zur
Verfügung. Details zur Mehrsprachigkeit im Analyseprojekt sind zu finden im Kapitel
Analyseprojekte 78 .
Abbildung 236 - Um benennen von Elem enten
Alternativ kann auch im Analyseprojekt das Kontextmenü für das Umbenennen neuer Elemente
verwendet werden:
Abbildung 237 - Um benennen von Elem enten
V - 1.3 Verschieben und Anordnen neuer Elemente im Analyseprojekt

Elemente im Analysebaum können via Drag&Drop innerhalb der Strukturen verschoben oder neu
angeordnet werden. Setzt man ein Element per Drag&Drop auf ein Verzeichnis, wird das betreffende
Element dem Verzeichnis untergeordnet:
Abbildung 238 - Projekt strukturieren per Drag&Drop
Setzt man ein Element auf das übergeordnete Verzeichnis oder das Projekt, wird das betreffende
Element als Letztes dem Verzeichnis oder dem Projekt angehängt. Darüber ist es möglich, eine
Anordnung der Elemente im Projekt zu erzwingen:
Abbildung 239 - Elem ente anordnen per Drag&Drop
V - 1.4 Löschen von Elementen im Analyseprojekt

Über die Schaltfläche
Löschen des akt. gewählten Elementes im Analyseprojekt
können die aktuell selektierten Elemente des Analyseprojektes gelöscht werden. Sofern ein
Verzeichnis markiert und gelöscht wird, werden auch alle dem Verzeichnis untergeordneten
Elemente sofort entfernt.
Abbildung 240 - Löschen von Elem enten

Alternativ kann für das Löschen auch der entsprechende Kontextmenüeintrag verwendet werden.
V-2 Verwendung von Vorlagenbäumen

V - 2.1 Vorlagenbäume
Die von der IBS Schreiber GmbH im Standard bereitgestellten Berechtigungsabfragen, tabellarischen
Abfragen sowie Parameterprüfungen werden thematisch sortiert in sogenannten Vorlagenbäumen
bereitgestellt. Diese können dann in eigenen Analyseprojekten in Gänze oder in Teilen verwendet
werden. Folgende Analysebäume stehen derzeit in CheckAud zur Verfügung:
Abbildung 241 - Auslieferungsstandard Vorlagenbäum e
V - 2.2 Lizenzierte Vorlagenbäume

In Abhängigkeit zur eingespielten Lizenz werden u. U. nicht alle Vorlagenbäume und deren
enthaltene Abfragen verfügbar gemacht. Dies ist an den entsprechenden Symbolen innerhalb der
Toolbox für Bäume und Abfragen ersichtlich:
Abbildung 242 - Lizenzierte Vorlagenbäum e
Vorlagebaum ist über die eingespielte Lizenz bereitgestellt und kann verwendet werden.
Vorlagebaum ist über die eingespielte Lizenz nicht bereitgestellt und kann nicht verwendet
werden.
Abbildung 243 - Lizenzierte Abfragen
Abfrage ist über die eingespielte Lizenz bereitgestellt und kann verwendet werden.
Abfrage ist über die eingespielte Lizenz nicht bereitgestellt und kann nicht verwendet
werden.
Nicht lizenzierte Inhalte werden zwar dargestellt, können allerdings nicht in Analyseprojekte
verwendet werden.
Um zu überprüfen, welche Inhalte über die Lizenz bereitgestellt werden, können die
Lizenzinformationen im Menü Über Check Aud aufgerufen werden:
Abbildung 244 - Lizenzinhalte
Inhalte Hier werden die mit der Lizenz freigeschalteten Inhalte dargestellt:
- Vorlagebaum ist in der installierten Lizenz enthalten und kann verwendet werden
- Vorlagebaum ist in der installierten Lizenz nicht enthalten, es wird lediglich in den
Toolboxes zur Ansicht dargestellt, kann aber nicht verwendet werden
V - 2.3 Obsolete Vorlagebäume / Abfragen

Die ausgelieferten Berechtigungsabfragen in CheckAud unterliegen einer ständigen und
gesamtheitlichen Weiterentwicklung da dies aufgrund der Entwicklungen und Änderungen im SAP-
System zwingend erforderlich ist. Die Vorlagenbäume und die darin enthaltenen Abfragen werden
laufend mit neuen Erkenntnissen aus den Tätigkeiten der IBS sowie aufgrund von Rückmeldungen
seitens der CheckAud-Anwender aktualisiert bzw. ergänzt. Es bleibt daher nicht aus, dass
Vorlagenbäume und die darin enthaltenen Abfragen neu strukturiert und ggf. ersetzt werden.
Damit die alten Vorlagenbäume und die darin enthaltenen Abfragen weiterhin genutzt werden können,
werden sie nicht gelöscht, sondern als obsolet gekennzeichnet. Sie werden unter den Tabs Bäume
und Abfragen standardmäßig nicht mehr angezeigt, können aber zusätzlich eingeblendet werden.
Obsolete Bäume und Abfragen können durch einen Klick auf das Kästchen Obsolete Bäume
anzeigen bzw. Obsolete Abfragen anzeigen eingeblendet werden. Die obsoleten Bäume und
Abfragen sind grau hinterlegt und lassen sich nun auch wieder über den Filter (Schlagwortsuche)
aufrufen.
Abbildung 245 - Obsolete Vorlagenbäum e
Abbildung 246 - Obsolete Abfragen
V - 2.4 Empfohlene Tabellen-Sets zur Verwendung der Vorlagenbäume (ABAP &

HANA DB)
Die ausgelieferten Vorlagenbäume für ABAP- und HANA DB-Prüfungen enthalten u. U. Abfragen auf
Tabellen und Parameter, welche nicht im Standard-Tabellen-Set enthalten sind. Um dennoch alle
Abfragen der Vorlagenbäume verwenden zu können, sollten bei der Erstellung der Snapshots gemäß
nachfolgender Auflistung die optionalen Tabellen-Sets mit aktiviert werden:
Name des
Standard-Set Zusätzliche Sets Parameter
Vorlagenbaumes
Audit Best Practice IBS_SYSTEM (ABAP), ja
AUTH (ABAP)
IBS_AUTH_ADVANCED,
IBS_FI, IBS_MM, IBS_SD,

IBS_BW, IBS_HCM
BC - Basis IBS_SYSTEM (ABAP), ja
AUTH (ABAP)
IBS_AUTH_ADVANCED
BC - Schnellprüfung Basis AUTH (ABAP) IBS_SYSTEM (ABAP) ja
BC - Technische Mandaten nein
AUTH (ABAP) IBS_SYSTEM (ABAP)
(z.B. 000)
BW - Business Warehouse AUTH (ABAP) IBS_BW nein
CO - Controllling AUTH (ABAP) IBS_CO nein
DSAG ja
Datenschutzleitfaden SAP AUTH (ABAP) IBS_SYSTEM (ABAP)
ERP 6.0
DSAG Prüfleitfaden SAP ja
ERP 6.0 - Version 2.0 (Mai AUTH (ABAP) IBS_SYSTEM (ABAP)
2015)
DSAG Prüfleitfaden SAP ja
AUTH (ABAP) IBS_SYSTEM (ABAP)
ERP 6.0 (März 2009)
DSGVO - Datenschutz AUTH (ABAP) IBS_GDPR ja
FI - Finanzbuchhaltung AUTH (ABAP) IBS_FI ja
FI - Schnellprüfung nein
AUTH (ABAP) IBS_FI
Finanzbuchhaltung
FS-CD - In- und Exkasso AUTH (ABAP) - nein
FS-CML Corporate nein
AUTH (ABAP) -
Mortgage Loans
HCM - Personalwesen IBS_HCM, IBS_SYSTEM nein
AUTH (ABAP)
(ABAP)
HCM - Schnellprüfung IBS_HCM, IBS_SYSTEM nein
AUTH (ABAP)
Personalwesen (ABAP)
IS-U - Industry Solution nein
AUTH (ABAP) IBS_ISU
Utilities
IS-U - Schnellprüfung nein
AUTH (ABAP) IBS_ISU
Industry Solution Utilities
LO - Logistik AUTH (ABAP) - nein
MM - Materialwirtschaft AUTH (ABAP) IBS_MM nein
MM - Schnellprüfung nein
AUTH (ABAP) IBS_MM
Materialwirtschaft
SAP Hacking IBS_SYSTEM (ABAP), ja
AUTH (ABAP)
IBS_AUTH_ADVANCED
SAP Press - SAP HANA - -
Sicherheit und AUTH (HANA DB) IBS_SYSTEM (HANA DB)
Berechtigungen
SAP Press – Sicherheit ja
und Prüfung von SAP- AUTH (ABAP) IBS_SYSTEM (ABAP)
Systemen
SD - Schnellprüfung nein
AUTH (ABAP) IBS_SD
Vertrieb
SD - Vertrieb AUTH (ABAP) IBS_SD nein
SOD - Funktionstrennung AUTH (ABAP) IBS_FI, IBS_MM, IBS_SD nein
V - 2.5 Referenz auf einen Vorlagenbaum

Um einen Vorlagenbaum in ein eigenes Projekt einzubinden (referenzieren), kann über Drag&Drop
der gewünschte Vorlagenbaum aus der Toolbox in das eigene Projekt eingebunden werden:
Abbildung 247 - Vorlagenbaum in eigenes Projekt einbinden (referenzieren)

Danach ist der Vorlagenbaum als Referenz im Projekt eingebunden:
Abbildung 248 - Eingebundener Vorlagenbaum

Der referenzierte Vorlagenbaum kann weder in Benennung der einzelnen Elemente noch in der
allgemeinen Struktur und Zusammensetzung der Inhalte individuell verändert werden. Lediglich die
Informationen zum Risikomanagement (Bewertung, Beschreibung, Benutzer-Zuordnung) sowie Filter
und Variablen können individuell ausgeprägt werden.
Eine Bearbeitung des Vorlagenbaums ist erst nach Auflösung der Referenz möglich, Hinweise zur
Referenz-Auflösung sind zu finden im Kapitel Abfragereferenzen auflösen 198 .
V - 2.6 Referenz auf einen Teil eines Vorlagenbaums

Alternativ kann auch nur ein Teil bis hin zu einzelnen Abfragen eines Vorlagenbaums im eigenen
Projekt eingebunden werden. Dies erfolgt ebenfalls über Drag&Drop aus der Toolbox heraus:
Abbildung 249 - Teil eines Vorlagenbaum in eigenes Projekt einbinden (referenzieren
Danach ist der entsprechende Teilbaum im eigenen Analyseprojekt referenziert:
Abbildung 250 - Eingebundener Teil eines Vorlagenbaum
Der referenzierte Teil des Vorlagenbaum kann weder in Benennung der einzelnen Elemente noch in
der allgemeinen Struktur und Zusammensetzung der Inhalte individuell verändert werden. Lediglich
die Informationen zum Risikomanagement (Bewertung, Beschreibung, Benutzer-Zuordnung) sowie
Filter und Variablen können individuell ausgeprägt werden.
Eine Bearbeitung des Vorlagenbaums ist erst nach Auflösung der Referenz möglich, Hinweise zur
Referenz-Auflösung sind zu finden im Kapitel Abfragereferenzen auflösen 198 .
V-3 Berechtigungsabfragen
Die Berechtigungsabfragen stellen das Herzstück der Prüfsoftware CheckAud dar.
Berechtigungsabfragen können im IBS-Standard genutzt werden (Referenz) oder komplett selbst
erstellt werden. Dafür stehen ein grafischer sowie ein Text-Editor zur Verfügung.
V - 3.1 IBS-Standardabfragen
Der gesamte Bestand an Berechtigungsabfragen im Auslieferungsstandard kann über die Toolbox
ausgewählt und in ein eigenes Analyseprojekt eingebunden werden. Dabei werden im Analyseprojekt
lediglich Referenzen gesetzt, d. h. diese Abfragen werden automatisch bei Updates durch IBS in
Zusammensetzung und Ausprägung aktualisiert. Referenzierte Abfragen können weder in
Bezeichnung noch in Zusammensetzung verändert werden. Lediglich die Risikobewertung, -
beschreibung sowie die Benutzer-Zuordnung können individuell angepasst werden. Die Auswahl einer
IBS-Standardabfrage erfolgt via Drag&Drop aus der Toolbox:
Abbildung 251 - Einbinden von IBS Standardabfragen im Analyseprojekt

Die IBS-Standardabfragen sind in der Toolbox alphabetisch sortiert. Über ein Suchfeld kann auch
gezielt nach Abfragen gesucht werden. Dabei besteht die Möglichkeit, nach Kriterien wie
Namensbestandteil, Schlagworte oder aber nach Transaktionen oder Berechtigungsobjekten zu
suchen, welche in den Abfragen verwendet werden:
Sollen nur einzelne Abfragen analysiert werden, die auf ausgewählte Module oder bestimmte
Auswirkungen eingeschränkt werden sollen, können diese mittels Such-Filtern eingeschränkt
werden. Ein Filter ermöglicht die Sortierung auf ein oder mehrere gewünschte Module. Damit werden
in weiterer Folge nur jene Abfragen angezeigt, die für die ausgewählten Module von Relevanz sind.
Abbildung 252 - Filterung auf Module

allgem ein Abbildung 253 - Filterung auf Modul FI
Eine weitere Filtermöglichkeit besteht durch Einschränkung auf die Auswirkungen, die eine Abfrage
hat. In diesem Fall können zum Beispiel alle Abfragen mit kritischer Auswirkung aufgelistet werden.
Abbildung 254 - Filterung auf Ausw irkung allgem ein
Filter sind sowohl einzeln, als auch in Kombination anwendbar. So ist eine Auflistung von Abfragen
möglich, die zum Beispiel nur im Modul FI existieren und als kritisch anzusehen sind.
Abbildung 255 - Filterung auf Modul FI und

Ausw irkung
Aus der Ergebnisansicht kann in weiterer Folge eine Auswahl für die tatsächliche Analyse
übernommen werden.
V - 3.2 Vorabanzeige der IBS-Standardabfragen

Mit einem Rechtsklick des Mauszeigers auf die gewünschte Standardabfrage in der Toolbox besteht
die Möglichkeit, die Abfrage vor dem Hinzufügen in den Projektbaum im Detail anzusehen. Mit der
Schaltfläche Details öffnet sich eine Vorabansicht der Abfrage.
Abbildung 256 - Vorabanzeige der Berechtigungsabfrage aufrufen
In der Vorabansicht lässt sich der Abfragen-Syntax, das Risiko-Management und die Dokumentation
ansehen.
Abbildung 257 - Darstellung der Vorabanzeige
V - 3.3 Abfragereferenzen auflösen

Um im Analyseprojekt referenzierte IBS-Standardabfragen zu editieren, können diese per
Kontextmenü von der Referenzierung gelöst werden
Abbildung 258 - Auflösen einer Abfragereferenz
Dabei stehen folgende Funktionen zur Verfügung:
Abfrage-Referenzen können über die Funktion im Kontextmenü zu

editierbaren Abfragen aufgelöst werden:
Abbildung 259 - aufgelöste, editierbare Abfrage-Referenz
In editierbaren Abfragen enthaltene Referenzen können über das Kontextmenü
komplett aufgelöst werden:
In den Abfragen enthaltene Referenzen können auch über den grafischen Editor aufgelöst werden:
Abbildung 260 - Auflösung Referenz über grafischen Editor
Über den Rechtsklick der Schaltfläche im Grafischen Editor, öffnet das sich Kontextmenü zur
Abfrage. Hier kann die Abfragereferenz aufgelöst werden, insofern es eine gibt.
Abfrage-Referenz auflösen, enthaltene Referenzen werden nicht weiter aufgelöst
Abfrage-Referenz inkl. aller weiteren enthaltenen Referenzen auflösen
Über die Rückgängig-Funktion im Schnellzugriff-Menü kann der Originalzustand der Abfrage

wiederhergestellt werden.
Abbildung 261 - Letzte Aktionen rückgängig m achen
Hinweis: vordefinierte Abfragen aus der Toolbox „Abfragen“ können beim Drag&Drop mit gedrückter
STRG-Taste sofort aufgelöst in das eigene Projekt aufgenommen werden. Vordefinierte
Analysebäume aus der Toolbox „Bäume“ können beim beim Drag&Drop mit gedrückter STRG-Taste
als Kopie eingefügt werden. Dadurch kann die Struktur des vordefinierten Analysebaums beliebig
angepasst werden. Enthaltene Referenzen auf Abfragen werden allerdings nicht aufgelöst und
verbleiben als Referenz im Baum.
Hinweis: aufgelöste Abfragereferenzen werden bei Updates der IBS-Standardabfragen nicht

automatisch aktualisiert!
Um im Analyseprojekt nicht referenzierte Abfragen schnell zu finden, kann über die Schaltfläche
die Projektansicht angepasst werden. Hier werden nun alle nicht-referenzierten Elemente im Projekt
markiert:
Abbildung 262 - Aufgelöste Referenzen im Projekt visualisieren
V - 3.4 Berechtigungsabfragen (ABAP)
V - 3.4.1 Erstellen/Ändern eigener Abfragen – Grafische Ansicht

Die Zusammensetzung der Berechtigungsabfrage wird auf dem Reiter Abfrage bearbeitet:
Abbildung 263 - Editor zur Anpassung von Berechtigungsabfragen (ABAP)
1. Neue Abfrage im Analyseprojekt

2. Editierbereich, grafische Darstellung der Berechtigungszusammensetzung
3. Editierbereich, textuelle Darstellung der Berechtigungszusammensetzung
4. Toolbox zur Auswahl logischer Verknüpfungen, Operatoren und Bedingungen
5. Toolbox zur Auswahl der im Snapshot enthaltenen Berechtigungsobjekte
6. Übersichtsanzeige der grafischen Darstellung von Berechtigungszusammensetzungen
7. Editierbox zur Bearbeitung der Feldwerte/Eigenschaften eines im Editierbereich gewählten
Berechtigungsobjektes
Hinweis: Selbsterstellte Berechtigungsabfragen unterliegen nicht dem Updateverfahren der IBS-

Standardabfragen. Bei Änderungen seitens des SAP-Systems, die entsprechende Aktualisierungen
der Abfragelogik erfordern, muss die Pflege der eigenerstellten Berechtigungsabfragen durch den
Anwender erfolgen!
Der Grafische Editor ist mit einer Zoom-Funktion ausgestattet. Diese ermöglicht das Heranzoomen
oder auch Wegzoomen in den Abfragen. Gesteuert wird die Zoom-Funktion durch den Scrollrad der
Maus oder des Touch-Pads. Dies kann u. U. bei komplexeren Berechtigungsabfragen hilfreich sein.
Abbildung 264 - Kom plexe Abfrage im grafischen Editor
Um in komplexeren Abfragen nicht die Übersicht zu verlieren, gibt es im grafischen Editor eine
Gesamtübersicht der Abfrage. In der Abfragen-Übersicht wird immer der Bereich hervorgehoben, der
im grafischen Editor fokussiert ist.
Abbildung 265 - Übersichtsfenster
Der gesamte grafische Editor kann über Drag&Drop sowie Tastatureingaben bedient werden. Dafür
stehen in der Toolbox verschiedene Elemente zur Verfügung:
Abbildung 266 - Toolbox für Verknüpfungen,

Operatoren, Bedingungen
Verknüpfungen geben die Auswertungslogik von Berechtigungsobjekten vor. Details zu den logischen
Operatoren der Abfragen im Kapitel Logische Verknüpfungen für Abfragen 216 .
Berechtigungsobjekte sind die „Bausteine“ der Berechtigungsabfrage. Das Objekt kann über die
entsprechende Toolbox ausgewählt werden.
Abbildung 267 - Toolbox der verfügbaren

Berechtigungsobjekte
Da es eine große Anzahl von Berechtigungsobjekten gibt, kann über die Suchfunktion nach
bestimmten Objekten gesucht werden. Dabei wird nach den Kriterien Name, Beschreibung, Klasse
oder Klassenbeschreibung selektiert.
Abbildung 268 - Suche nach Berechtigungsobjekten
Zusätzlich kann über die Schaltfläche eine hierarchische Klassenansicht der Objekte zur
Auswahl verwendet werden.
Abbildung 269 - Klassenansicht der Objekte
Abfragen aus dem Auslieferungsumfang von CheckAud können ebenfalls via Drag&Drop direkt in den
Editor der neuen Berechtigungsabfrage gezogen werden. So kann eine eigene Abfrage basierend auf
vorgefertigten Standardabfragen erstellt werden:
Abbildung 270 - Verw enden von Standardabfragen in eigenen Abfragen
Abbildung 271 - Verw enden von Standardabfragen in eigenen Abfragen
Nachfolgendes Beispiel verdeutlicht die Möglichkeiten bei der Erstellung von Berechtigungsabfragen
über den grafischen Editor. Es soll eine Abfrage erstellt werden, mit der überprüft werden kann,
welche SAP-Anwender berechtigt sind, Kreditoren buchungskreisspezifisch anzulegen.
Folgende Berechtigungsobjekte werden für diesen Vorgang im SAP-Standard benötigt:
F_LFA1_APP
· legt fest, welche Aktivitäten für Kreditorenstammsätze erlaubt sind
· Feld ACTVT Aktivität 01 (Anlegen)
· Feld APPKZ Anwendungsberechtigung F (Finanzbuchhaltung)
F_LFA1_BUK
· legt fest, welche Aktivitäten im buchungskreisabhängigen Bereich des Kreditorenstammsatzes
erlaubt sind
· Feld BUKRS Buchungskreis $ (Buchungskreis variabel ausgeprägt)
F_LFA1_GRP
· legt fest, welche Aktivitäten für die einzelnen Kontengruppen erlaubt sind
· Feld KTOKK Kontengruppe $ (Kontengruppe variabel ausgeprägt)
S_TCODE
· dient dazu, anwendungsunabhängig die Berechtigung für den Start der darin definierten
Transaktionen zu prüfen
· Feld TCD Transaktionscode FK01 oder XK01 (SAP Standardtransaktionen zur Kreditorenanlage)
Um die Abfrage zu erstellen, wird als erstes eine UND-Verknüpfung angelegt. Der anfangs leere
Container wird im nächsten Schritt mit den Berechtigungsobjekten der Anwendungsebene gefüllt.
Diese werden alle zur Kreditorenanlage im SAP-System benötigt, daher müssen diese
Berechtigungsobjekte mit einem logischen UND verknüpft werden.
Abbildung 272 - Logik-Container
Die Auswahl der logischen Verknüpfung erfolgt durch das Hineinziehen des entsprechenden
Eintrages aus der Toolbox. Über einen Rechtsklick auf die Schaltfläche wird ein Kontextmenü
geöffnet. Das Kontextmenü ermöglicht das Aufklappen der Abfragen-Verschachtelung, sowie das
Löschen, Kopieren, Ausschneiden und Einfügen einzelner Elemente.
In den logischen UND-Container werden jetzt per Drag&Drop die Anwendungsberechtigungsobjekte

F_LFA1_APP, F_LFA1_GRP und F_LFA1_BUK abgelegt. Die Objekte können aus der Toolbox mit
den entsprechenden Suchmöglichkeiten gezogen werden:
Abbildung 273 - Berechtigungsobjekte in UND-Container ziehen

Mit dem Selektieren des Objektes werden die Eigenschaften bearbeitet. Die Ausprägungen der
Abfragen werden über die Schaltfläche hinzugefügt und anschließend definiert. Als weitere
Alternative besteht die Ausprägung des Feldwertes als Variable. Hierfür muss die Schaltfläche
ausgewählt werden.
Abbildung 274 - Ausprägung des Berechtigungsobjektes
Dieser Vorgang wird nun mit den ebenfalls benötigten Berechtigungsobjekten F_LFA1_BUK sowie
F_LFA1_GRP wiederholt:
Abbildung 275 - Weitere Ausw ahl von Objekten
Das Feld BUKRS des Berechtigungsobjektes F_LFA1_BUK bzw. das Feld KTOKK des Objektes
F_LFA1_GRP soll variabel ausgeprägt werden, d. h. die endgültige Ausprägung erfolgt dann erst vor
der eigentlichen Auswertung. Somit kann die Abfrage flexibel für unterschiedliche Organisationen
genutzt werden, ohne die techn. Zusammensetzung zu verändern. Dies erfolgt über die Aktivierung
der Schaltfläche am betreffenden Feldwert.
Um die Abfrage zu vervollständigen, muss nun auch die Transaktionsberechtigung geprüft werden.
Für die Kreditorenanlage gibt es zwei SAP-Standardtransaktionen, FK01 und XK01. Das
Berechtigungsobjekt S_TCODE sichert den Zugriff auf die Transaktionen, daher wird dieses in der zu
erstellenden Abfrage ebenfalls benötigt.
Rein von der Fragestellung her wird nun die Ergänzung in der Abfrage benötigt, wer das
Berechtigungsobjekt S_TCODE mit der Transaktion FK01 oder XK01 besitzt. Im SAP-Standard
können allerdings die Feldwerte eines Berechtigungsobjektes nicht logisch ODER-verknüpft werden,
d. h. wird das Objekt S_TCODE mit den Feldwerten FK01 und XK01 ausgeprägt, werden im Ergebnis
nur die Benutzer angezeigt, die über beide Transaktionen Zugriff haben. Benutzer die nur auf die
FK01 bzw. die XK01 Zugriff haben, würden hier nicht angezeigt werden, obwohl sie relevant für das
Ergebnis sind! Daher wird das Berechtigungsobjekt S_TCODE in der Abfrage behelfsweise zweimal
abgefragt, einmal mit der Ausprägung FK01 und einmal mit der Ausprägung XK01. Diese Teilabfrage
wird logisch ODER-verknüpft eingebunden.
Daher wird im nächsten Schritt via Drag&Drop ein neuer Logik-Container in dem UND-Container der
Abfrage gelegt und als ODER-Container definiert:
In diesen ODER-Container wird nun das Berechtigungsobjekt S_TCODE zweimal per Drag&Drop
gelegt, jeweils mit Ausprägung FK01 resp. XK01:
Abbildung 276 - Ausprägung von S_TCODE
Damit ist die Abfrage korrekt abgebildet und steht nun zur Auswertung zur Verfügung.
Unabhängig von der Tatsache, dass Feldwerte im SAP-System nur logisch UND-verknüpft werden,
kann CheckAud Feldwerteausprägungen auch logisch ODER-verknüpft auswerten. Daher lässt sich
der Abfrageteil S_TCODE des o. g. Beispiels nachfolgend etwas eleganter lösen. Anstelle das
Objekt S_TCODE zweimal in Einzelausprägung ODER-verknüpft auszuwerten, wird das Objekt nur
einmal in den logischen UND-Container gelegt. Es werden dann lediglich die Feldwerte logisch
ODER-verknüpft.
Abbildung 277 - Logische ODER-Verknüpfung auf Feldw erteebene
Eine genaue Beschreibung der Vergleichsoperatoren für Feldwerte ist im Kapitel

Vergleichsoperatoren für Feldwerte 219 zu finden.
Hinweis: werden Berechtigungsobjekte, welche im zu prüfenden SAP System deaktiviert wurden,

abgefragt, so werden diese im grafischen Editor grau und durchgestrichen markiert. Bei der
Darstellung der Rechteherkünfte werden die deaktivierten Objekte entsprechend inaktiv ausgewiesen,
eine Darstellung der Herkunft über Rollen/Profile erfolgt nicht.
Abbildung 278 - Darstellung deaktivierter Berechtigungsobjekte
Abbildung 279 - Darstellung deaktivierter Berechtigungsobjekte
V - 3.4.2 Erstellen/Ändern eigener Abfragen – Technische Ansicht

Alternativ kann für die Erstellung von Berechtigungsabfragen der Texteditor genutzt
werden. Hierfür muss von der Grafischen Ansicht in die Technische Ansicht gewechselt
werden.
Abbildung 280 - technischer Editor zur Anpassung von Berechtigungsabfragen (ABAP)
Die im Kapitel Erstellen/Ändern eigener Abfragen – Grafischer Editor 203 erstellte

Berechtigungsabfrage wird textuell wie folgt dargestellt:
{
(
'F_LFA1_APP'('ACTVT' = '01', 'APPKZ' = 'F')
and
'F_LFA1_BUK'('ACTVT' = '01', 'BUKRS' = $)
and
'F_LFA1_GRP'('ACTVT' = '01', 'KTOKK' = $)

and
(
'S_TCODE'('TCD' = 'FK01' OR 'XK01')
)
)
}
V - 3.4.3 Logische Verknüpfungen für Abfragen

Logische Verk nüpfungen dienen zur Verknüpfung mehrerer Berechtigungsobjekte zueinander. Dabei
stehen drei mögliche Verknüpfungen zur Verfügung:
UND / and Verknüpfung für logisches UND, Ausdruck wird mit wahr ausgewertet, wenn beide
Verknüpfungsbestandteile wahr sind.
ODER / or Verknüpfung für logisches ODER, Ausdruck wird mit wahr ausgewertet, wenn
mindestens einer der beiden Verknüpfungsbestandteile wahr ist.
AUSSER / except Verknüpfung für logisches AUSSER, Ausdruck wird mit wahr ausgewertet,
wenn ein Bestandteil der Verknüpfung wahr und der andere falsch ist
V - 3.4.4 Logische Operatoren für Abfragen

IRGENDEIN Objekt / ANY Operator für die Frage nach bestimmten Feldwerten irgendeines
Objektes, siehe Kapitel IRGENDEIN-Objekt Operator 220
WENN Operator für Abfrage einer Bedingung mit anschließender DANN /

SONST Auswahl
Hinweis: der WENN-Operator kann nur in Kombination mit einer ausgeprägten Bedingung verwendet
werden, siehe nachfolgendes Kapitel.
KEINE BERECHTIGUNG ERFORDERLICH Operator für Abfrage in Kombination mit WENN-

Operator, kann bei dem DANN / SONST - Zweig verwendet werden, wenn explizit
kein Berechtigungsobjekt erforderlich ist
V - 3.4.5 Bedingung für Abfragen

KOMPONENTEN-Bedingung Bedingung für WENN-Operator, bietet die
Möglichkeit auf Release- oder Patchstände bzw. installierten/nicht installierten Komponenten zu
fragen
Weitere Informationen zur Anwendung der KOMPONENTEN-Bedingung finden sich im Kapitel

Release-unabhängige Berechtigungsabfragen. 222
TABELLEN-Bedingung Bedingung für den WENN-Operator, bietet die

Möglichkeit, nach bestimmter Tabelleneinträgen zu fragen
Weitere Informationen zur Anwendung der TABELLEN-Bedingung finden sich im Kapitel

Customizing-abhängige Abfragen 230
TABELLEN-EXISTENZ-Bedingung
Bedingung für den WENN-Operator, bietet die Möglichkeit zu prüfen, ob eine Tabelle im System
vorhanden / nicht vorhanden ist.
V - 3.4.6 Vergleichsoperatoren für Feldwerte

Die Felder eines Berechtigungsobjektes können mit Vergleichsoperatoren ausgewertet werden.
Folgende Vergleichsoperatoren stehen hierbei zur Verfügung:
GLEICH / equal Ausdruck wird mit wahr ausgewertet, wenn exakt die Werteausprägung vorgefunden
wurde. Es können Wertebereich von – bis eingegeben werden.
WIE / like Ausdruck wird mit wahr ausgewertet, wenn ein Teil der Werteausprägung
vorgefunden wurde. Der Vergleichsoperator kann mit der Wildcard * am Ende der Zeichenkette
verwendet werden.
Die Vergleichsoperatoren GLEICH bzw. WIE erlauben die logische Verknüpfung mehrerer Feldwerte
innerhalb des Objektes. Hier stehen wieder UND bzw. ODER zur Verfügung:
IRGENDEINER /any Ausdruck wird mit wahr ausgewertet, wenn mindestens eine der
angegebenen Feldwerteausprägungen vorgefunden wurde (implizites ODER).
ALLE / all Ausdruck wird mit wahr ausgewertet, wenn alle der angegebenen
Feldwerteausprägungen vorgefunden wurden (implizites UND).
V - 3.4.7 IRGENDEIN-Objekt-Operator
Neben der Abfrage von Berechtigungsobjekten bietet CheckAud auch die Möglichkeit,
Berechtigungswerte auf Feldebene unabhängig vom Berechtigungsobjekt abzufragen. Dies können
z.B. bei folgenden Fragestellungen notwendig sein:
Welche Benutzer haben Zugriff auf einen bestimmten Buchungskreis?

Welche Benutzer haben Änderungsrechte in einem bestimmten Werk?
Diese Fragestellungen zielen nicht auf die Abfrage konkreter Funktionen, sondern auf den generellen
Zugriff auf Organisationsebenen. Zur Abbildung dieser Fragestellungen kann der Operator
IRGENDEIN genutzt werden. Er wird anstelle eines Berechtigungsobjektes eingesetzt.
Abbildung 281 - Hinzufügen des IRGENDEIN-Operators zur Berechtigungsabfrage
Durch das Anwählen des Kästchens Irgendein Objek t in der Abfrage können die Eigenschaften
(hinzufügen der Feldwerte) der IRGENDEIN-Abfrage bearbeitet werden.
Abbildung 282 - Feldausprägung des IRGENDEIN-Operators
Die Schaltfläche ermöglicht das Hinzufügen der Feldwerte in dem IRGENDEIN-

Operator. In diesem Beispiel wird der Buchungskreis hinzugefügt. Mit einem Linksklick der Maus auf
die gewünschten Ausprägungen, werden die Felder selektiert. Hier besteht die Möglichkeit ein oder
mehrere Felder zu selektieren.
Abbildung 283 - Feldausprägung m it BUKRS
Anschließend wird mit der Schaltfläche der Feldwert in der
Abfrage hinzugefügt. Weitere Felder aknn der Abfrage über die Schaltfläche hinzugefügt und
anschließend ausgeprägt werden.
Beispiele:
Abbildung 284 -
IRGENDEIN-Operator für die
Suche nach Objekten m it
BUKRS=1000
Suche alle Berechtigungsobjekte mit dem Feld BUKRS (Buchungskreis) und zeige alle Benutzer an,
die für den Buchungskreis 1000 berechtigt sind.
Abbildung 285 -
IRGENDEIN-Operator für
die Suche nach Objekten
m it BUKRS=1000 und
ACTVT=01, 02
Suche alle Berechtigungsobjekte, in denen die Felder ACTVT (Aktivität) und BUKRS
(Buchungskreis) enthalten sind, und zeige alle Benutzer an, die für den Buchungskreis 1000 eine
Berechtigung zum Anlegen (Aktivität 01) oder Ändern (Aktivität 02) besitzen.
Der IRGENDEIN -Operator wird in einer Abfrage behandelt wie ein Berechtigungsobjekt. Er kann
mehrfach in einer Abfrage in beliebigen UND / ODER-Kombinationen verwendet werden. Außerdem
kann er mit anderen Berechtigungsobjekten und Abfragen kombiniert werden.
V - 3.4.8 Release-unabhängige Berechtigungsabfragen

Einführung
Ein SAP-System besteht aus verschiedenen sog. Softwarekomponenten. Jede Komponente hat
einen Release-Stand und ein Patch-Level. Mit Patches werden sowohl Fehlerkorrekturen als auch
neue Funktionen ausgeliefert. Die im SAP-System installierten Komponenten inkl. Release und
Patch-Level werden in der Tabelle CVERS gespeichert. Diese Tabelle wird im Tabellen-Set AUTH mit
ausgelesen. Je nach Release-Stand und Patch-Level einzelner Komponenten können auch die
Berechtigungen abweichen. So können mit Patches z.B. neue Transaktionen oder
Berechtigungsobjekte ausgeliefert werden, die in den Berechtigungsabfragen zu beachten sind. Um
zu gewährleisten, dass die Berechtigungen mit CheckAud unabhängig vom eingesetzten Release
und Patch-Level korrekt ausgewertet werden, werden der Release-Stand und das Patch-Level in den
Berechtigungsabfragen abgefragt. Dies ist in den Abfragen an dem WENN-Operator zu erkennen. In
nachfolgender Abfrage werden z.B. sowohl der Release-Stand (1) als auch das Patch-Level (2)
abgefragt.
Abbildung 286 - Abfrage von Release-Stand und Patch-Level
Mit dieser Systematik kann auch abgefragt werden, ob bestimmte Komponenten im System
installiert sind. Dies ist insbesondere für die Umstellung auf SAP S/4HANA relevant. Ein S/4HANA-
System kann anhand der Komponente S4CORE identifiziert werden. In CheckAud ist in den
Abfragen die Simplification List für SAP S/4HANA umgesetzt. In dieser Liste sind die Änderungen
von SAP ERP zu SAP S/4HANA beschrieben. Diese Unterschiede sind in den Abfragen abgebildet,
indem die Komponente S4CORE abgefragt wird.
Abbildung 287 - Kom ponentenabfrage
Technische Umsetzung
In den Berechtigungsabfragen ist die Releaseunabhängigkeit umgesetzt durch den neu
implementierten WENN-Operator (1) und die KOMPONENTEN-Bedingung (2). Diese
finden Sie in der Entwurfsansicht einer Berechtigungsabfrage unter Elemente und
Objekte.
Abbildung 288 - WENN-Operator und KOMPONENTEN-Bedingung
Den WENN-Operator können Sie an einer beliebigen Stelle in der Abfrage nutzen.
Abhängig ist dies davon, wo sich die Unterschiede in den Komponenten oder Release-
Ständen in den Abfragen auswirken. Abbildung 288 zeigt eine WENN-Abfrage auf oberster
Ebene einer Abfrage. Dies ist sinnvoll, wenn sich die Abfragen für verschiedene Release-
Stände insgesamt unterscheiden. In Abbildung 289 ist die WENN-Abfrage in die

Berechtigungsabfrage integriert, da die drei Berechtigungsobjekte F_KNA1_BUK,
F_KNA1_GEN und F_KNA1_GRP unabhängig vom Release identisch ausgeprägt sind.
Abbildung 289 - WENN-Operator in einer Abfrage
Aufbau einer Release-unabhängigen Abfrage (Grafische Ansicht)

Um einen Release-Stand und / oder Patch-Level abzufragen ziehen Sie in der Entwurfsansicht einer
Berechtigungsabfrage den WENN-Operator in den Editierbereich. (Schritt 1 in Abbildung 290)
Danach ziehen Sie die KOMPONENTEN-Bedingung in den Bereich Bedingungen hierher ziehen.
(Schritt 2 in Abbildung 290)
Abbildung 290 - Einfügen des WENN-Operators in eine Abfrage
Standardmäßig wird im WENN-Operator der Wert Release von ‘‘ gleich angezeigt. Klicken Sie auf
diesen Eintrag, um die Werte dazu im Bereich Eigenschaften zu pflegen. In diesem Bereich sind
folgende Felder auszuprägen:
Komponenten-Operator
Hier wird ausgewählt, welche Art der Komponente abgefragt werden soll:
Release von Wählen Sie diesen Eintrag aus, wenn Sie den Release-Stand einer
Komponente abfragen wollen.
Patch-Stand von Wählen Sie diesen Eintrag aus, wenn Sie den Patch-Stand einer
Komponente abfragen wollen.
Installiert Wählen Sie diesen Eintrag aus, wenn Sie abfragen wollen, ob eine
bestimmte Komponente installiert ist.
Nicht installiert Wählen Sie diesen Eintrag aus, wenn Sie abfragen wollen, ob eine
bestimmte Komponente nicht installiert ist.
Komponente
Hier wählen Sie die abzufragende Komponente aus. Um hier Vorschlagswerte anzuzeigen muss
zuvor ein Snapshot ausgewählt werden. Es werden dann als Vorschlagswert die Komponenten des
Snapshots angezeigt (aus der Tabelle CVERS).
Vergleichs-Operator
Für die Komponenten-Operatoren Release von und Patch-Stand von ist hier der Vergleichs-Operator
auszuwählen:
kleiner als
kleiner gleich
gleich
wie
ungleich
nicht wie
größer gleich
größer als
Wert
Zum Vergleichs-Operator wird hier der Wert angegeben. Abbildung 291 zeigt beispielhaft die Abfrage
des Release-Standes zur Komponente SAP_BASIS (größer gleich 750).
Abbildung 291 - Ausw ahl des Vergleichsoperators
Die Abfrage der Komponenten kann ineinander verschachtelt werden. Um z.B. einen Release-Stand
und zum Release dann einen Patch-Stand abzufragen, sind zwei Abfragen erforderlich:
1. Abfrage des Release-Standes
2. Abfrage des zugehörigen Patch-Standes
Hierfür kann der WENN-Operator in den Bereich Elemente hierher ziehen gezogen werden, sowohl in
den Wenn- als auch in den Sonst-Bereich. Abbildung 292 zeigt als Beispiel die Abfrage auf einen
Release-Stand (größer gleich 750) und zugehörigem Patch-Stand (größer gleich 3). Nach der
Abfrage auf die Komponenten erfolgt die Pflege der Berechtigungsobjekte in der Abfrage wie in
Kapitel Berechtigungsabfragen 193 beschrieben.
Abbildung 292 - Verschachtelte WENN-Operatoren
Aufbau einer Release-unabhängigen Abfrage (Technische Ansicht)

In der technischen Ansicht werden die Abfragen auf Komponenten folgendermaßen dargestellt:
if
<Komponenten-Operator>(<Komponente>) <Vergleichs-Operator> <Wert>
{
…
}
else
{
…
}
Beispiele
Abfrage auf ein Release der Komponente SAP_BASIS >= 750

if
release(SAP_BASIS) >= 750
Abfrage auf ein Release der Komponente SAP_BASIS = 750 und Patch-Stand >= 3
if
release(SAP_BASIS) = 750
{
if
patchlevel(SAP_BASIS) >= 3
Abfrage auf ein S/4HANA-System (Komponente S4CORE)

if
installed(S4CORE)
Abfrage, ob es sich nicht um ein S/4HANA-System handelt

if
not installed(S4CORE)
Darstellung bei ausgewähltem Snapshot

Haben Sie im Analyseprojekt einen Snapshot ausgewählt, wird in der grafischen Abfrageansicht bei
der Abfrage von Release-Ständen der aktuelle Auswertungspfad dargestellt. Der Teil, der nicht
ausgewertet wird, wird transparent dargestellt. Abbildung 293 zeigt eine Abfrage, in dem folgender
Release-Stand abgefragt wird:
Release-Stand SAP_BASIS = 750 und Patch-Stand >= 3

oder
Release-Stand SAP_BASIS >= 751
Im ausgewählten Snapshot hat die Komponente SAP_BASIS den Release-Stand 751.
Abbildung 293 - Erfüllte WENN-Bedingung
Ist eine Bedingung erfüllt, wird dies mit einem grünen Haken dargestellt, hier der Teil Release-Stand
SAP_BASIS >= 751. Da hier der WENN-Teil somit erfüllt ist, würde dieser analysiert werden. Der
SONST-Teil der Abfrage ist daher transparent hinterlegt. Abbildung 294 zeigt dieselbe Abfrage mit
einem Snapshot, in dem die Komponente SAP_BASIS den Release-Stand 740 hat. Hier ist die
WENN-Abfrage nicht erfüllt und der SONST-Teil wird abgefragt. Daher ist der WENN-Teil der Abfrage
transparent hinterlegt.
Abbildung 294 - Nicht erfüllte WENN-Bedingung
Beispiele für die Anwendung

Nachfolgend finden Sie zwei Beispiele aus den CheckAud Standard-Abfragen, die die Systematik der
Releaseunabhängigkeit verdeutlichen.
Beispiel 1: Neue Transaktionen zum Sperren von Transaktionen
Mit dem SAP_BASIS-Release (hier wird auch vom „NetWeaver-Release“ gesprochen) 7.50, Patch-
Level 3, wurde die Systematik zur mandantenabhängigen Sperrung von Transaktionen eingeführt. Bis
dahin konnten Transaktionen nur systemweit gesperrt werden mit der Transaktion SM01. Mit diesem
Release wird die Transaktion SM01 nicht mehr unterstützt, stattdessen gibt es folgende neue
Transaktionen:
SM01_DEV Systemweite Sperre von Transaktionen
SM01_CUS Mandantenbezogene Sperre von Transaktionen
Damit diese Abfrage zu jedem Release das korrekte Ergebnis auswertet, wurde hier folgende
Abfrage eingebaut:
if
((release(SAP_BASIS) = 750 AND patchlevel(SAP_BASIS) >= 3) OR
release(SAP_BASIS) >= 751)
In Abbildung 295 kann nachvollzogen werden, dass bei einem Release-Stand = 750 und einem
Patch-Level >=3 oder einem Release-Stand >= 751 die Transaktionen SM01_DEV und SM01_CUS
ausgewertet werden, in allen anderen Fällen die Transaktion SM01.
Abbildung 295 - Berechtigung zum Sperren von Transaktionen
Beispiel 2: Differierende Transaktionen in SAP S/4HANA zur Debitorenpflege
In SAP S/4HANA werden teilweise andere Transaktionen genutzt als im SAP ERP. Diese
Änderungen sind in der Simplification List for SAP S/4HANA beschrieben. Z.B. werden zur Pflege
von Debitoren nicht mehr die Transaktionen FD* / VD* / XD* genutzt. Durch den Business Partner
Approach in SAP S/4HANA sind Debitoren dort Geschäftspartner (GP-Rolle FLCU00). Maßgeblich
wird daher die Transaktion GP zur Pflege von Debitoren genutzt. In den Abfragen zur Debitorenpflege
wird in CheckAud daher abgefragt, ob es sich um ein S/4HANA-System handelt (Abbildung 296):
if
installed(S4CORE)
Handelt es sich um ein S/4HANA-System so werden zusätzlich zum Objekt F_KNA1_APP das
Objekt F_BUPA_RLT sowie die Transaktionen BP und BP0 abgefragt. Ist es kein S/4HANA-System,
so werden die bisherigen Transaktionen abgefragt, ohne das Geschäftspartner-Objekt F_BUPA_RLT.
(Abbildung 296)
Abbildung 296 - Berechtigung zum Anlegen von Debitoren
V - 3.4.9 Customizing-abhängige Abfragen
Einführung
Im SAP-System besteht die Möglichkeit gewisse Funktionalitäten durch Einträge in Tabellen zu
Konfigurieren. In den Tabellen PRGN_CUST und USR_CUST können z. B. Customizingeinstellungen
im Benutzer/ Berechtigungswesen gefunden werden. Je nach gewählter Einstellung kann sich dies
unterschiedlich auf Berechtigungsabfragen in CheckAud auswirken. Die entsprechenden Tabellen
werden mit dem Tabellen-Set AUTH ausgelesen.
Ein Beispiel ist das optionale Berechtigungsobjekt S_USER_SAS in der Berechtigungsverwaltung.

Dies kann über einen Schalter (CHECK_S_USER_SAS) in der Tabelle PRGN_CUST gesteuert
werden. Customizing-abhängige Abfragen ermöglichen es, den gewählten Customizing-Schalter in
einer Berechtigungsauswertung zu ermitteln und die Berechtigungsabfrage dahingehend auszuwerten
Die Customizing-abhängige Abfrage wird in (1) (Abbildung 297) dargestellt. Dabei ist zu beachten,
dass das Berechtigungsobjekt S_USER_SAS erst ab Netweaver Release 7.31 standardmäßig
aktiviert ist. Die Möglichkeit Release unabhängige Abfragen zu erstellen ist im Kapitel Release-
unabhängige Berechtigungsabfragen 222 beschrieben.
Abbildung 297 - Custom izing-abhängige Berechtigung in Abfragen
Aufbau einer Customizing-abhängigen Abfrage (Grafische Ansicht)

Um eine Customizing-abhängige Abfrage zu erstellen wird in der Entwurfsansicht einer
Berechtigungsabfrage der WENN-Operator in den Editierbereich gezogen. (Schritt 1 in Abbildung
298) Danach wird die Tabellen-Bedingung in den Bereich Bedingungen hierher ziehen gezogen
(Schritt 2 in Abbildung 298)
Abbildung 298 - Einfügen des Wenn-Operators in eine Abfrage
Standardmäßig wird im WENN-Operator der Wert angezeigt. Durch einen

Klick auf diesen Eintrag können die Werte dazu im Bereich Eigenschaften gepflegt werden
(Abbildung 299).
Abbildung 299 - Eigenschaften Tabellen-Bedingung
In diesem Bereich sind folgende Felder auszuprägen:
Tabelle
Hier wird die Tabelle ausgewählt, in der die spezifischen Customizing-Schalter hinterlegt worden
sind. Um hier Vorschlagswerte anzuzeigen muss zuvor ein Snapshot ausgewählt worden sein. Es
werden dann alle in dem Snapshot enthaltenen Tabellen angezeigt.
Spalte
Die Spalten der zuvor ausgewählten Tabelle werden hier angezeigt. Hier muss die Spalte
ausgewählt werden, welche das Attribut des Customizing-Schalters enthält.
Vergleichs-Operator
Der Vergleichs-Operator bietet folgende Auswahlmöglichkeiten:
kleiner als
kleiner gleich
gleich
wie
ungleich
nicht wie
größer gleich
größer als
ist Null
ist nicht Null
existiert
existiert nicht
Vergleichs-Wert
Zum Vergleichs-Operator wird hier der Wert angegeben. Es ist das Kriterium, das unter der zuvor
gewählten Spalte unter Berücksichtigung der nachfolgenden Where-Bedingung erfüllt sein muss.
Standardwert
Ein einzutragender Standardwert kann durch Markieren der Auswahlbox berücksichtigt werden. Er
kommt in folgenden Fällen zur Anwendung:
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und in der angegebenen
Spalte kein Eintrag vorhanden ist.
b. Wenn es keinen Datensatz gibt, der die Where-Bedingung erfüllt.
Der hinterlegte Standardwert wird gegen den Vergleichs-Wert geprüft.
Where-Bedingung
Die Where-Bedingung ist wie folgt aufgebaut:
>Auswahl der Tabellen-Spalte, die den Namen des Customizing-Schalters enthält.

>Vergleichs-Operator
>Kriterium, das in der Tabellen-Spalte des Customizing-Schalters erwartet wird.
Abbildung 300 zeigt beispielhaft die Abfrage, ob der Customizing-Schalter CHECK_S_USER_SAS in

der Tabelle PRGN_CUST das Kriterium YES erfüllt.
Abbildung 300 - Custom izing-Schalter CHECK_S_USER_SAS
Aufbau einer Customizing-abhängigen Abfrage (Technische Ansicht)

{
If
<Tabelle> <Spalte der Tabelle> <Vergleichs-Operator> <Vergleichs-Wert>
Where-Bedingung
<Spalte der Tabelle><Vergleichs-Operator> <Kriterium>
Optional
<Standardwert>
}
else
{
…
}
Beispiel (Abbildung 300): Abfrage, ob der Customizing-Schalter CHECK_S_USER_SAS in der

Tabelle PRGN_CUST das Kriterium YES (Standardwert YES) erfüllt.
{
if PRGN_CUST.PATH = 'YES' where ID = 'CHECK_S_USER_SAS' default 'YES'
{
}
}
Beispiele für die Anwendung

Nachfolgend wird das Beispiel aus der Einführung „Customizing-Schalter“ CHECK_S_USER_SAS“
anhand der CheckAud Standard-Abfrage „Benutzern das Profil SAP_ALL zuordnen“ beschrieben.
Zu beachten dabei ist, dass primär untersucht werden muss, ob das Berechtigungsobjekt
S_USER_SAS aktiv ist. Je nachdem, ob es aktiv oder deaktiviert ist, müssen andere
Berechtigungsobjekte geprüft werden. Des Weiteren ist das Berechtigungsobjekt S_USER_SAS erst
ab Netweaver Release 7.31 standardmäßig aktiviert. In dem ersten Block (1 in Abbildung 301) ist
daher in den WENN-Operator (Wenn S_USER_SAS aktiv, sonst) eine Netweaver Release Prüfung
integriert.
Die Prüfung des Customizing-Schalters erfolgt in beiden Fällen identisch. Es wird in der Spalte
PATH in der Tabelle PRGN_CUST unter dem Vergleich-Operator „gleich“, der Vergleichs-Wert YES
gesucht. Dieses unter der Bedingung, dass in der Spalte ID in der Tabelle PRGN_CUST unter dem
Vergleich-Operator „gleich“, der Eintrag CHECK_S_USER_SAS vorhanden ist.
Der Standardwert YES kommt in folgenden Fällen zur Anwendung:
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und kein Eintrag vorhanden
ist.
Der hinterlegte Standardwert wird gegen den Vergleichs-Wert geprüft.
Der Abbildung 301 ist zu entnehmen, dass ein ODER-Teil der WENN-Abfrage erfüllt ist. Damit ist
S_USER_SAS aktiv. Dies ist mit den grünen Haken dargestellt (2 in Abbildung 301). Der Teil der
Abfrage, der nicht ausgewertet wird, wird transparent dargestellt (siehe Darstellung bei
ausgewähltem Snapshot 227 ).
Abbildung 301 - Eigenschaften einer Tabellenbedingung
V - 3.4.10Dynamische Feldwerte in Abfragen

Einführung
Berechtigungen in einem SAP-System sind in der Regel auf die jeweiligen Gegebenheiten eines
Unternehmens angepasst. Dies führt dazu, dass es bei der technischen Ausprägung von
Berechtigungen zu individuellen Änderungen kommt, die ggf. von Standard-Werten abweichen. Ein
Beispiel hierfür sind die Tabellenberechtigungsgruppen, die mit dem Berechtigungsobjekt
S_TABU_DIS berechtigt werden. Die Zuordnung einer Tabelle zu einer Gruppe kann kundenindividuell
geändert werden. Des Weiteren besteht die Möglichkeit, dass sich die Gruppenzuordnung in
verschiedenen Release-Ständen unterscheidet.
Mit der Funktion dynamische Feldwerte in Abfragen können Feldwerte zu Feldern in

Berechtigungsobjekten dynamisch zur Laufzeit ermittelt und geprüft werden.
Die Funktion dynamische Feldwerte in Abfragen, innerhalb des Berechtigungsobjektes S_TABU_DIS

wird in (1) (Abbildung 302) dargestellt.
Abbildung 302 - Dynam ischer Feldw ert in einer Abfrage
Aufbau einer dynamischen Feldwert-Abfrage (Grafische Ansicht)

Um eine dynamische Feldwert-Abfrage zu erstellen wird in der Entwurfsansicht einer
Berechtigungsabfrage z. B. eine UND-Verknüpfung in den Editierbereich gezogen. (Schritt 1 in
Abbildung 303). Danach wird ein Berechtigungsobjekt, hier S_TABU_DIS, in den Bereich Elemente
hierher ziehen gezogen (Schritt 2 in Abbildung 303).
Abbildung 303 - Einfügen einer UND-Verknüpfung in eine Abfrage
Standardmäßig ist dem Berechtigungsobjekt noch kein Feldwert zugeordnet. Durch Klicken auf
Keine Felder abgefragt werden die dem Berechtigungsobjekt zugeordneten Feldwerte angezeigt.
(Abbildung 304)
Abbildung 304 - Eigenschaften Berechtigungsobjekt
Ein dynamischer Abfragewert kann über das Symbol eingefügt werden. Es ist nun möglich die
Eigenschaften von dynamischen Feldwerten auszuprägen (Abbildung 305).
Abbildung 305 - Dynam ischen Feldw ert anlegen
Operator
Der Operator bietet folgende Auswahl Möglichkeiten:
gleich
irgendeiner
alle
Tabelle
Hier wird die Tabelle ausgewählt, die den Wert für das zu prüfende Berechtigungsobjekt enthält.
Um Vorschlagswerte anzuzeigen muss zuvor ein Snapshot ausgewählt worden sein. Es werden
dann alle in dem Snapshot enthaltenen Tabellen angezeigt.
Spalte
Die Spalten der zuvor ausgewählten Tabelle werden angezeigt. Hier wird die Spalte ausgewählt,
die den dynamischen Wert, bei erfolgreicher Where-Bedingung, enthält. Der Wert entspringt der
gleichen Zeile wie die erfolgreiche Where-Bedingung.
Falls leer:
Ein einzutragender Wert in „falls leer“ kann durch Markieren der Auswahlbox berücksichtigt
werden. Er kommt in folgenden Fällen zur Anwendung:
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und kein Eintrag in der
angegebenen Spalte vorhanden ist.
Standardwert
Ein einzutragender Standardwert kann durch Markieren der Auswahlbox berücksichtigt werden. Er
kommt in folgenden Fällen zur Anwendung:
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und kein Eintrag in der
angegebenen Spalte vorhanden ist.
c. Wenn die angegebene Tabelle oder Spalte im Snapshot nicht vorhanden ist
Hierbei ist zu beachten, dass die Priorität von „Falls leer“ über der des Standardwerts liegt.
Where-Bedingung
Die Where-Bedingung ist wie folgt aufgebaut:
>Auswahl der Tabellen-Spalte, die den Namen der gewünschten dynamischen Abfrage enthält.
>Vergleichs-Operator
>Kriterium, das in der Tabellen-Spalte erwartet wird.
Hinweis:
Sollten mehrere Datensätze das Kriterium aus der Where-Bedingung enthalten, dann gelten
folgende Regeln:
a. Bei dem Operator „gleich“ ist die Abfrage nicht auswertbar.

b. Bei dem Operator „irgendeiner“ werden alle Werte einzeln geprüft und dann auf
Berechtigungsobjekt-Ebene mit „oder“ verknüpft. (Beispiel: gefundene Werte 1;2 > 1 oder 2)
c. Bei dem Operator „alle“ werden alle Werte einzeln geprüft und dann auf Berechtigungsobjekt-
Ebene mit „und“ verknüpft. (Beispiel: gefundene Werte 1;2 > 1 und 2)
Abbildung 306 zeigt beispielhaft die dynamische Suche nach dem Feldwert der Berechtigungsgruppe
für das Berechtigungsobjekt S_TABU_DIS
Abbildung 306 - Eigenschaften einer dynam sischen Feldw erteabfrage
Aufbau einer dynamischen Feldwert-Abfrage (Technische Ansicht)

{
<OPERATOR> <TABELLE> <SPALTE DER TABELLE>
WHERE-BEDINGUNG
<SPALTE DER TABELLE><VERGLEICHS-OPERATOR> <KRITERIUM>
OPTIONAL
<FALLS LEER>
<STANDARDWERT>
}
Beispiel:
Welche Tabellenberechtigungsgruppe ist in der Tabelle TDDAT für die Tabelle V_001_S hinterlegt?
Mit „falls leer &NC&“ & „Standardwert FC01“
{
(
S_TABU_DIS (ACTVT, DICBERCLS = select TDDAT.CCLASS where TABNAME = 'V_001_S' when empty '&NC&
)
}
Beispiel für die Anwendung

Am Beispiel der Abfrage „Kontenplan zuordnen“ wird das Thema Tabellenberechtigungsgruppen aus
der Einführung aufgegriffen. Über das Berechtigungsobjekt S_TABU_DIS kann die
Zugriffsberechtigung auf Tabellen über die zugehörigen Berechtigungsgruppe gesteuert werden. Für
die Berechtigungsabfrage „Kontenplan zuordnen“ muss daher ermittelt werden, welche
Tabellenberechtigungsgruppe geprüft werden soll.
In dem ersten Block (1 in Abbildung 307) wird geprüft, ob die Zugriffsberechtigung auf Tabellen über
das Berechtigungsobjekt S_TABU_DIS und/oder S_TABU_NAM erfolgt.
Für das Berechtigungsobjekt S_TABU_DIS ist die Prüfung wie folgt:
Es wird in der Tabelle TDDAT nach allen Datensätzen gesucht, die in der Spalte TABNAME, mit
dem Operator „gleich“, TABNAME=‘V_001_S‘ beinhalten. Wird ein Datensatz gefunden, wird aus
dieser Zeile der Wert der Spalte CCLASS als dynamischer Abfragewert (Feldwert DICBERCLS
(Berechtigungsgruppe)) extrahiert.
Der Wert für falls leer ist &NC&. Er käme in diesem Beispiel zur Anwendung:
a. Wenn durch die Where-Bedingung ein Datensatz gefunden wurde und kein Eintrag vorhanden
ist.
Der Standardwert ist FC01, er käme in diesem Beispiel zur Anwendung:
a. wenn die angegebene Tabelle oder Spalte im Snapshot nicht vorhanden ist
Nach Ausführung der Abfrage mit einem hinterlegten Snapshot, erscheint das Ergebnis der Abfrage
unter dem Feldwert (Abbildung 307). Der dynamische Feldwert ist im diesem Beispiel FC01 und
stammt aus der Spalte CCLASS. Die Auswertung Berechtigungsobjekt S_TABU_DIS in der Abfrage
Kontenplan zuordnen ist somit dynamisch erfolgt und bildet unternehmenseigene Zuordnungen im
Berechtigungswesen wieder.
Abbildung 307 - Eigenschaften einer dynam ischen Feldw ert-Abfrage
V - 3.4.11Erweiterung der Abfragen um App-Berechtigungen

Einführung
Mit der Einführung von S/4HANA rückt die Verwendung von Apps im SAP-System in den
Vordergrund. Am bekanntesten sind hier sicherlich die Fiori- bzw. Legacy-Apps. Nicht nur für den
Anwender bringt das „rollenbasierte Nutzererlebnis“ Änderungen mit sich, sondern auch aus
Berechtigungssicht ändert etwas. Steht im klassischen Berechtigungswesen die
Transaktionsberechtigung im Vordergrund, so ist es nun die Prüfung von externen Services.
Wird z. B. eine Fiori-App im SAP-System installiert, so wird zur dieser Fiori-App ein Hashwert
erzeugt der automatisch in die Tabelle USOBHASH eingetragen wird. Dieser Hashwert wird dann, im
Gegensatz zur Transaktionsberechtigung, mit dem Berechtigungsobjekt S_SERVICE abgefragt.
Die Berechtigungsabfragen in CheckAud sind so aufgebaut, dass die Berechtigungen für installierte
Apps mit dem Objekt S_SERVICE geprüft werden können.
Die App-Abfrage mit dem Berechtigungsobjekte S_SERVICE wird in (1) (Abbildung 308) dargestellt.
Abbildung 309 - Berechtigungsabfrage auf App-Berechtigung
Aufbau einer App-Abfrage am Beispiel der Abfrage „Warenbewegung“

Technisch betrachtet handelt es sich bei einer App-Abfrage um die Verknüpfung einer Customizing-
abhängige Abfrage (siehe Kapitel Customizing-abhängige Abfragen 230 ) mit einer dynamischen
Abfrage (siehe Kapitel Dynamische Feldwerte in Abfragen 236 ).
Nachdem ein Hashwert bei der APP-Installation erzeugt wurde, wir dieser in Tabelle USOBHASH
gespeichert. Dieser Hashwert wird dann mit dem Berechtigungsobjekt S_SERVICE abgefragt. Dabei
wird wie folgt vorgegangen:
Mit der Customizing-abhängige Abfrage wird in der Tabelle USOBHASH ermittelt, ob die App
installiert ist (1 in Abbildung 310). Dabei wird in der Spalte OBJ_NAME der Tabelle USOBHASH
nach dem Wert MIGO_GO gesucht. Wird dieser Wert gefunden, wird in der Spalte NAME der
Tabelle USOBHASH geprüft, ob ein Hashwert vorhanden ist. Ist ein Hashwert vorhanden, dann ist die
Prüfung der Abfrage erfolgreich.
Abbildung 310 - App-Abfrage (custom izing-abhängige Abfrage)
Falls die App installiert ist, ermittelt die dynamische Abfrage über die Tabelle USOBHASH welcher
Hash-Wert der App zugeordnet ist. Der Wert wird dann dem Berechtigungsobjekte S_SERVICE
zugeordnet (2 in Abbildung 311). Dabei wird in der Spalte OBJ_NAME der Tabelle USOBHASH nach
dem Wert MIGO_GO gesucht. Wird dieser Wert gefunden, wird in der Spalte NAME der Tabelle
USOBHASH geprüft, welcher Hashwert vorhanden ist. Der Hashwert wird dann für den Feldwert
SRV_NAME des Berechtigungsobjektes S_SERVICE übernommen. Der TYP des Prüfkennzeichen
muss HT lauten, daher lautet der Operator für den Feldwert SRV_TYPE „gleich“.
Abbildung 311 - App-Abfrage (dynam ische Abfrage)
Der so ermittelte Hashwert für das Berechtigungsobjektes S_SERVICE wird für die
Berechtigungsprüfung herangezogen.
V - 3.5 Berechtigungsabfragen (HANA DB)
V - 3.5.1 Erstellen/Ändern eigener Abfragen – Grafische Ansicht

Das Erstellen bzw. Ändern von HANA DB Abfragen erfolgt nach dem gleichen Prinzip des grafischen
Editors wie im Kapitel Erstellen/Ändern eigener Abfragen – Grafische Ansicht 203 zu ABAP Abfragen
beschrieben. Lediglich die Art und der Umfang der zur Verfügung stehenden Abfragebestandteile sind
bei HANA DB Abfragen abweichend.
Abbildung 312 - Editor zur Anpassung von Berechtigungsabfragen (HANA DB)
1. Neue Abfrage im Analyseprojekt

2. Editierbereich, grafische Darstellung der Berechtigungszusammensetzung
3. Editierbereich, textuelle Darstellung der Berechtigungszusammensetzung
4. Toolbox zur Auswahl logischer Verknüpfungen und Berechtigungen
5. Übersichtsanzeige der grafischen Darstellung von Berechtigungszusammensetzungen
6. Editierbox zur Bearbeitung der Feldwerte/Eigenschaften eines im Editierbereich gewählten
Objektes
V - 3.5.2 Erstellen/Ändern eigener Abfragen – Technische Ansicht

Auch bei HANA DB Abfragen kann alternativ kann für die Erstellung von Berechtigungsabfragen der
Texteditor genutzt werden. Hierfür muss von der Grafischen Ansicht in die Technische Ansicht
gewechselt werden.
Abbildung 313 - technischer Editor zur Anpassung von Berechtigungsabfragen (HANA DB)
V - 3.5.3 Logische Verknüpfungen für Abfragen

Bei HANA DB Abfragen stehen die im Kapitel Logische Verknüpfungen für Abfragen 216
beschriebenen Verknüpfungen zur Verfügung. Lediglich die für ABAP Abfragen verfügbare AUSSER
Verknüpfung steht hier bei HANA DB Anfragen nicht bereit.
V - 3.5.4 Berechtigungsarten
Über die Toolbox Berechtigungen können die verschiedenen HANA DB Berechtigungsarten per
Drag&Drop in die jeweiligen Logik-Container gezogen werden.
Abbildung 314 - HANA DB Berechtigungsarten
Systemberechtigung:
Über Systemberechtigungen (System Privileges) werden Zugriffe zur Verwaltung der Datenbank
vergeben, u.a. Pflege von Schemata, Benutzern, Katalogrollen, Backup Aktivitäten, Lizenzierungen
usw. Die Anwendergruppe für Systemberechtigungen sind die Datenbankadministratoren. Die HANA
Standardbenutzer SYSTEM und _SYS_REPO verfügen standardmäßig über alle
Systemberechtigungen
Abbildung 315 - HANA DB Abfrage auf System berechtigung
Objektberechtigung:
Über Objektberechtigungen werden Zugriffe auf Datenbankobjekte vergeben, dazu gehören u.a.
Schemata, Tabellen, Views und Prozeduren. Für jeden SQL Befehlstyp (z.B. SELECT, UPDATE,
EXECUTE etc.) existiert eine eigene Objekt Berechtigung. Ein Benutzer muss für einen
Tabellenzugriff entweder Objekt Berechtigungen auf die einzelne Tabelle oder auf das übergeordnete
Schema haben. Objekt Berechtigungen können sowohl auf Katalog-Objekte vergeben werden als
auch auf Repository-Objekte.
Abbildung 316 - HANA DB Abfrage auf Objektberechtigung
Paketberechtigung:
Über Paketberechtigungen werden Zugriffe auf die Entwicklungsumgebung vergeben. Diese ist
untergliedert in logisch zusammengehörige Objekte, die so genannten Pakete. Ein Benutzer, der
über Paket Berechtigung auf ein Repository Paket berechtigt ist, ist automatisch auf alle darin
enthaltenen Objekte und Unterpakete berechtigt.
Abbildung 317 - HANA DB Abfrage auf Paketberechtigung
Analyseberechtigung:
Über Analyseberechtigungen (Analytic Privileges) werden Zugriffe auf Applikationsdaten vergeben,
z.B. über Analytische Views, Attribut Views, Calculation Views. Hiermit wird gesteuert, auf welche
Daten der View ein Benutzer zugreifen darf. Die Abgrenzung erfolgt über „zeilenweise“
Berechtigungen. Dadurch sind z.B. organisatorische Abgrenzungen möglich. Auch kann der
Gültigkeitszeitraum innerhalb der Analytic Privileges festgelegt werden.
Abbildung 318 - HANA DB Abfrage auf Analyseberechtigung
Anwendungsberechtigung:
Anwendungsberechtigungen werden benötigt für den Aufruf von SAP HANA XS Anwendungen
(Extended Services). Die Berechtigungen werden in dem Paket definiert, in dem auch die Applikation
liegt. Application Privileges sind frei definierbare Namen, die in einer Datei mit dem festen Namen
.xsprivileges definiert werden. Diese werden dann im Quelltext der Anwendung abgefragt.
Abbildung 319 - HANA DB Abfrage auf Anw endungsberechtigung
V - 3.5.5 Vergleichsoperatoren bei Berechtigungsarten

In Abhängigkeit von der Berechtigungsart können verschiedene Vergleichsoperatoren verwendet
werden:
EXAKT / exact Ausdruck wird mit wahr ausgewertet, wenn exakt die Werteausprägung vorgefunden
wurde.
IRGENDEINER / any Ausdruck wird mit wahr ausgewertet, wenn ein Teil der Werteausprägung
vorgefunden wurde.
ALLE / all Ausdruck wird mit wahr ausgewertet, wenn alle der angegebenen
Werteausprägungen vorgefunden wurden (implizites UND).
V-4 Arbeiten mit den Tabellen und tabellarischen Abfragen

Mit der Verwendung der Tabellen-Sets können bei dem Scannen der SAP-Systeme bzw. HANA
Datenbanken beliebige SAP ABAP Tabellen bzw. HANA Datenbanktabellen ausgelesen werden. Die
ausgelesenen Tabellen können mithilfe der Toolbox Tabellen aufgerufen werden. Die vom Scanmodul
ausgelesenen Tabellen werden getrennt nach System und Tabellen-Set gelistet:
Abbildung 320 - Ausw ahl der verfügbaren ABAP oder HANA DB Tabellen gem äß Tabellen-Sets
Mit Drag&Drop können die einzelnen Tabellen ausgewählt und in das Analyseprojekt verschoben
werden.
Abbildung 321 - Ausgew ertung der ausgew ählten Tabelle
Nach der durchgeführten Analyse von CheckAud werden die Tabelleninhalte der ausgewählten
Tabelle aufgelistet.
V - 4.1 Vordefinierte tabellarische Abfragen

Bei den vordefinierten Tabellenabfragen handelt es sich um eine Erweiterung der Tabellenanzeige.
Durch die Verknüpfung mehrerer Tabellen und der Verwendung von Tabellen-Joins sowie
Filterselektionen ist es möglich, spezifische Abfragen auf die Tabellen zu erstellen.
Abbildung 322 - Vordefinierte tabellarische Abfragen
Das Einfügen der vordefinierten Tabellenabfragen in das eigene Projekt erfolgt per Drag&Drop.
Abbildung 323 - Einfügen einer vordefinierten tabellarischen Abfrage
V - 4.2 Erstellen eigener tabellarischer Abragen

Die im Snapshot hinterlegten Tabellen aus den SAP-System bzw. der HANA Datenbank können
nicht nur mit Hilfe von CheckAud und den hinterlegten Abfragen analysiert werden, sondern es
besteht die Möglichkeit, Tabellen miteinander zu verknüpfen, um so Informationen aus mehreren
Tabellen aggregiert in einer Sicht bereitzustellen. Um Tabellen miteinander verknüpfen zu können,
muss zuerst eine beliebige Tabelle in das Analyseprojekt eingefügt werden. Nachfolgende Beispiele
zeigen das Vorgehen anhand von SAP (ABAP) Tabellen. Gleiches kann selbstverständlich auch für
HANA DB Tabellen genutzt werden.
Abbildung 324 - Einfügen einer Tabelle
Nach Hinzufügen der gewünschten Tabelle, wählt man diese aus. Anschließend kann man über den
Reiter Abfrage eine weiteren Tabelle zu der bestehenden hinzufügen. Hierbei wird die zweite Tabelle
aus dem Tabellen-Sets ausgewählt und neben der bereits bestehenden Tabelle eingefügt. Das
Kombinieren zweier Tabellen erfolgt über die Drag&Drop-Funktion. Die Schaltfläche weist
darauf hin, dass die Tabelle eingefügt werden kann.
Abbildung 325 - Verknüpfen von zw ei Tabellen
Sind die gewünschten Tabellen kombiniert, kann der Inhalt der Ergebnissanzeige definiert werden.
Dies erfolgt über die Selektion der Felder der jeweiligen Tabellen.
Abbildung 326 - Feldausw ahl der verknüpften Tabellen
Im nächsten Schritt erfolgt das Verbinden der Tabellen durch Tabellen-Joins. Nachfolgend werden
anhand von Beispielen die vier Arten des Verbindens von Tabellen erläutert.
Abbildung 327 - Definieren von JOINS
Mit Hilfe der Selektion kann der Inhalt des Ergebnisses eingeschränkt werden.
Abbildung 328 - Selektion des Inhaltes eines JOINS
Einrichten eines INNER JOIN:
Erklärung: der INNER JOIN führt Datensätze aus der linken und rechten Tabelle genau dann
zusammen, wenn die unter JOIN angegebenen Kriterien alle erfüllt sind. Ist eines oder mehrere der
Kriterien nicht erfüllt, so entsteht kein Datensatz in der Ergebnismenge.
Beispiel: Anzeigen der Zuordnung über Sammelrollen an Benutzer
Vorgehen: Die Tabelle AGR_AGRS in das Projekt einfügen. Anschließend die Tabelle AGR_AGRS
im Projekt auswählen und auf den Reiter Abfrage wechseln. Im darauffolgenden Schritt wird die
Tabelle AGR_USERS mit der bereits bestehenden Tabelle kombiniert. Als Nächstes erfolgt das
Einrichten des Joins.
JOIN:
Ergebnisse filtern:
Mit Hilfe der Selektion kann die Ergebnisanzeige eingeschränkt werden. Im Beispiel wird das
Ergebnis auf eine Sammelrolle und einen Benutzername eingeschränkt.
Ergebnis: es werden alle Sammelrollen angezeigt, die einem bestimmen Benutzer zugeordnet sind.
Einrichten eines LEFT OUTER JOIN:
Erklärung: ein Datensatz aus der linken Tabelle kommt in jedem Fall in das Ergebnis, d.h. die
resultierende Tabelle hat genauso viel Datensätze wie die linke Tabelle. Wenn ein Datensatz der
rechten Tabelle den Join-Kriterien entspricht, wird er entsprechend in den Spalten eingetragen,
ansonsten bleiben die Spalten leer.
Beispiel: Anzeigen von Benutzern, denen keine Rolle zugeordnet wurde.
Vorgehen: die Tabelle USER_ADDRS in das Projekt einfügen. Anschließend die Tabelle
USER_ADDRS im Projekt auswählen und auf den Reiter Abfrage wechseln. Im darauffolgenden
Schritt wird die Tabelle AGR_USERS mit der bereits bestehenden Tabelle kombiniert. Als Nächstes
erfolgt das Einrichten des Joins.
JOIN:
Ergebnisse filtern:
Der Filter der Selektion muss AGR_NAME = „leer“ lauten, damit alle Benutzer ohne
Rollenzuweisung angezeigt werden.
Ergebnis: es werden alle Benutzer ohne Rollenzuordnung angezeigt.
Einrichten eines RIGHT OUTER JOIN:
Erklärung: der RIGHT OUTER JOIN ist die Umkehrung des LEFT OUTER JOIN. Ein Datensatz aus
der rechten Tabelle kommt in jedem Fall in das Ergebnis, d.h. die resultierende Tabelle hat genauso
viel Datensätze wie die rechte Tabelle. Wenn ein Datensatz der linken Tabelle den Join-Kriterien
entspricht, wird er entsprechend in den Spalten eingetragen, ansonsten bleiben die Spalten leer.
Beispiel: Anzeigen von Benutzern, denen keine Rolle zugeordnet wurde.
Vorgehen: die Tabelle AGR_USERS in das Projekt einfügen. Anschließend die Tabelle
AGR_USERS im Projekt auswählen und auf den Reiter Abfrage wechseln. Im darauffolgenden Schritt
wird die Tabelle USER_ADDRS mit der bereits bestehenden Tabelle kombiniert. Als nächstes erfolgt
das Einrichten des Joins.
JOIN:
Ergebnisse filtern:
Der Filter der Selektion muss AGR_NAME = „leer“ lauten, damit alle Benutzer ohne Rollen
Zuweisung angezeigt werden.
Ergebnis: es werden alle Benutzer ohne Rollenzuordnung angezeigt.
Einrichten eines FULL OUTER JOIN:
Erklärung: dieser Join ist eine Kombination aus LEFT- und RIGHT OUTER JOIN. Jeder Datensatz der
rechten und der linken Tabelle kommt in die Ergebnismenge. Findet sich über das JOIN-Kriterium ein
passender Partner, werden beide zusammengefügt, andernfalls wird die jeweils fehlende Seite leer
gelassen.
Beispiel: Anzeigen aller Benutzernamen mit Stammsatz und / oder Entwicklerschlüssel
Vorgehen: die Tabelle USR02 in das Projekt einfügen. Anschließend die Tabelle USR02 im Projekt
auswählen und auf den Reiter Abfrage wechseln. Im darauffolgenden Schritt wird die Tabelle
DEVACCESS mit der bereits bestehenden Tabelle kombiniert. Als nächstes erfolgt das Einrichten
des Joins.
JOIN:
Ergebnisse filtern:
Entwicklerschlüssel angezeigt werden.
Ergebnis: es werden alle Benutzer mit Entwicklerschlüssel angezeigt.
V - 4.3 Tabellenabfragen auf nicht vollständig ausgelesene Tabellen

Sofern selbst erstellte Tabellenabfragen auf Tabellen zugreifen, welche ggfls. nicht vollständig
ausgelesen (Aufgrund von Filterungen im Tabellen-Set oder aktivierter
Anonymisierung/Pseudonymisierung) wurden, wird dies per Hinweis in der Ergebnisanzeige
dargestellt.
Abbildung 329 - Hinw eis, Tabelle nicht vollständig ausgelesen, da im Tabellen-Set des Scans ein Filter
aktiv w ar
Abbildung 330 - Hinw eis, Tabelle nicht vollständig ausgelesen, da im Tabellen-Set des Scans eine
Anonym isierung/Pseudonym isierung aktiv w ar
V - 4.4 Bewertungskriterien für Tabellen-/Tabellen-Abfragen erstellen

Zusätzlich zur reinen Anzeige der Ergebnisse kann auch eine Bewertung hierfür hinterlegt werden.
Dies erfolgt auf dem Tab Bewertung:
Abbildung 331 - Bew ertung der tabellarischen Abfrage
Die Bewertung besteht aus einzelnen Filterkriterien, die mit den Operatoren UND bzw. ODER
verknüpft werden. Die Funktionsweise entspricht den Selektionskriterien auf dem Tab Abfrage.
Sobald die Bewertungskriterien für einen Datensatz erfüllt sind, wird er in der Ergebnisliste
entsprechend markiert. Falls keinerlei Kriterien hinterlegt sind, werden alle Datensätze in der
Bewertungsspalte mit einem - versehen.
Abbildung 332 - Bew ertete tabellarische Abfrage
Es können alle Spalten bewertet werden, die ein Teil der Ergebnismenge sind. Zusätzlich gibt es die
Möglichkeit, die vorhandene Anzahl an Datensätzen in der Ergebnismenge zu bewerten.
Beispielsweise ist es denkbar, dass eine Tabellenabfrage keinerlei Ergebnisse enthalten soll. In
diesem Fall kann man das Bewertungskriterium von COUNT einfach auf den Wert 0 (mit Operator
gleich) setzen.
Abbildung 333 - Bw ertung einer tabellarischen Abfrage anlegen
Für eine Tabellenabfrage mit einer Bewertung kann ein Score berechnet werden, der dann in die
Score-Berechnung des Projekts eingeht. Dies ist jedoch nicht zwingend. Falls eine Berechnung des
Scores gewünscht ist, sollte der entsprechende Haken gesetzt sein:
Abbildung 334 - Score-Berechnung aktivieren
Vordefinierte Tabellenabfragen werden mit einer vorgefertigten Bewertung ausgeliefert. Natürlich ist es
von Zeit zu Zeit notwendig, die Bewertung an die eigenen Gegebenheiten anzupassen. Dies ist
möglich, ohne die Referenz zu dieser Tabellenabfrage auflösen zu müssen. Dies kann über die
Schaltfläche durchgeführt werden.
V-5 Parameterwerte
V - 5.1 Vordefinierte Parameterabfragen
Bei den vordefinierten Parameterabfragen handelt es sich um Vorgaben des DSAG Prüfleitfadens
SAP ERP 6.0 sowie der IBS Best Practice Vorgaben. Die vordefinierten Parameterabfragen
beinhalten Vorgabewerte für die hinterlegten Parameter. Diese werden bei der Analyse des
Projektes aus dem hinterlegten Snapshot ermittelt und mit den Vorgaben verglichen.
Abbildung 335 - Vordefinierte Param eterabfragen
Mit der Filterfunktion kann nach Parametergruppen gesucht werden bzw. nach Parameterabfragen in
denen die Parametergruppen enthalten sind.
Abbildung 336 - Suche nach Param etern
V - 5.2 Erstellen eigener Parameternabfragen

Das Hinzufügen der Parameter erfolgt über Drag&Drop. Es können einzelne Parameterwerte sowie
Parametergruppen abgefragt werden. Zum Hinzufügen von Parametergruppen werden die jeweiligen
Parameter aus der Toolbox Parameter markiert und dem Projektbaum per Drag&Drop hinzugefügt.
Nach der Analyse stehen alle Parameter der Gruppe zu Verfügung.
Mithilfe des -Symbols besteht die Möglichkeit nicht benötigte Parameter aus der
Parametergruppe zu löschen.
Abbildung 337 - Auflistung der Param etergruppe
V - 5.3 Definieren der Vorgaben und Auswirkung
Eigene Vorgaben werden über das -Symbol definiert. Der gewünschte Parameter muss hierfür
dem Projektbaum hinzugefügt und ausgewählt werden. Es besteht nun die Möglichkeit die
Auswirkung sowie die Kriterien für den Parameter zu hinterlegen.
Abbildung 338 - Erstellung von Vorgaben für die Param eterausw ertung
Durch das definieren der Auswirkung wird der Analyse-Score der Parameterabfrage beeinflusst. Je
höher das Risiko definiert ist, umso stärker wirkt die definierte Auswirkung auf den Analyse-Score
aus.
Hinweis: vordefinierte Parameterabfragen werden mit einer vordefinierten Auswirkung ausgeliefert,

die durch auflösen der Referenz änderbar ist.
Über die Schaltfläche Kriterium hinzufügen wird der Operator für den Vergleich des Parameterwerts
zur Vorgabe hinzugefügt. Es stehen folgende Operatoren zu Verfügung:
· gleich
· ungleich
· kleiner als
· kleiner gleich
· größer als
· größer gleich
Die Operatoren können bei Bedarf eine UND- oder ODER-Verknüpfung erhalten, insofern mehr als
eine Vorgabe den jeweiligen Parameter zugeordnet wird.
Weiterhin kann die Auswirkung, also die anzunehmende Schadenswirkung Falle der Nichterfüllung
der Sollvorgabe, definiert werden. Hierfür steht die bereits aus der Berechtigungsabfrage bekannte
Schaltflächenleiste zur Verfügung:
Abbildung 339 - Konfiguration der Ausw irkung
Diese Einstellung wirkt sich auf die Berechnung des Scores zur Parameterabfrage aus.
267
Kapitel VI - Automatisierung
268 Kapitel VI - Automatisierung
VI Automatisierung
Mit Hilfe der Automatisierung können die einzelnen Abläufe wie Scannen der SAP-Systeme,
Importieren von Snapshots sowie das Analysieren und Exportieren von Projekten automatisch
ausgeführt werden. Es bedarf nur weniger Konfigurationsschritte.
VI - 1 Kommandozeilenmodul
Für den kompletten automatisierten Durchlauf einer Prüfung, angefangen mit dem Scan und
abschließend mit dem Export, ist das Kommandozeilenmodul von CheckAud entwickelt worden. Für
die Benutzung dieses Tools bedarf es vorab der Erstellung eines CheckAud Analyseprojektes.
Dieses Analyseprojekt muss vorkonfiguriert sein, da während des automatischen Durchlaufes keine
Konfiguration möglich ist.
Abbildung 340 - Analyse-Einstellung des Projektes, "jüngster Snapshot" ausw ählen
Im Projekt ist es sehr wichtig, dass unter Analyse-Einstellung der Snapshot Systemname – jüngster
Snapshot ausgewählt ist. Ist dies nicht der Fall, kommt es beim Analysieren zu einem Abbruch der
Analyse.
Kapitel VI - Automatisierung 269
Abbildung 341 - Beispiel Kom m andozeilenaufruf
Um das Kommandozeilenmodul von CheckAud aufzurufen, muss der komplette Pfad der
ibs.casa.client.cmd.exe in der Kommandozeile angegeben werden. Hierbei ist zu beachten, dass die
Anführungszeichen berücksichtigt werden, da es sonst zu Fehlern aufgrund von Leerzeichen im
Dateipfad kommt. Unter der Standardinstallation von CheckAud lautet der Dateipfad:
"C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckAud\ibs.casa.client.cmd.exe"
Hinweis: ist lediglich das Scanmodul installiert, kann dieses ebenfalls via Kommandozeilenaufruf
gestartet und für automatisierte Scans eingerichtet werden. Der Aufruf erfolgt mit:
"C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckAud\ibs.casa.scan.cmd.exe"
VI - 2 Funktionserklärung
Über die Komandozeile kann CheckAud mit verschiedenen Steuerungsparametern gestartet werden.
Nachfolgend werden diese Paramter erläutert:
/?, -h, /h, /help

Mit dieser Funktion kann die Hilfe des Moduls aufgerufen werden, in dem die einzelnen Funktionen
aufgelistet sind.
/L /lang[uage] [DE|EN]
Diese Funktion stellt die Sprache um. Es kann entweder DE oder EN angegeben werden.
Standardmäßig wird die eingestellte Systemsprache genutzt.
/s /scan <system|group> <path> [<mode> [<userlist>]]
Damit wird ein Snapshot von einem System erstellt. Der Parameter system muss dem bereits in
CheckScan vorgepflegte Titel in der Beschreibung des zu scannenden SAP Systems entsprechen.
Das Parameter group steht für die vorgepflegte Gruppe in CheckScan. Anstatt eines einzelnen
System-Scans kann eine Gruppe von Systemen gescannt werden. Im zweiten Parameter path wird
der Pfad, unter dem der Snapshot gespeichert wird, angeben. Einzelne Snapshots können
individuelle Namen erhalten. Wird kein Name explizit vergeben, erstellt CheckScan den Namen aus
der System-ID, den Mandanten, dem Datum und der Uhrzeit. Gruppen erhalten automatisch den
Namen aus der System-ID, den Mandanten, dem Datum und der Uhrzeit. Eine individuelle Vergabe
von Namen bei Gruppen ist nicht möglich. Der dritte und vierte Parameter ist optional. Bei Bedarf
kann der Snapshot anonymisiert oder pseudonymisiert werden. Wird der Parameter nicht gesetzt,
erhält der Snapshot automatisch den Benutzer-Modus normal. Mit dem vierten Parameter kann eine
Benutzerliste geladen werden. Mithilfe der Benutzerliste werden die in der Liste hinterlegten Namen
nicht anonymisiert oder pseudonymisiert.
Beispiel für das Erstellen eines Snapshots mit vorgegebenen Namen:

/s "IBS E02" "C:\users\BENUTZER\desktop\IBS_E02.casnapshot"
Beispiel für das Scannen einer Gruppe:

/s "Gruppename" "C:\users\BENUTZER\desktop"
Beispiel für das Erstellen eines pseudonymisierten Snapshots:

/s "IBS E02" "C:\users\BENUTZER\desktop\IBS_E02.casnapshot" pseudonymize
Beispiel für das Erstellen eines Snapshots, wenn nur das Scanmodul installiert und verwendet wird:
"C:\Program Files\CheckAud GRC Software\for SAP Systems\CheckAud\ibs.casa.scan.cmd.exe"
Im Zielverzeichnis des Snapshots wird bei aktivierter Pseudonymisierung gleichzeitig die Excel-Liste
mit der Gegenüberstellung von Pseudonymen und Klarnamen erstellt. Bei der Verwendung der
Anonymisierung ist dies nicht der Fall.
Folgende Schreibweisen des Benutzer-Modus stehen zu Verfügung:
Benutzer-Modus Anonymisierung:
· Ano,
· anonymize oder anonymise,
· anonymization oder anonymisation
Benutzer-Modus Pseudonymisierung:
· pseudo,
· pseudonymize oder pseudonymise,
· pseudonymization oder pseudonymisation
Benutzer-Modus Normal:
· normal
Beispiel für das Erstellen eines pseudonymisierten Snapshots mit einer Benutzerliste:
pseudonymize "C:\users\BENUTZER\desktop\Benutzliste.txt"
Beispiel für einen einfachen Scan des Systems:

/i, /import <Snapshot file> [<Snapshot-Anmerkung>]

Hiermit wird der zuvor erstellte Snapshot in CheckAud importiert, um eine Analyse starten zu
können. Als Parameter muss der Dateiname des Snapshots angegeben werden, als optionaler
Parameter kann eine Anmerkungen beim Import des Snapshot hinterlegt werden.
Beispiel für den Import des Scans in CheckAud:

/i "C:\users\BENUTZER\desktop\IBS_E02.casnapshot"
/i, /import <Snapshot file> <Remark>

Hier wird für den zu importierenden Snapshot noch eine Bemerkung <Remark> hinterlegt.
Beispiel für den Import des Snapshots mit Angabe einer Bemerkung:
/i "C:\users\BENUTZER\desktop\IBS_E02.casnapshot" remark="Das ist eine Bemerkung"
/i, /import <Snapshot file> <Group>

Hier wird für den zu importierenden Snapshot festgelegt, in welcher Snapshot-Gruppe <Group>
dieser dann im Snapshot-Management bereitgestellt wird.
Beispiel für den Import des Snapshots mit Zuordung des Snapshot zu einer Snapshot-Gruppe:
/i "C:\users\BENUTZER\desktop\IBS_E02.casnapshot" group="Neue Gruppe"
/l, /load <project>

In dieser Funktion wird der genaue Pfad zum Laden eines zuvor erstellten Projektes angegeben.
Beispiel für das Laden eines Projektes:

/l "C:\Users\BENUTZER\Desktop\Projektname.caproject"
/reset (compare|variables|userfilter|authfilter|userattr)
Deaktiviert den Snapshot-Vergleich bzw. löscht hinterlegte Variablen, Benutzerfilter,
Berechtigungsfilter oder Benutzerzuordnungen. Die Einstellungen werden alle direkt auf dem Projekt-
Knoten vorgenommen. Die Anwahl eines anderen Knotens wird aktuell nicht unterstützt. Es wird
empfohlen, bei dem Wechsel von Variablen, Benutzerfiltern, Berechtigungsfiltern oder
Benutzerzuordnungen die Funktion /reset durchzuführen.
Beispiel zum Löschen von Variablen-Sets:

/reset variables
/set snapshot <system ID> <client>

Diese Funktion ermöglicht das Wechseln von Snapshots in der Batchdatei. Durch die Angabe von
System-ID und Mandant wird der jüngste Snapshot des entsprechenden Systems geladen. Ist in den
Analyseeinstellungen des Projekts ein Vergleich konfiguriert, so bleibt dieser nur bestehen, wenn der
neue Snapshot von derselben System/Mandant-Kombination stammt. In allen anderen Fällen wird
durch Ändern des Snapshots der Vergleich deaktiviert.
Beispiel zum Laden eines anderen Snapshots:

/set snapshot IB3 800
/set compare (second|least)

Mit diesem Parameter lässt sich der Vergleich zweier Snapshots konfigurieren. Es wird dabei der
zweitjüngste ("second") oder älteste ("least") Snapshot der System/Mandant-Kombination gewählt,
die als Ziel-Snapshot konfiguriert wurde. Zur Konfiguration des Vergleichs sollte grundsätzlich
zunächst der jeweilige Ziel-Snapshot gesetzt werden, bevor über diesen Parameter der gewünschte
Vergleichs-Snapshot selektiert wird.
Beispiel zum Aktivieren des Vergleichs mit dem zweit-jüngsten Snapshot des aktuell gewählten
Systems:
/set compare second
/set (variables|userfilter|authfilter|userattr) <file>

Diese Funktion ist vorhanden um in einen Projekt das Variablen-Set, den Benutzerfilter, den
Berechtigungsfilter oder die Benutzerzuordnung nachträglich zu wechseln. Es besteht somit die
Möglichkeit mehrere Auswertung mit verschiedenen Filtern durchzuführen. Es ist dabei zu beachten,
dass bei dem Setzen des Filters der richtige Dateityp ausgewählt ist.
variables: Variablenset (.cavariables)

userfilter: Benutzerfilter (.causerfilter)
authfilter: Berechtigungsfilter (.caauthfilter)
userattr: Benutzerzuordnung (.causerattribution)
Beispiel zum Laden von Variablen-Sets:

/set variables C:\CheckAud-Variablen.cavariables
/a, /analyze
Ein zuvor geladenes Projekt wird mithilfe dieser Funktion analysiert.
/export <export path/file>

Diese Funktion legt fest, in welchen Dateipfad das Analyseergebnis exportiert wird. Hierbei ist
folgendes zu beachten: endet der angegebene Pfad mit ".htm" oder ".html", so wird dies als
Dateiname verstanden in allen anderen Fällen wird der Pfad als Verzeichnis-Angabe verstanden, das
Verzeichnis bei Bedarf erzeugt und ein eindeutiger Dateiname generiert. Der generierte Dateiname
hat das Format "<Projektname>_<Exportzeitpunkt>.html". Der Exportzeitpunkt wird als
"YYYYMMDD_HHMMSS" geschrieben.
Beispiel für eine Analyse mit anschließendem Export:

/load "C:\users\BENUTZER\BeispielProjekt.caproject"
/a
/export "c:\users\BENUTZER\desktop\test.html"
/p, /progess
Mit dieser Funktion kann man einen der anderen Teilprozesse detaillierter nachverfolgen, falls der
Standardoutput dieser Funktion in ein Logfile übertragen werden soll. Dies dient der
Fehlerbehandlung, beziehungsweise der Nachvollziehbarkeit des jeweiligen Prozesses.
/delete (<system ID>|*) (<client>|*) [age]

Nicht mehr benötigte Snapshots können durch diese Funktion aus der CheckAud Datenbank
vollständig entfernt werden. Mit dem Parameter „system ID“ wird das gewünschte System
ausgewählt. Wird anstatt einer einzelnen System-ID ein „*“ angegeben, werden alle Systeme in der
CheckAud Datenbank selektiert. Mit dem Parameter „client“ können einzelne Mandaten zum
Löschen selektiert werden. Auch hier besteht die Möglichkeit mithilfe des „*“ alle Mandanten eines
SAP-Systems gleichzeitig zu selektieren. Der Parameter „age“ gibt an, wie alt die Snapshots
maximal sein dürfen. Snapshots die das angegebene Alter überschreiten werden aus der Datenbank
gelöscht. Das Alter kann in folgende Zeiten als Ganzzahl definiert werden:
d für Tage
w für Wochen
m für Monate
y für Jahre
Wird kein Zeitraum definiert, werden alle Snapshots des angegebenen SAP-Systems gelöscht.
Beispiel zum Löschen einzelner Snapshots des Mandanten 800 aus dem SAP-System IB1 die älter
als 2 Jahre sind:
/delete IB1 800 2y
Beispiel zum Löschen aller Snapshots aus der CheckAud Datenbank:

/delete * *
Einzelne Snapshots oder ganze System-IDs die mit einem Schreibschutz versehen wurden, können
nicht aus der Datenbank gelöscht werden. Das Löschen der Snapshots oder der System-IDs wird
erst wieder möglich, sobald der Schreibschutz entfernt wurde.
Hinweis: bei der Erstellung dieser Prozesse ist die Reihenfolge der einzelnen Parameter zu
beachten, da das Kommandozeilenmodul die einzelnen Befehle nacheinander abarbeitet. Die
Spracheinstellung „/L“ sowie die Anzeige für den Prozessfortschritt (/p) muss am Anfang definiert
werden, da am Ende der Befehlszeile keine Rücksicht mehr auf die Spracheinstellung oder
Prozessfortschritt genommen werden kann. Die Grundeinstellungen werden aus der graphischen
Oberfläche von CheckAud genutzt.
Zusätzlich wird bei der Verwendung der Automatisierung empfohlen, die Programme
CheckAud und CheckScan zu schließen.
Im Folgenden ist ein Beispiel aufgeführt, um die Funktionsweise zu verdeutlichen.
Abbildung 342 - Beispiel eines kom plettt autom atisierten Ausw ertungslaufs
Folgende Schritte werden hier im Beispiel durchgeführt:
- Wechseln der Sprache in Deutsch (/L)

- Scannen des SAP-Systems IBS E02 mit anschließenden Speichern des Snapshots (/s)
- Importieren des zuvor erstellen Snapshots (/i)
- Laden eines bereits erstellten Projektes (/l)
- Analyse des Projektes (/a)
- Export der Analyseergebnisse (/export)
Beispiel in Textform:

/L DE
/i "C:\users\BENUTZER\desktop\IBS_E02.casnapshot"
/l "C:\users\BENUTZER\BeispielProjekt.caproject"
/a
/export "c:\users\BENUTZER\desktop\Ergebnis.html"
Allgemeiner Hinweis zur Automatisierung mit Umlauten:

Werden in der Batch-Datei Umlaute verwendet, kommt es zu einer Fehlermeldung bei der
Durchführung der Automatisierung in der falschen Codepage. Wir empfehlen Umlaute in der Batch-
Datei nicht zu verwenden, bzw. einen der nachfolgenden Hinweise zu berücksichtigen.
1. Datei mit der richtigen Codepage speichern

Die Batchdatei muss mit einem Editor erzeugt werden, der den Wechsel zwischen unterschiedlichen
Codepages unterstützt (z.B. UltraEdit, Notepad++, ...). Beim Speichern ist dann CP850 oder das
entsprechende Äquivalent auszuwählen. Dann funktionieren auch Umlaute problemlos.
2. Codepage im Batch umschalten

Man könnte die Codepage direkt zu Beginn der Batchdatei auf diejenige ändern, die beim Editieren
verwendet wurde. Wurde die Batchdatei mittels Notepad unter einer westeuropäischen Sprache
erzeugt, so müsste der erste Befehl chcp 1252 lauten. Allerdings hat dies die Nebenwirkung, dass
auf der Kommandozeile die Umlaute nur noch als ungewollte Sonderzeichen dargestellt werden
(sowohl die im Batch enthaltenen, als auch die von CheckAud ausgegebenen).
VI - 3 Planung von Scans mit Hilfe einer Batchdatei

Unter Windows gibt es durch den Task Scheduler die Funktion, dass man im Hintergrund bestimmte
Aufgaben im wiederkehrenden Rhythmus ausführen kann. Dies erzeugt eine vereinfachte
Arbeitsweise und entlastet das SAP-System, da die Starts der Scans auf Zeiten gelegt werden
können, in denen die Auslastung im SAP-System gering ist.
VI - 3.1 Aufgabenvorbereitung
Abbildung 343 - Ausführbare Batch-Datei
Mit dieser Batch Datei kann, wie in Anfang dieses Kapitels vorgeführt, ein kompletter Durchlauf einer
Prüfung durchgeführt werden. Dabei ist zu beachten, dass die jeweilige Namensgebung und
Pfadangabe korrekt abgebildet wird. Des Weiteren muss vor der Planung ein Projekt angelegt werden
und mit einem Snapshot verbunden sein, damit die Aufgabenplanung ein erfolgreiches Resultat
liefern kann. Hier ist zu beachten, dass das Projekt natürlich im Nachhinein mit anderen Abfragen
angepasst werden kann, jedoch sollte die Benennung von Projekt oder Snapshot nicht variieren.
VI - 3.2 Aufgabe planen

Um eine wiederkehrende Aufgabe zu für regelmäßige Scans und Auswertung anzulegen, kann der
Windows-Aufgabenplaner verwendet werden. Dieser ist über die Systemsteuerung des
Betriebssystems aufrufbar.
Abbildung 344 - Aufgabe planen
In diesem Fenster kann man beliebige Aufgaben definieren und in einem festgelegten Rhythmus
wiederholen. Um einen regelmäßigen Abzug eines Systems mit anschließender Analyse zu
erstellen, muss die einfache Aufgabe erstellen…-Funktion im rechten Aktionsbereich ausgewählt
werden.
Abbildung 345 - Erstellen von einfachen Aufgaben
Die Definition einer Beschreibung ist empfehlenswert, da so ein Überblick geschaffen wird, falls
mehrere Systeme mit unterschiedlichen Aufgaben verarbeitet werden oder mehrere Mitarbeiter mit
diesen Aufgaben interagieren müssen.
Abbildung 346 - zeitliche Planung
Der Trigger für die Aufgabe kann ganz individuell eingerichtet werden, je nach Art der Prüfung. Die
monatliche Prüfung muss nicht jeden Monat stattfinden, sondern es kann definiert werden, welchen
Monat und welchen Tag im Monat gescannt werden soll.
Abbildung 347 - Startdefinition
In der Aktionsauswahl muss die Funktion „Programm starten“ gewählt werden, da es sich bei dem
Batch-Format um eine ausführbare Datei handelt.
Abbildung 348 - Batch ausw ählen
Unter Programm/Script: wird der Dateipfad der Batchdatei hinterlegt, die zuvor konfiguriert wurde.
Dies kann mit Hilfe des Durchsuchen-Buttons geschehen.
Abbildung 349 - Zusam m enfassung
In der Zusammenfassung sollte noch einmal genau geprüft werden, ob die Einstellungen den
Anforderungen für eine wiederkehrende Prüfung gerecht werden. Sobald die Aufgabe fertig gestellt
wird, ist sie aktiv und wird immer dann ausgeführt, wenn die Trigger-Einstellungen erfüllt sind.
Abbildung 350 - Übersicht der erstellten Aufgabe
In der Aufgabenplaner-Übersicht können alle derzeitigen Aufgaben des Users eingesehen werden.
Abbildung 351 - Scan im Hintergrund aktivieren
Für die Anpassung bereits erstellter Aufgaben, lässt sich durch ein Doppelklick auf eine Aufgabe ein
Optionsmenü öffnen, in dem Anpassungen an der Aufgabe vorgenommen werden können. Beim
Starten des derzeitigen Scripts erscheint die Kommandozeile. Um dies zu unterbinden, muss die
Option Unabhängig von der Benutzeranmeldung ausführen ausgewählt werden. Diese Option
ermöglicht das Starten der Batchdatei ohne den Benutzer am System angemeldet zu haben. Des
Weiteren wird die Kommandozeile auch nicht auf den Bildschirm erscheinen. Mit dem Drücken des
OK-Buttons erfragt Windows die Benutzerdaten, von der aus die Aufgabe gestartet werden soll.
Abbildung 352 - Passw orteingabe für Hintergrundarbeit
283
Kapitel VII - Protokollierung der Datenverarbeitung
284 Kapitel VII - Protokollierung der Datenverarbeitung
VII Protokollierung der Datenverarbeitung

Sowohl Scan- als auch Auswertungsmodul erstellen im Standard entsprechende
Verarbeitungsprotokolle um nachzuweisen, welche Daten und Aktionen mit Scan- und
Auswertungsmodul verarbeitet wurden. Dies ist ggfls. notwendig für Anforderungen aus dem Bereich
Datenschutz.
CheckAud erstellt sogenannte Ereignisprotokolle, welche mit der Ereignisanzeige des

Betriebssystems aufgerufen werden können:
Abbildung 353 - Ereignisprotokoll CheckScan
Kapitel VII - Protokollierung der Datenverarbeitung 285
Abbildung 354 - Ereignisprotokoll CheckAud
Detaillierte Informationen bzgl. der Meldungen des Ereignisprotokolls zu CheckAud und CheckScan
finden sich im gesonderten Data Protection Guide.
287
Kapitel VIII - Technischer Support
288 Kapitel VIII - Technischer Support
VIII Technischer Support

Bei technischen Problemen oder Fragen zu CheckAud steht der Support der IBS Schreiber GmbH
telefonisch oder per E-Mail-Adresse zur Verfügung:
IBS Schreiber GmbH

Zirkusweg 1
D-20359 Hamburg
Telefon: +49 (0) 40 69 69 85-25
Fax: +49 (0) 40 69 69 58-80
E-Mail: support@ibs-schreiber.de
Wenn möglich, sind folgende Informationen anzugeben:

· eine kurze Problembeschreibung
· wie ist es zu dem Fehler gekommen
· ist der Fehler reproduzierbar
· mit welcher CheckAud® -Version ist der Fehler aufgetreten
· welches Betriebssystem wird eingesetzt
Zusätzliche Screenshots der Fehlermeldung oder Ihrer Vorgehensweise sind immer sehr hilfreich!
Der Support-Fall wird anschließend durch den Support der IBS Schreiber GmbH aufgenommen und
bearbeitet, es wird über ein Ticket-System eine Antwort mit der Fallnummer als Eingangsbestätigung
versendet.
Sofern es zu Programmfehlern oder Abstürzen der Software kommen sollte, können die Logdatei
eingesehen und bei Bedarf dem Support der IBS Schreiber GmbH bereitgestellt werden.
Die Logdateien für CheckAud lassen sich in dem Menüpunkt in CheckScan sowie
im Menüpunkt in CheckAud einsehen.
Abbildung 355 - Aufruf der Log-Dateien

Mit jedem Start von CheckScan und CheckAud wird eine Logdatei erstellt. Die aktuelle Logdatei
lässt sich über die Schaltfläche einsehen. Um ältere Logdateien
Kapitel VIII - Technischer Support 289
einzusehen, steht die Schaltfläche zu Verfügung. Es wird über den Link

ein Windows Explorer-Fenster geöffnet.
Die Logdateien für CheckScan werden unter folgenden Namen gespeichert:

casc_DATUM_UHRZEIT.log
Verbindungsprobleme (z.B. Berechtigungsproblemen des SAP-Benutzers) von CheckScan mit dem

SAP-System werden unter folgenden Namen gespeichert:
dev_nco_rfc.log
Die Logdateien für CheckAud werden unter folgenden Namen gespeichert:

casa_DATUM_UHRZEIT.log
Die Logdateien für Automatisierung von CheckScan und CheckAud werden unter folgenden Namen
gespeichert:
casd_DATUM_UHRZEIT.log
Ggfl. ist es notwendig, diese Log-Dateien dem Support der IBS Schreiber auf Nachfrage zur
Verfügung zu stellen, um aufgetretene Probleme näher einzugrenzen.

CheckAud 2021.2 UserGuide de

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

CheckAud 2021.2 UserGuide de

Hochgeladen von

Copyright:

Verfügbare Formate

User Guide CheckAud® for SAP Systems 2021.

Ein Produkt der IBS Schreiber GmbH

Kapitel II CheckScan 2021.2 (Scanmodul) 9

Kapitel III CheckAud 2021.2 (Auswertungsmodul) 41

2.3.2 Ebene der Berechtigungsausw ertung (HANA DB) ......................................................................... 59

5.7 Anzeige der zuletzt exportierten Dateien ....................................................................................... 145

Kapitel IV Risikomanagement 149

Kapitel V Anpassung der Analyseprojekte 173

3.4.8.4 Aufbau einer Release-unabhängigen Abfrage (Technische Ansicht) ................................ 227

Kapitel VI Automatisierung 267

Kapitel VII Protokollierung der Datenverarbeitung 283

Heutige Anforderungen an die SAP-Systemsicherheit verlangen zusätzlich regelmäßige (präventive)

I-2 CheckAud 2021.2 als Bestandteil des Risikomanagements

Kapitel II - CheckScan 2021.2 (Scanmodul)

II CheckScan 2021.2 (Scanmodul)

Abbildung 1 - Benutzeroberfläche CheckScan

Abbildung 2 - Standard Tabellen-Set Auth

Tabelle Name der SAP-Tabelle, die beim Scan berücksichtig

Pseudonymisierte Spalten Spalten die in der Tabellenanzeige pseudonymisiert

Über die Schaltfläche können eigenerstellte Tabellen-Sets geladen oder gespeichert

Detaillierte Informationen zu den SAP-Tabellen / Tabellen-Sets sowie deren Verarbeitung im Sinne

II - 2.2 HANA DB Systeme

Abbildung 3 - Standard Tabellen-Set Auth

Schema Name des Datenbankschemas, in welchem sich die

Tabelle Name der HANA Datenbank-Tabelle, die beim Scan

Über die Schaltfläche können eigenerstellte Tabellen-Sets geladen oder gespeichert

Detaillierte Informationen zu den HANA Dantebank-Tabellen / Tabellen-Sets sowie deren

II - 2.3 Eigenes Tabellen-Set erstellen

Abbildung 4 - Bestim m te Spalten beim Auslesen berücksichtigen

Hinweis 2: Der im SAP-System angelegte RFC-Schnittstellenbenutzer (Scan-User) muss über die

Abbildung 5 - Spalten der Tabelle beim Auslesen ausblenden

Abbildung 6 - Spalten beim Auslesen anonym isieren/pseudonym isieren

Abbildung 7 - Spalten bei aktiver Anonym sierung/Pseudonym isierung beim

Abbildung 8 - Tabellen eines HANA DB System s auslesen

II - 2.4 Hinweis zu Feldern mit nicht unterstützten Datentypen

Abbildung 9 - Einstellungen des Scanm oduls

HANA DB Systeme hier werden Anmeldeinformationen für einen HANA Datenbank

II - 4 Informationen über CheckScan

II - 4.2 Nutzung des Scanmoduls ohne Lizenz

II - 5 Anlegen einer neuen Systemverbindung (ABAP)

Zur Erstellung einer neuen Systemverbindung wird folgender Dialog angezeigt:

Abbildung 10 - Eingabe der Verbindungsinform ationen zu einem SAP-System

Beschreibung beliebige Beschreibung zum anzulegenden Quellsystem

II - 5.1 Neue SAP System-Verbindungen über SNC anlegen

Abbildung 11 - Verbindung über SNC

II - 5.2 Hinzufügen weiterer Tabellen-Sets

Im Reiter können neben dem Pflicht-Tabellen-Set AUTH weitere Tabellen-Sets

Die nachfolgende Abbildung zeigt die zusätzliche Auswahl des Tabellen-Set

Abbildung 12 - Ausw ahl zusätzlicher Tabellen-Sets

Abbildung 13 - Scanm odul m it angelegter System verbindung

II - 5.3 Parameterwerte auslesen

Im Reiter finden sich neben Tabellen-Sets auch noch weitere Optionen zu

Abbildung 14 - Param eterw erte auslesen

II - 5.4 Vorschlagswerte für Org-Ebenen auslesen

Im Reiter finden sich neben Tabellen-Sets auch noch weitere Optionen zu

Abbildung 15 - Vorschlagsw erte für Org-Ebenen auslesen

Um die Vorschlagswerte für Organisations-Ebenen (z. B. für Buchungskreis BUKRS) in CheckAud

II - 5.5 Anonymisierte Nutzungsstatistik auslesen

Um die Nutzungsstatistik anonymisiert auszulesen, muss die entsprechende Option im Scanmodul

Abbildung 16 - Anonym isierte Nutzungsstatistik auslesen

Bei ausgelesener Nutzungsstatistik stehen im Auswertungsmodul in der Toolbox Tabellen

Abbildung 17 - Verfügbare Tabellen für Ausw ertungen der Nutzungsstatistik

II - 6 Anlegen einer neuen Systemverbindung (HANA DB)