Wie man es verhindert, über direkte Zugriffe auf die SAP HCM-Datenbank sensible Daten anzuzeigen.
Mit Hilfe des neuen Generic Table Browsers (GTB) wurde ein lange bestehendes Problem behoben.
Es gibt verschiedene Wege, HCM-Daten im SAP-System anzuzeigen und zu analysieren. Angesichts der immensen Bedeutung der Daten, die aufgrund der DSGVO zusätzliche Anforderungen an Vertraulichkeit und Integrität stellen, steht dieses Thema für viele Unternehmen ganz oben auf der Prioritätenliste. Die unerlässliche Notwendigkeit, die Vertraulichkeit und Integrität dieser Daten zu gewährleisten, hat die Kritikalität dieses Aspekts deutlich verstärkt.
Eine „sichere“ Methode, um dies zu erreichen, besteht sicherlich in der Verwendung von PA-Transaktionen wie z.B. PA20, die durch entsprechende Berechtigungen abgesichert sind und den Zugriff auf dedizierte Personaldaten einschränken können. Eine wesentliche Voraussetzung dafür ist jedoch die einwandfreie Umsetzung und Implementierung eines umfassenden Berechtigungskonzepts im HCM-Umfeld.
Die Erfahrung zeigt jedoch, dass dieses Szenario nicht immer belastbar existiert und häufig der direkte Weg über die SAP-Datenbank gewählt wird, wenn es zum Beispiel darum geht, „schnell mal was nachzuschauen“. In der Regel wird dieses Vorgehen vor allem von Basis-Administratoren, Entwicklern oder den HR-Sachbearbeitern präferiert. Bisher wurden solche Zugriffe über die Berechtigungen auf Tabellenebene via S_TABU_DIS, S_TABU_NAM und S_TABU_CLI geregelt. Hier wird jedoch nach dem „Alles oder Nichts“-Prinzip verfahren.
Aber dürfen diese Personen auch wirklich alle persönlichen Daten uneingeschränkt sehen?
Ein Beispiel:
Die HCM-Tabelle PA0008 für Basisbezüge enthält die Gehaltsdaten jedes Mitarbeiters im Unternehmen. Diese gespeicherten Daten sind von zentraler Bedeutung für regelmäßige Analysen im Zusammenhang mit den monatlichen Gehaltszahlungen und werden daher häufig abgerufen. Allerdings sollte der Zugriff auf diese Daten auf die berechtigten Personengruppen beschränkt sein. Durch den direkten Datenbankzugriff sind jedoch alle Daten bis auf die oberste Führungsebene vollständig einsehbar, was eine potenzielle Sicherheitslücke darstellt.
Die Lösung für dieses Problem stellt die SAP nun durch den „Generic Table Browser (GTB)“ zur Verfügung.
Hier ein paar Fakten:
- Tabellenzugriffsberechtigungen können zeilen- bzw. spaltenweise erteilt werden.
- Bisherige Transaktionen, z.B. SE16N werden erweitert und als neue Transaktionen (SE16N à S416N) ausgeliefert.
- Zugriff wird über ein neues Berechtigungsobjekt S_GTB_CUS gesteuert.
- Verfügbar mit den Softwarekomponenten SAP_APPL Version ECC 616 und SAP_FIN Version ECC 617.
- Nach Implementierung des SAP-Hinweis 2124497 auch in Softwarekomponente SAP_ABA verfügbar.
- Details sind im SAP-Hinweis 2140828 – GTB: Dokumentation der ‚generischen Tabellenanzeigefunktionen‘ zu finden.
Anwendungsbeispiel der generischen Tabellenanzeigefunktion:
Aufbau der Zugriffsberechtigungen
Über die Transaktion S416_ROLE wird eine GTB-Rolle erzeugt, welche die Zugriffe innerhalb der gewünschten Tabelle auf Zeilen- und Spaltenebene definiert.
In diesem Beispiel sind die Werte der Felder BET01 bis BET04 gänzlich aus der Anzeige ausgeschlossen. (Definition von Spalten OHNE Berechtigung).
In der Sektion Definition zulässiger Werte ist die Anzeige der Mitarbeiter auf Personalnummernebene (Feld PERNR) auf den Bereich 1000 bis 2000 beschränkt.
Diese GTB-Rolle wird über das Berechtigungsobjekt S_GTB_CUS in eine Berechtigungsrolle via Transaktion PFCG eingebunden und abschließend dem SAP-Benutzer zugewiesen.
Wichtig: Der Benutzer benötigt weiterhin auch die generelle Tabellenberechtigung via S_TABU_DIS oder S_TABU_NAM.
Anzeige der Daten via Transaktion S416N
Der SAP-Benutzer mit der GTB-Rolle, welcher nur die Tabelle PA0008 aufruft, erhält nur noch die Werte angezeigt, für die er berechtigt ist.
Wichtig: Voraussetzung ist die Verwendung einer der GTB-Transaktionen, hier z.B. S416N. Aus diesem Grund ist es ebenso essenziell, die „alten“ Tabellenzugriffsberechtigungen aufzuräumen und aus den Benutzerrollen zu entfernen. Konkret bedeutet das, alle SE16* Transaktionen aus dem Objekt S_TCODE durch das Pendant der neuen GTB-Generation zu ersetzen.
In unserem Beispiel werden Personalnummern zwischen 1000 und 2000 angezeigt, jedoch sind die ersten 4 Betragsfelder nicht sichtbar.
Personalnummern außerhalb des berechtigten Wertebereiches PERNR 1000 bis 2000 werden analog ebenfalls nicht angezeigt.
Die Einführung der neuen Funktion des Generic Table Browsers eröffnet völlig neue, flexible Möglichkeiten zur Sicherung des Zugriffs auf sensible Daten. Dies ist besonders bedeutsam im Bereich des SAP Human Capital Management (HCM), wo der Schutz personenbezogener Daten von höchster Bedeutung ist. Dank des Generic Table Browsers können Unternehmen nun sicherstellen, dass nur autorisierte Benutzer Zugriff auf sensible SAP HCM-Daten haben, was zu einer verbesserten Datenschutzpraxis und einem gesteigerten Sicherheitsniveau führt.
Wir stehen hier gerne als Ihr Partner zur Ausarbeitung passender Berechtigungskonzepte und Umsetzung der auf Ihre Bedürfnisse abgestimmten Lösungen für Sie zur Verfügung. Sprechen Sie uns an!