WS C2: Leistungs- und Verhaltenskontrolle mit SAP auf die Spur kommen - Referenten: Katharina Just-Hahn TBS NRW, Reinhard Bechmann TBS ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
WS C2: Leistungs- und Verhaltenskontrolle mit SAP auf die Spur kommen Referenten: Katharina Just-Hahn (TBS NRW), Reinhard Bechmann (TBS Berlin-Brandenburg)
Leistung und Verhalten Messen erlaubt?!
Fragen die wir behandeln werden:
• Leistung- und Verhaltenskontrolle wird/soll mit SAP
durchgeführt werden!
• Unzulässige Leistung- und Verhaltenskontrolle findet
statt und mittels SAP soll das aufgedeckt werden!
• Wie kann unzulässige Leistung- und Verhaltenskontrolle
mittels SAP verhindert werden?
Folie:
3
1. Leistung- und Verhaltenskontrolle wird/soll mit SAP durchgeführt werden!
Zeitdaten werden vielerorts erfasst
Folie:
5Die Beurteilung kann viele Themen betrachten
Folie:
6Welche Verkäufe hat Kollege Lambrecht?
Folie:
7Laut Hitliste ist Kollege Lambrecht Spitze!
Folie:
8•
Instandhaltung mit SAP PM
•gkffffffff
•
Folie:
9Workflow lässt nichts unbemerkt …
6: 12:
2:
4: 10:
7:
1:
13:
8: Kapazitätprüfen
11: Liefertermin
bestimmen
3:
5: Bestands-
prüfung d. Teile
14:
9: Komponenten
ermitteln
Folie:
102. Leistung- und Verhaltenskontrolle findet unzulässig statt und mittels SAP soll das aufgedeckt werden!
Daten verlassen das System …
Folie:
12Wer hat die unzulässige Transaktion benutzt?
Folie:
13„Gefahrenpotential“ und „Informanten“
Es wurde eine Auswertung erstellt, die wir nicht
zugelassen haben!
• Ad-hoc Query
• ABAP Query
• Exportiert
• Auswertung (Standard)
Folie:
14Wer macht was wann?
4.2.1.9.1 Security Audit Log
• Aus Datenschutzsicht ist zu empfehlen, Benutzer mit
weitreichenden, kritischen Berechtigungen einer Protokollierung
mit dem Security Audit Log zu unterwerfen. Da eingerichtete
Notfall-User mit umfassenden Berechtigungen ausgestattet sind, ist
es den rechtlichen Anforderungen entsprechend erforderlich, einen
Nachweis der ausgeführten Aktivitäten zu erbringen.
• Über die Transaktion SM19 kann instanzen-, mandanten- und
benutzerbezogen festgelegt werden, welche Ereignisse protokolliert
werden sollen. Auch die Protokollierung von Downloads kann
vorgenommen werden.
Folie:
(Datenschutzleitfaden S.94f) 15Protokolle nach Bedarf:
Die Reports "An-
/Abwesenheiten"
(rptabs20) und "flexible
Mitarbeiterdaten"
sollen in das Protokoll
aufgenommen werden.
In der Tabelle V_T599R
werden die Reports
angegeben welche
beobachtet werden sollen.
Folie:
16Wer hat den Report gestartet?
Nach dem Start werden alle Aufrufe der
beobachteten Reports angezeigt, dann kann
gezielt einer eingesehen werden.
Es ist möglich einen ABAP zur besseren
Lesbarkeit zu erstellen, max. 3 AT Kosten.
Als Berechtigung für den BR habe ich AIS Folie:
17
(SECR) verhandelt.Im Protokoll ist zu finden ....
Vor allem der Inhalt und der
Termin des Aufrufs.
Dieser Weg funktioniert nicht
sonderlich.
Dieser ist mehrere Seiten
lang. Siehe auch den
beigefügten *.rtf-File
Folie:
183. Wie kann unzulässige Leistung- und Verhaltenskontrolle mittels SAP verhindert werden?
Datenschutzhürden
Folie:
20Das Berechtigungskonzept
Folie:
21Wenn die Basis schon veränderbar ist …
Folie:
22Freigabe mit getrennten R/3-Systemen
System- Freigabe Produktion
entwicklung
Auftrag Freigabe Rechenzentrum
Prüfung (bDSB,
Systementwicklung Revision, Betrieb
Auftraggeber)
Programmierung Qualitätssicherung Nutzung
Testsystem Konsolidierungs- Produktions-
system system
Folie:
23Auswertungen Arbeitszeit
Folie:
24Zweckschärfung in den Anlagen 1
Endgültige Version
1.Version
Folie:
25Zweckschärfung in den Anlagen 2
Endgültige Version
1.Version
Folie:
26Welche Daten MÜSSEN exportiert werden?
Folie:
27Hierarchie der Zweckbeschreibung
• Daten
• Nutzung
• Auswertung
• Download/Export
• Gilt auch für die Verwendung der Daten im
Business Warehouse/BI
Folie:
28Anforderungen an das Berechtigungskonzept
• Arbeitsplatzbezogener Aufbau
• Minimale Berechtigungen
• Verfahren zur Administration
• 4-Augenprinzip
• Umgang mit SAP Standard Profilen/Benutzern
• Zeitliche Begrenzung privilegierter Benutzer
• Verantwortlichkeit der Fachabteilungen
• Festlegung der Verantwortlichen
Folie:
29
(Quelle: Datenschutzleitfaden)Prüfbarkeit sicherstellen!
• Keine SAP Standardprofile/-rollen enthalten,
insbesondere nicht SAP_ALL, S_A.SYSTEM
• verständliche Namenskonzepte haben
• Geregelte, reduzierte Basisberechtigungen
• Protokollierung besonders kritischer
Berechtigungen/privilegierter Benutzer
• Regelungen zu Download, XXL-Listviewer
• Ggf. Downloadprotokollierung mit Security log
• Beschränkung freier Programmierung u.a. mit
Query und Ad-hoc Query
• Notfallregelungen vorsehen Folie:
30
(Quelle: Datenschutzleitfaden)Komplettlösung für die Probleme der Welt?
Bei Standardanwendungen - wie SAP - hängen
viele Anforderungen von dem
Berechtigungskonzept ab, insbesondere:
• Zur Leistungs- und Verhaltenskontrolle
• Zum Datenschutz
• Zur Arbeitsgestaltung
• Zur Arbeitsorganisation
Folie:
31Gewusst wie!
Wenn die Segel getrimmt sind,
kann der Wind ruhig
schärfer werden.
Vielen Dank für die
Aufmerksamkeit!
Folie:
32Sie können auch lesen
