Post on 30-Apr-2020
WS C2:
Leistungs- und Verhaltenskontrolle mit
SAP auf die Spur kommen
Referenten: Katharina Just-Hahn (TBS NRW),Reinhard Bechmann (TBS Berlin-Brandenburg)
Leistung und Verhalten
Messen erlaubt?!
Folie: 3
Fragen die wir behandeln werden:
• Leistung- und Verhaltenskontrolle wird/soll mit SAP durchgeführt werden!
• Unzulässige Leistung- und Verhaltenskontrolle findet
statt und mittels SAP soll das aufgedeckt werden!
• Wie kann unzulässige Leistung- und Verhaltenskontrolle mittels SAP verhindert werden?
1. Leistung- und Verhaltenskontrolle
wird/soll mit SAP durchgeführt werden!
Folie: 5
Zeitdaten werden vielerorts erfasst
Folie: 6
Die Beurteilung kann viele Themen betrachten
Folie: 7
Welche Verkäufe hat Kollege Lambrecht?
Folie: 8
Laut Hitliste ist Kollege Lambrecht Spitze!
Folie: 9
•
•gkffffffff
•
Instandhaltung mit SAP PM
Folie: 10
Workflow lässt nichts unbemerkt …
4:
3:
1:
2:
8: Kapazitätprüfen
11: Lieferterminbestimmen
9: Komponentenermitteln
5: Bestands-prüfung d. Teile
6:
7:
10:
12:
13:
14:
2. Leistung- und Verhaltenskontrolle
findet unzulässig statt und mittels SAP soll das aufgedeckt werden!
Folie: 12
Daten verlassen das System …
Folie: 13
Wer hat die unzulässige Transaktion benutzt?
Folie: 14
„Gefahrenpotential“ und „Informanten“
Es wurde eine Auswertung erstellt, die wir nicht zugelassen haben!
• Ad-hoc Query
• ABAP Query
• Exportiert
• Auswertung (Standard)
Folie: 15
Wer macht was wann?
4.2.1.9.1 Security Audit Log
• Aus Datenschutzsicht ist zu empfehlen, Benutzer mit weitreichenden, kritischen Berechtigungen einer Pro tokollierung mit dem Security Audit Log zu unterwerfen. Da einger ichtete Notfall-User mit umfassenden Berechtigungen ausgest attet sind, ist es den rechtlichen Anforderungen entsprechend erfor derlich, einen Nachweis der ausgeführten Aktivitäten zu erbringen.
• Über die Transaktion SM19 kann instanzen-, mandante n- und benutzerbezogen festgelegt werden, welche Ereigniss e protokolliert werden sollen. Auch die Protokollierung von Downloa ds kann vorgenommen werden.
(Datenschutzleitfaden S.94f)
Folie: 16
In der Tabelle V_T599Rwerden die Reports angegeben welchebeobachtet werden sollen.
Die Reports "An-/Abwesenheiten" (rptabs20) und "flexible Mitarbeiterdaten"sollen in das Protokoll aufgenommen werden.
Protokolle nach Bedarf:
Folie: 17
Nach dem Start werden alle Aufrufe derbeobachteten Reports angezeigt, dann kanngezielt einer eingesehen werden.
Es ist möglich einen ABAP zur besserenLesbarkeit zu erstellen, max. 3 AT Kosten.
Als Berechtigung für den BR habe ich AIS (SECR) verhandelt.
Wer hat den Report gestartet?
Folie: 18
Im Protokoll ist zu finden ....Vor allem der Inhalt und der Termin des Aufrufs.
Dieser Weg funktioniert nicht sonderlich.
Dieser ist mehrere Seiten lang. Siehe auch den beigefügten *.rtf-File
3. Wie kann unzulässige Leistung- und Verhaltenskontrolle mittels SAP verhindert werden?
Folie: 20
Datenschutzhürden
Folie: 21
Das Berechtigungskonzept
Folie: 22
Wenn die Basis schon veränderbar ist …
Folie: 23
Freigabe mit getrennten R/3-Systemen
Produktion
Rechenzentrum
Betrieb
Nutzung
Produktions-system
System-entwicklung
Auftrag
Systementwicklung
Programmierung
Testsystem
Freigabe
FreigabePrüfung (bDSB,
Revision,Auftraggeber)
Qualitätssicherung
Konsolidierungs-system
Folie: 24
Auswertungen Arbeitszeit
Folie: 25
Zweckschärfung in den Anlagen 1
1.Version
Endgültige Version
Folie: 26
Zweckschärfung in den Anlagen 2
1.Version
Endgültige Version
Folie: 27
Welche Daten MÜSSEN exportiert werden?
Folie: 28
Hierarchie der Zweckbeschreibung
• Daten
• Nutzung
• Auswertung
• Download/Export
• Gilt auch für die Verwendung der Daten im Business Warehouse/BI
Folie: 29
Anforderungen an das Berechtigungskonzept
• Arbeitsplatzbezogener Aufbau
• Minimale Berechtigungen
• Verfahren zur Administration
• 4-Augenprinzip
• Umgang mit SAP Standard Profilen/Benutzern
• Zeitliche Begrenzung privilegierter Benutzer
• Verantwortlichkeit der Fachabteilungen
• Festlegung der Verantwortlichen
(Quelle: Datenschutzleitfaden)
Folie: 30
Prüfbarkeit sicherstellen!
• Keine SAP Standardprofile/-rollen enthalten, insbesondere nicht SAP_ALL, S_A.SYSTEM
• verständliche Namenskonzepte haben
• Geregelte, reduzierte Basisberechtigungen
• Protokollierung besonders kritischer Berechtigungen/privilegierter Benutzer
• Regelungen zu Download, XXL-Listviewer
• Ggf. Downloadprotokollierung mit Security log
• Beschränkung freier Programmierung u.a. mit Query und Ad-hoc Query
• Notfallregelungen vorsehen(Quelle: Datenschutzleitfaden)
Folie: 31
Komplettlösung für die Probleme der Welt?
Bei Standardanwendungen - wie SAP - hängen viele Anforderungen von dem Berechtigungskonzept ab, insbesondere:
• Zur Leistungs- und Verhaltenskontrolle
• Zum Datenschutz
• Zur Arbeitsgestaltung
• Zur Arbeitsorganisation
Folie: 32
Gewusst wie!Wenn die Segel getrimmt sind,
kann der Wind ruhig schärfer werden.
Vielen Dank für die Aufmerksamkeit!