Das Schlusslicht der Serie „Aktivitäten von Superusern“ bildet die vierte Serie: „Advanced SAP Analytics“ von Dialognutzern, die unter Umständen für Batch-Inputs missbraucht werden können. Wie Sie diesen Umstand mit Hilfe von Excel, einer Pivot Tabelle und einem PivotChart analysieren und darstellen können, zeige ich Ihnen in diesem Blog Artikel.
Teil 4 der Serie: „Aktivitäten von SAP Superusern“
1. SAP Systeme offen wie Scheunentore
2. Analyse des Risikos von Nutzern mit SAP Administrationsrechten
3. Do it yourself: So gehen Sie Nutzern mit SAP Administrationsrechten auf den Grund
4. Advanced Analytics: was Sie über Nutzer mit SAP Administrationsrechten noch wissen wollten – aber nie getraut haben zu fragen
Was ist eigentlich ein Dialognutzer?
Beim Anlegen neuer SAP Nutzer hat der SAP Administrator die Auswahl zwischen vier verschiedenen Benutzertypen. Diese haben alle unterschiedliche Eigenschaften, die in der folgenden Tabelle zusammengefasst sind:
| Eigenschaft | Dialog | Kommunikation | System | Service |
| GUI Anmeldung | Ja | Nein | Nein | Ja |
| RFC Anmeldung | Ja | Ja | Ja | Ja |
| Erzwingung der Kennwortänderung | Ja | Ja | Nein | Nein |
| Kennwortablauf | Ja | Ja | Nein | Nein |
| Anmeldeticket kann erzeugt werden | Ja | Ja | Nein | Nein |
(Quelle: RZ10, Tobias Harmes, 16.März 2012)
In zapliance wird der Benutzertyp „Dialog“ und „Service“ als Dialognutzer definiert. Alle anderen Benutzertypen werden in zapliance als „kein Dialognutzer“ deklariert. Damit hätten wir immer noch nicht geklärt, was genau ein Dialognutzer ist. Grundsätzlich sind Dialognutzer diejenigen, die sich über die SAP GUI am SAP System anmelden können. In Verbindung mit z.B. SAP_ALL bewegen Sie sich auf Ihrer gewohnten SAP Oberfläche und haben die Möglichkeit alles im System einzusehen. Auch Informationen, die z.B. nicht für Sie und Ihre Tätigkeit im Unternehmen bestimmt sind.
Die Problematik mit den SAP Batch-Input Mappen
Mit der Hilfe von SAP Batch-Input Mappen können regelmäßige und wiederkehrende Aufgaben automatisiert oder einmalige Imports von Daten aus z.B. externen Altsystemen durchgeführt werden. Diese sollten in regelmäßigen Abständen geprüft werden, um sicherzustellen, dass sie z.B. nicht verändert wurden und nach wie vor die Aufgabe erfüllen, für die sie angedacht waren. Hinzu kommt, dass ein Dialognutzer mit SAP_ALL die Möglichkeit hat neue Batch-Input Mappen zu erstellen, die zunächst nicht erkannt werden, weil sie nicht über einen Standardprozess angelegt wurden. Wurde an dieser Stelle bewusst versucht das Interne Kontrollsystem (IKS) zu umgehen? Ein IKS muss für Batch-Input Mappen stets funktionieren, um Missbrauch zu vermeiden.
Wie die Auswertung mit Excel funktioniert
Um einen Verdacht für die Verwendung eines Dialognutzers für die Ausführung von Batch-Input Mappen zu verstärken, bedienen wir uns erneut einer Pivot Tabelle. Hierfür habe ich die Vorlage um zwei weitere Spalten angepasst. Die Kalenderwoche ( mit „=KALENDERWOCHE(Q2;21)“ ) und den Wochentag ( mit „=TEXT(Q2; „TTTT“)“ ). Damit können Sie gleich zwei Auswertungen machen. Für einen ersten Überblick eignet sich eher die Kalenderwoche. Vermuten Sie auf den ersten Blick bereits gewisse Muster? Dann erstellen Sie für die jeweiligen USER ein Pivot Chart. Ich habe mir wieder den USER_10 aus dem letzten Blog Beitrag genommen. Das Ergebnis sieht dann folgendermaßen aus:
Mit wenigen Ausnahmen wurden nahezu in jeder Woche des Jahres Buchungen durchgeführt. Daher untersuchen wir den USER_10 noch einmal genauer und gucken uns die Wochentage der Ausführung an.
Wie sie sehen können, wurden die Buchungen an unterschiedlichen Tagen durchgeführt. Dieser Umstand lässt per se noch keinen Rückschluss auf die Verwendung regelmäßiger SAP Batch-Inputs zu, da man an dieser Stelle gleichbleibende Tage vermuten würde. Aufgrund der hohen Anzahl von ca. 357 Buchungen je Wochentag über das Jahr verteilt ist eine Prüfung des USER_10 allerdings sinnvoll und empfehlenswert. Falls Sie die Analyse auch durchführen möchten, habe ich die Vorlage der letzten Serie angepasst, sodass sie die Vorlage lediglich mit Ihren Daten füllen müssen, um die Analyse aus diesem und dem letzten Blog Beitrag ausführen zu können. Sie finden die Vorlage hier:
