In SAP gibt es eine Vielzahl von Transaktionsarten, die den Nutzern ermöglichen, Geschäftsprozesse durchzuführen. Doch jede Transaktionsart birgt eigene Risiken in Bezug auf Datenschutz und Systemsicherheit.
Auf technischer Ebene unterscheidet man in SAP zwischen Professional User Transactions und Easy Web Transactions. Diese beiden Transaktionsarten sagen aber nicht darüber aus, was die Transaktionen können. Sie bilden lediglich den Zugangsweg ab. So sind Professional User Transactions die Standardtransaktionen. Sie werden direkt im SAP-System ausgeführt, also über das „normale“ SAP GUI aufgerufen. Eine Easy Web Transaction dagegen kann nur im SAP GUI für HTML, also im Webbrowser, ausgeführt werden kann. Dafür muss die Transaktionen mit einem sogenannten ITS-Service verknüpft sein.
Innerhalb dieser beiden Transaktionsarten können Sie Transaktionen aber auch nach Inhalt und Nutzung differenzieren. Und hier wird es auch aus Berechtigungssicht interessant, denn Hintergrundtransaktionen verlangen in der Regel eine andere Absicherung als zum Beispiel Standard-Dialogtransaktionen.
Dialogtransaktionen in SAP
Die meisten Transaktionen, die wir täglich berechtigen, sind Dialogtransaktionen. Dies sind Transaktionen, die den Benutzer in einen Dialog mit dem System bringen. Sie erfordern Benutzereingaben und sind interaktiv, d.h. sie erlauben es dem Benutzer, auf die vom System angezeigten Bildschirme zu reagieren und weitere Eingaben zu machen.
Dialogtransaktionen sind sehr flexibel. Sie können darüber auch komplexe Geschäftsprozesse abbilden. Gleichzeitig kann gerade diese Flexibilität zu einem Risiko werden. Aus Berechtigungssicht gilt es, erstens genau zu prüfen, wer die Berechtigungen braucht und Rollen entsprechend kleinteilig zu bauen, um Überberechtigungen zu vermeiden. Gleichzeitig müssen Dialogberechtigungen über die Ausprägung einzelner Berechtigungsobjekte eingeschränkt werden. So können Sie beispielweise aussteuern, auf welche Daten User zugreifen können oder ob sie nur lesenden, nicht aber bearbeitenden Zugriff erhalten. Diese Einschränkungen über Berechtigungsobjekte und ein sauberes Rollenkonzept sind zwar nicht spezifisch für Dialogtransaktionen, hier aber besonders wichtig, um absichtliche oder versehentliche Sicherheitsverstöße durch falsche Usereingaben zu vermeiden.
Batch-Input-Transaktionen in SAP
Bei dieser Art von Transaktion werden eine Reihe von Daten übernommen und automatisch in das System eingegeben, ohne dass der Benutzer in einen Dialog mit dem System gebracht wird. Batch-Input-Transaktionen können nützlich sein, um Massendaten schnell in das System zu laden, aber sie erfordern, dass die Daten zuvor in das richtige Format gebracht werden. Ein Beispiel für eine Batch-Input-Transaktion ist SM35 zum Ausführen von Batch-Input-Sessions.
Batch-Input-Transaktionen ermöglichen es dem Benutzer, große Mengen von Daten automatisch in das System zu importieren. Damit geht immer ein deutlich erhöhtes Sicherheitsrisiko einher. Batch-Input-Transaktionen sollten deshalb sehr sparsam berechtigt werden.
Hintergrundtransaktionen in SAP
Diese Art von Transaktion wird im Hintergrund ausgeführt, ohne dass der Benutzer darüber informiert wird. Geschäftsprozesse können so automatisch im Hintergrund ausgeführt werden, ohne dass ein User aktiv am System interagieren muss. Das verringert das Sicherheitsrisiko theoretisch.
Gleichzeitig werden Hintergrundtransaktionen in der Regel genutzt, um direkt Einfluss auf das System zu nehmen. Sie können zum Beispiel verwendet werden, um periodische oder geplante Aktivitäten wie die Datensicherung oder die Batch-Verarbeitung durchzuführen.
Hintergrund-Transaktionen werden sehr häufig an technische User vergeben, die entsprechend keine Dialoguser sind. Doch für die Wartung der Hintergrundprozesse müssen auch Dialoguser über Berechtigungen für Hintergrund-Transaktionen verfügen. Hier sind gute Sicherheitsrichtlinien besonders wichtig, um zu gewährleisten, dass wirklich nur User mit entsprechenden Aufgaben und Kompetenzen (bspw. Basis-Mitarbeiter) berechtigt werden.
Report-Transaktionen in SAP
Report-Transaktionen ermöglichen es dem Benutzer, Berichte über Geschäftsprozesse zu erstellen und auszuführen. Ein Beispiel hierfür ist die Transaktion SE38 zum Erstellen von ABAP-Reports. Da es hierbei um Berichte geht, die möglicherweise sensible Daten enthalten können, ist das Risiko einer unbeabsichtigten oder böswilligen Aktion höher.
Wie bei Dialogtransaktionen gilt deshalb auch hier: Ein gutes (und gut umgesetztes) Rollenkonzept und ggf. die Einschränkung auf einzelne Aktionen und nur bestimmte Daten minimieren berechtigungsseitig das Risiko.
Parameter-Transaktionen in SAP
Parameter-Transaktionen sind im Prinzip eingeschränkte Dialog-Transaktionen. Sie erfordern weniger Benutzereingaben, weil sie bereits mit vorgegebenen Parametern gestartet werden, die dem System übergeben werden. Parametertransaktionen erfordern normalerweise keine Eingaben vom Benutzer. Sie führen – basierend auf den übergebenen Parametern – eine spezifische Aktion aus und zeigen direkt das Ergebnis an. Parametertransaktionen sind daher in der Regel schneller als Dialogtransaktionen, da sie keine Zeit für Benutzereingaben erfordern.
Mehr Informationen finden Sie im Artikel zur Anlage und Berechtigung von Parameter-Transaktionen.
Z-Transaktionen
Z-Transaktionen sind streng genommen keine eigene Transaktionsart. Wir bezeichnen damit kundeneigene Transaktionen. Wenn der SAP-Standard an seine Grenzen stößt, können Entwickler eigene Transaktionen bauen, die exakt die Anforderungen des Kunden erfüllen. Das können sowohl Dialog-, als auch Parameter-, Hintergrund-, Batch-Input- oder Report-Transaktionen sein. Berechtigungsseitig werden sie genauso abgesichert wie SAP-Standard-Transaktionen.
Varianten-Transaktion
Varianten-Transaktionen sind Parameter-Transaktionen sehr ähnlich. Auch hier wird die Transaktion schon beim Aufruf vom System mit vorgegebenen Werten befüllt. Die Unterschiede zur Parameter-Transaktion liegen aber im Detail:
- Parameter-Transaktionen beziehen sich immer nur auf den Einstiegsbildschirm. Varianten-Transaktionen können mehrere Bildschirme mit Varianten vorbelegen. Gleichzeitig können bestimmte Bilder bei einer Varianten-Transaktion so unterdrückt werden, dass sie nie angezeigt werden. Bei einer Parameter-Transaktion kann nur der Einstiegsbildschirm unterdrückt werden und das auch nur beim direkten Aufruf der Transaktion.
- Varianten-Transaktionen können mandantenabhängig mit unterschiedlichen Varianten belegt werden.
Wenn Varianten-Transaktionen gut konzipiert und umgesetzt sind, bieten sie ein viel geringeres Sicherheitsrisiko als etwa offene Dialog-Transaktionen. Allerdings werden sie seltener eingesetzt, weil sie aufwendig sind.