Information und Bildungsarbeit von und für die SAP-Community

Hana – gesetzeskonforme Protokollierung

Der Einsatz einer Hana-Datenbank erfordert eine gesetzeskonforme Konfiguration der Protokollkomponenten. Doch wie lässt sich ein Konzept dazu vor der produktiven Nutzung erstellen und technisch umsetzen?
Thomas Tiede, IBS
12. Juli 2018
It-Security
avatar

Was die gesetzeskonforme Protokollierung und Aufbewahrung von Protokollen betrifft, können SAP-Kunden im Abap-Stack beruhigt sein. Durch die automatisch erzeugten Änderungsbelege wird dort bereits ein Großteil der aufbewahrungspflichtigen Protokolle erzeugt.

Aktiviert man dann noch die Tabellenprotokollierung für das Customizing, verbunden mit einem Archivierungskonzept für die Protokolle, kann man sich entspannt zurücklehnen. Aufbewahrungsfristen, wie z. B. die des §257 HGB, können dadurch gewahrt werden.

In der Hana-Datenbank stellt sich dies anders dar. Wie bei Datenbanken üblich erfolgt standardmäßig keine Protokollierung (einzige Ausnahme ist die Versionierung innerhalb der Entwicklungsumgebung). Da Hana nicht als reine Datenbank betrieben wird, sondern Teile der Applikationsschicht übernimmt, ist eine Protokollierung hier unerlässlich. Vor der produktiven Nutzung einer Hana-Datenbank ist ein Protokollierungskonzept zu erstellen und technisch umzusetzen.

Im ersten Schritt ist festzulegen, wohin die Protokolle geschrieben werden sollen. Neben der Möglichkeit, sie in eine Hana-Tabelle zu schreiben (Sys.Audit_Log), kann auch das SysLog des Unix-Servers genutzt werden.

Letzteres bietet den Vorteil, dass dadurch eine Funktionstrennung zwischen Protokollkonfiguration und Auswertung/Aufbewahrung implementiert werden kann. Insbesondere bietet sich hier der Einsatz eines zentralen SysLog-Servers an, an den die Protokolle weitergeleitet und von wo aus sie archiviert werden.

Im nächsten Schritt ist zu definieren, was protokolliert werden soll. Zur Wahrung gesetzlicher Auflagen sollten dies mindestens sein: eine Benutzerverwaltung (Anlegen/Ändern/Löschen von Benutzern und Benutzergruppen), eine Berechtigungsvergabe (Zuordnung/Entzug von Rollen und Privileges), Änderungen an der Konfiguration der Verschlüsselungen (persistente Daten, Root-Keys, Redo-Logs), eine Systemkonfiguration (Änderungen an Systemparametern), eine Konfiguration von Schnittstellen, Änderungen an Schemata und an Zertifikaten (Anlegen, Ändern, Löschen).

Wird auf der Hana-Datenbank ein SAP ERP bzw. S/4 Hana betrieben, kann es außerdem sinnvoll sein, jegliche Zugriffe auf deren Daten zu protokollieren, die nicht über den Besitzer (SAP<sid>) erfolgen.

In Hana können neben den ändernden Zugriffen auch lesende Zugriffe auf die Daten protokolliert werden. Dies ist insbesondere bei datenschutzrechtlich sensiblen Daten sinnvoll (z. B. Mitarbeiterdaten) sowie bei unternehmenskritischen Daten (Konditionen, Produktionsdaten).

Technisch umgesetzt wird die Protokollierung mit dem Hana AuditLog. Hier können verschiedene Policies definiert werden, denen jeweils Protokoll­aktionen zugeordnet werden. Diese sind anhand der Vorgaben einzurichten.

Dabei ist zu bedenken, dass nicht nur Produktivsysteme der Protokollpflicht unterliegen, sondern teilweise auch die Entwicklungssysteme. Ist das AuditLog gemäß den Vorgaben eingerichtet, sollte die Berechtigung zur Änderung der Konfiguration (System Privilege Audit Admin) möglichst nur noch nach dem Vieraugenprinzip eingesetzt werden.

Werden die Protokolle in der Hana-DB gespeichert, so ist ebenfalls die Berechtigung zum Löschen der Protokolle (System Privilege Audit Operator) nicht zu vergeben.

Außerdem ist das Hana AuditLog in das unternehmensspezifische Gesamtkonzept für die Protokollierung zu integrieren, in dem Themen wie Konfigurationsvorgaben, Verantwortlichkeiten, Auswertezyklen und Aufbewahrungszeiträume geregelt sind.

Dazu gehören gesetzliche Vorgaben und unternehmensspezifische Anforderungen für die Protokollierung, Aufbewahrungsfristen für die verschiedenen Protokolle, Archivierungskonzepte für die Protokolle, Vorgaben und Verantwortlichkeiten für die regelmäßige Auswertung sowie Dokumentationspflichten für die Auswertung und Eskalationsstufen bei Feststellungen.

Der Betrieb von Hana-Datenbanken stellt somit neue Herausforderungen bezüglich der Aufbewahrungspflichten dar. Im Gegensatz zum Abap-Stack ist hier die Unternehmung gefragt, die Protokollierung gemäß gesetzlichen und internen Richtlinien einzurichten.

avatar
Thomas Tiede, IBS

Thomas Tiede ist Geschäftsführer von IBS Schreiber.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.