{"id":44797,"date":"2018-07-12T08:00:15","date_gmt":"2018-07-12T06:00:15","guid":{"rendered":"http:\/\/e3mag.com\/?p=44797"},"modified":"2020-02-09T20:02:05","modified_gmt":"2020-02-09T19:02:05","slug":"hana-gesetzeskonforme-protokollierung","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/hana-gesetzeskonforme-protokollierung\/","title":{"rendered":"Hana \u2013 gesetzeskonforme Protokollierung"},"content":{"rendered":"

Was die gesetzeskonforme Protokollierung und Aufbewahrung von Protokollen betrifft, k\u00f6nnen SAP-Kunden im Abap-Stack beruhigt sein. Durch die automatisch erzeugten \u00c4nderungsbelege wird dort bereits ein Gro\u00dfteil der aufbewahrungspflichtigen Protokolle erzeugt.<\/p>\n

Aktiviert man dann noch die Tabellenprotokollierung f\u00fcr das Customizing, verbunden mit einem Archivierungskonzept f\u00fcr die Protokolle, kann man sich entspannt zur\u00fccklehnen. Aufbewahrungsfristen, wie z. B. die des \u00a7257 HGB, k\u00f6nnen dadurch gewahrt werden.<\/p>

\"\"<\/a><\/div><\/div>\n

In der Hana-Datenbank stellt sich dies anders dar. Wie bei Datenbanken \u00fcblich erfolgt standardm\u00e4\u00dfig keine Protokollierung (einzige Ausnahme ist die Versionierung innerhalb der Entwicklungsumgebung). Da Hana nicht als reine Datenbank betrieben wird, sondern Teile der Applikationsschicht \u00fcbernimmt, ist eine Protokollierung hier unerl\u00e4sslich. Vor der produktiven Nutzung einer Hana-Datenbank ist ein Protokollierungskonzept zu erstellen und technisch umzusetzen.<\/p>\n

Im ersten Schritt ist festzulegen, wohin die Protokolle geschrieben werden sollen. Neben der M\u00f6glichkeit, sie in eine Hana-Tabelle zu schreiben (Sys.Audit_Log), kann auch das SysLog des Unix-Servers genutzt werden.<\/p>\n

Letzteres bietet den Vorteil, dass dadurch eine Funktionstrennung zwischen Protokollkonfiguration und Auswertung\/Aufbewahrung implementiert werden kann. Insbesondere bietet sich hier der Einsatz eines zentralen SysLog-Servers an, an den die Protokolle weitergeleitet und von wo aus sie archiviert werden.<\/p>\n

Im n\u00e4chsten Schritt ist zu definieren, was protokolliert werden soll. Zur Wahrung gesetzlicher Auflagen sollten dies mindestens sein: eine Benutzerverwaltung (Anlegen\/\u00c4ndern\/L\u00f6schen von Benutzern und Benutzergruppen), eine Berechtigungsvergabe (Zuordnung\/Entzug von Rollen und Privileges), \u00c4nderungen an der Konfiguration der Verschl\u00fcsselungen (persistente Daten, Root-Keys, Redo-Logs), eine Systemkonfiguration (\u00c4nderungen an Systemparametern), eine Konfiguration von Schnittstellen, \u00c4nderungen an Schemata und an Zertifikaten (Anlegen, \u00c4ndern, L\u00f6schen).<\/p>\n

Wird auf der Hana-Datenbank ein SAP ERP bzw. S\/4 Hana betrieben, kann es au\u00dferdem sinnvoll sein, jegliche Zugriffe auf deren Daten zu protokollieren, die nicht \u00fcber den Besitzer (SAP<sid>) erfolgen.<\/p>\n

In Hana k\u00f6nnen neben den \u00e4ndernden Zugriffen auch lesende Zugriffe auf die Daten protokolliert werden. Dies ist insbesondere bei datenschutzrechtlich sensiblen Daten sinnvoll (z. B. Mitarbeiterdaten) sowie bei unternehmenskritischen Daten (Konditionen, Produktionsdaten).<\/p>\n

Technisch umgesetzt wird die Protokollierung mit dem Hana AuditLog. Hier k\u00f6nnen verschiedene Policies definiert werden, denen jeweils Protokoll\u00adaktionen zugeordnet werden. Diese sind anhand der Vorgaben einzurichten.<\/p>\n

Dabei ist zu bedenken, dass nicht nur Produktivsysteme der Protokollpflicht unterliegen, sondern teilweise auch die Entwicklungssysteme. Ist das AuditLog gem\u00e4\u00df den Vorgaben eingerichtet, sollte die Berechtigung zur \u00c4nderung der Konfiguration (System Privilege Audit Admin) m\u00f6glichst nur noch nach dem Vieraugenprinzip eingesetzt werden.<\/p>\n

Werden die Protokolle in der Hana-DB gespeichert, so ist ebenfalls die Berechtigung zum L\u00f6schen der Protokolle (System Privilege Audit Operator) nicht zu vergeben.<\/p>\n

Au\u00dferdem ist das Hana AuditLog in das unternehmensspezifische Gesamtkonzept f\u00fcr die Protokollierung zu integrieren, in dem Themen wie Konfigurationsvorgaben, Verantwortlichkeiten, Auswertezyklen und Aufbewahrungszeitr\u00e4ume geregelt sind.<\/p>\n

Dazu geh\u00f6ren gesetzliche Vorgaben und unternehmensspezifische Anforderungen f\u00fcr die Protokollierung, Aufbewahrungsfristen f\u00fcr die verschiedenen Protokolle, Archivierungskonzepte f\u00fcr die Protokolle, Vorgaben und Verantwortlichkeiten f\u00fcr die regelm\u00e4\u00dfige Auswertung sowie Dokumentationspflichten f\u00fcr die Auswertung und Eskalationsstufen bei Feststellungen.<\/p>\n

Der Betrieb von Hana-Datenbanken stellt somit neue Herausforderungen bez\u00fcglich der Aufbewahrungspflichten dar. Im Gegensatz zum Abap-Stack ist hier die Unternehmung gefragt, die Protokollierung gem\u00e4\u00df gesetzlichen und internen Richtlinien einzurichten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Der Einsatz einer Hana-Datenbank erfordert eine gesetzeskonforme Konfiguration der Protokollkomponenten. Doch wie l\u00e4sst sich ein Konzept dazu vor der produktiven Nutzung erstellen und technisch umsetzen?<\/p>\n","protected":false},"author":148,"featured_media":15608,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,22863],"tags":[453,11309,5179,19701,236,138,127],"coauthors":[22429],"class_list":["post-44797","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag-1806","tag-abap","tag-customizing","tag-hana-datenbank","tag-s-4-hana","tag-sap","tag-sap-erp","tag-unix","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Der Einsatz einer Hana-Datenbank erfordert eine gesetzeskonforme Konfiguration der Protokollkomponenten. Doch wie l\u00e4sst sich ein Konzept dazu vor der produktiven Nutzung erstellen und technisch umsetzen?<\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 18-06<\/a>","author_info_v2":{"name":"Thomas Tiede, IBS","url":"https:\/\/e3mag.com\/de\/author\/thomas-tiede\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/44797","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/148"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=44797"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/44797\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/15608"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=44797"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=44797"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=44797"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=44797"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}