Hana – gesetzeskonforme Protokollierung

Was die gesetzeskonforme Protokollierung und Aufbewahrung von Protokollen betrifft, können SAP-Kunden im Abap-Stack beruhigt sein. Durch die automatisch erzeugten Änderungsbelege wird dort bereits ein Großteil der aufbewahrungspflichtigen Protokolle erzeugt.

Aktiviert man dann noch die Tabellenprotokollierung für das Customizing, verbunden mit einem Archivierungskonzept für die Protokolle, kann man sich entspannt zurücklehnen. Aufbewahrungsfristen, wie z. B. die des §257 HGB, können dadurch gewahrt werden.

In der Hana-Datenbank stellt sich dies anders dar. Wie bei Datenbanken üblich erfolgt standardmäßig keine Protokollierung (einzige Ausnahme ist die Versionierung innerhalb der Entwicklungsumgebung). Da Hana nicht als reine Datenbank betrieben wird, sondern Teile der Applikationsschicht übernimmt, ist eine Protokollierung hier unerlässlich. Vor der produktiven Nutzung einer Hana-Datenbank ist ein Protokollierungskonzept zu erstellen und technisch umzusetzen.

Im ersten Schritt ist festzulegen, wohin die Protokolle geschrieben werden sollen. Neben der Möglichkeit, sie in eine Hana-Tabelle zu schreiben (Sys.Audit_Log), kann auch das SysLog des Unix-Servers genutzt werden.

Letzteres bietet den Vorteil, dass dadurch eine Funktionstrennung zwischen Protokollkonfiguration und Auswertung/Aufbewahrung implementiert werden kann. Insbesondere bietet sich hier der Einsatz eines zentralen SysLog-Servers an, an den die Protokolle weitergeleitet und von wo aus sie archiviert werden.

Im nächsten Schritt ist zu definieren, was protokolliert werden soll. Zur Wahrung gesetzlicher Auflagen sollten dies mindestens sein: eine Benutzerverwaltung (Anlegen/Ändern/Löschen von Benutzern und Benutzergruppen), eine Berechtigungsvergabe (Zuordnung/Entzug von Rollen und Privileges), Änderungen an der Konfiguration der Verschlüsselungen (persistente Daten, Root-Keys, Redo-Logs), eine Systemkonfiguration (Änderungen an Systemparametern), eine Konfiguration von Schnittstellen, Änderungen an Schemata und an Zertifikaten (Anlegen, Ändern, Löschen).

Wird auf der Hana-Datenbank ein SAP ERP bzw. S/4 Hana betrieben, kann es außerdem sinnvoll sein, jegliche Zugriffe auf deren Daten zu protokollieren, die nicht über den Besitzer (SAP<sid>) erfolgen.

In Hana können neben den ändernden Zugriffen auch lesende Zugriffe auf die Daten protokolliert werden. Dies ist insbesondere bei datenschutzrechtlich sensiblen Daten sinnvoll (z. B. Mitarbeiterdaten) sowie bei unternehmenskritischen Daten (Konditionen, Produktionsdaten).

Technisch umgesetzt wird die Protokollierung mit dem Hana AuditLog. Hier können verschiedene Policies definiert werden, denen jeweils Protokoll­aktionen zugeordnet werden. Diese sind anhand der Vorgaben einzurichten.

Dabei ist zu bedenken, dass nicht nur Produktivsysteme der Protokollpflicht unterliegen, sondern teilweise auch die Entwicklungssysteme. Ist das AuditLog gemäß den Vorgaben eingerichtet, sollte die Berechtigung zur Änderung der Konfiguration (System Privilege Audit Admin) möglichst nur noch nach dem Vieraugenprinzip eingesetzt werden.

Werden die Protokolle in der Hana-DB gespeichert, so ist ebenfalls die Berechtigung zum Löschen der Protokolle (System Privilege Audit Operator) nicht zu vergeben.

Außerdem ist das Hana AuditLog in das unternehmensspezifische Gesamtkonzept für die Protokollierung zu integrieren, in dem Themen wie Konfigurationsvorgaben, Verantwortlichkeiten, Auswertezyklen und Aufbewahrungszeiträume geregelt sind.

Dazu gehören gesetzliche Vorgaben und unternehmensspezifische Anforderungen für die Protokollierung, Aufbewahrungsfristen für die verschiedenen Protokolle, Archivierungskonzepte für die Protokolle, Vorgaben und Verantwortlichkeiten für die regelmäßige Auswertung sowie Dokumentationspflichten für die Auswertung und Eskalationsstufen bei Feststellungen.

Der Betrieb von Hana-Datenbanken stellt somit neue Herausforderungen bezüglich der Aufbewahrungspflichten dar. Im Gegensatz zum Abap-Stack ist hier die Unternehmung gefragt, die Protokollierung gemäß gesetzlichen und internen Richtlinien einzurichten.