„Sind die kritischen SAP Berechtigungen identifiziert, so empfiehlt es sich, diese Liste im SAP System zu pflegen. Dann kann automatisiert geprüft werden, welchen Benutzern kritische SAP Berechtigungen zugeordnet wurden. Die Pflege der Liste kritischer SAP Berechtigungen erfolgt über die Transaktion SU96. Über den Report „RSUSR009“ lassen sich die Benutzer anzeigen, die eine der kritischen SAP Berechtigungen besitzen.
Auch bestimmte Kombinationen von unkritischen SAP Berechtigungen können kritisch sein, da sie beispielsweise in der Kombination ermöglichen, dass eine oder mehrere als kritisch eingestufte Transaktionen aufgerufen werden können. Ein SAP System bietet hier die Möglichkeit an, automatisiert nach Benutzern zu suchen, die die Berechtigungen besitzen, bestimmte Kombinationen von Transaktionen aufzurufen. Dazu ist über die Transaktion SU98 (Pflege der Tabelle SUKRI) eine Liste der kritischen Kombinationen zu pflegen. Über den Report „RSUSR008″ lassen sich dann die Benutzer identifizieren, die die kritischen SAP Berechtigungskombinationen besitzen.
In neueren SAP Systemen (ab Version 6.20) sollte der Report RSUSR008_009_new genutzt werden, der die Funktionen der Reports RSUSR008 und RSUSR009 ersetzt.“
Markus Hammele (Diplom Ökonom) 