Industriezweige wie die pharmazeutische Industrie oder die Lebensmittelindustrie müssen in den letzten Jahrzehnten zunehmend strenge Auflagen hinsichtlich der Dokumentation und Genehmigung von Prozessen erfüllen (siehe u.a. die mittlerweile international gültigen GMP-Richtlinien -
Good Manufacturing Practices
- der amerikanischen Gesundheitsbehörde FDA).
Mit dem zunehmenden Einsatz elektronischer Datenverarbeitung in Unternehmen ist zudem die Notwendigkeit entstanden, digitale Daten durch zuverlässige Sicherheitsmechanismen zu schützen. Sie schlägt sich u.a. in Gesetzen wie dem
21 CFR Part 11. Electronic Records; Electronic Signatures
der FDA (Food and Drug Administration) sowie dem deutschen
Gesetz zur digitalen Signatur
(Artikel 3 des
Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste
) nieder.
Das SAP-System stellt Ihnen daher mit der digitalen Signatur ein Werkzeug zum Signieren und Genehmigen digitaler Daten bereit. Die digitale Signatur stellt sicher, daß der Unterzeichner eines digitalen Dokuments eindeutig identifiziert und sein Name zusammen mit dem signierten Dokument, Datum und Uhrzeit dokumentiert wird. Sie können die digitale Signatur einsetzen, um Dokumente bzw. Objekte folgenden Typs zu genehmigen:
Bereich |
Signaturobjekttyp |
---|---|
Änderungsdienst (ECH) |
Statusänderungen von Änderungsaufträgen |
|
Statusänderungen von Objektverwaltungssätzen |
Dokumentenverwaltung (DVS) |
Dokumentenverwaltung: Statusänderung |
Produktionsplanung Prozeßindustrie (PP-PI) |
Herstellanweisung: Prozeßschritt abschließen |
|
Herstellanweisung: Annahme unzulässiger Eingabewerte |
|
Chargenprotokoll: Genehmigung |
|
Standard-XSteps |
Qualitätsmanagement (QM) |
Prüflos: Ergebniserfassung |
|
Prüflos: Verwendungsentscheid |
|
Probenahme |
Meldungen (z. B. CA, QM, PM) |
Meldung |
Instandhaltungsabwicklung (PM-WOC-MO) |
Instandhaltungsauftrag: Arbeitsvorgang abzeichnen |
Auditmanagement |
Audit Vorbeugungsmaßnahme/Korrekturmaßnahme |
Anders als in der Dokumentenverwaltung wird im Änderungsdienst jede Statusänderung als eigener Objekttyp behandelt.
Siehe auch:
Überwachung und Protokollierung von Signaturprozessen
Digitale Signatur im Änderungsdienst (ECH)
Digitale Signatur in der Dokumentenverwaltung (DVS)
Digitale Signatur im Chargenprotokoll (PP-PI)
Digitale Signatur im Qualitätsmanagement (QM)
Standard-XSteps: Genehmigungsverfahren
Digitale Signatur in der Instandhaltungsabwicklung (PM-WOC-MO)
Die digitale Signatur ist im SAP-System mit Hilfe der Basis-Komponente
Secure Store and Forward (SSF) realisiert. Wenn Sie als Signaturmethode die Benutzersignatur nutzen (s.u. unter
Funktionsumfang
), benötigen Sie ein externes Sicherheitsprodukt, das mittels SSF an Ihr SAP-System angebunden ist.
Die persönliche Sicherheitsumgebung (PSE) der Benutzer sollte nicht im Dateisystem abgelegt werden, sondern z.B. auf einer Smartcard. Die Software-PSE erfüllt nicht die behördlichen Anforderungen an eine digitale Signatur.
Damit Sie mit der digitalen Signatur arbeiten können, müssen im Rahmen des SAP-Systems folgende Voraussetzungen erfüllt sein:
Sie haben die digitale Signatur für den jeweiligen Objekttyp aktiviert (Ausnahme Chargenprotokoll). Informationen hierzu finden Sie in der Dokumentation der betroffenen Anwendung (s.o. unter
Siehe auch:
).
Sie haben die Einstellungen zur Systemzeitzone vorgenommen (siehe Customizing, Abschnitt
Allgemeine
Einstellungen
→
Zeitzone
)
Diese Einstellungen sind notwendig, damit die Signaturzeit gemäß der systemweit geltenden globalen Zeit ermittelt und in das signierte Dokument übernommen werden kann.
Sie haben die Einstellungen zur digitalen Signatur vorgenommen (siehe Customizing der Basis, Abschnitt
Systemadministration
→
Digitale Signatur
, sowie Customizing des jeweiligen Objekttyps).
Hierbei stellen Sie u.a. auch die Zeitzone der Benutzer ein, anhand derer die lokale Signaturzeit des Unterzeichners ermittelt und in das signierte Dokument übernommen wird.
Sie haben den betroffenen Benutzern die zum Signieren erforderlichen Berechtigungen gegeben (siehe Customizing des jeweiligen Signaturobjekts). Diese umfassen,
die entsprechende Berechtigung für das zu signierende Objekt
wenn Sie mit Signaturstrategien arbeiten (s.u. unter
Funktionsumfang
), zusätzlich die Berechtigung für die entsprechende Einzelsignatur bzw. Berechtigungsgruppe (Berechtigungsobjekt C_SIGN_BGR
Berechtigungsgruppe für digitale Signatur
)
Über System -> Benutzervorgaben -> Eigene Daten kann jeder Benutzer seine Adreßdaten und Festwerte pflegen. Hierzu gehören Name und Zeitzone sowie die SSF-Einstellungen zum Benutzer. Wenn Sie mit der digitalen Signatur arbeiten, sollten Sie die Berechtigung zum Pflegen der eigenen Daten daher auf keinen Fall an alle Benutzer vergeben.
Die digitale Signatur beruht auf der Public-Key-Verschlüsselung. Jeder Unterzeichner erhält ein einzigartiges Schlüsselpaar aus einem privaten und einem dazugehörigen öffentlichen Schlüssel. Diese Daten sind in seiner persönliche Sicherheitsumgebung (PSE) abgelegt, z.B. auf einer Smartcard oder in einem geschützten Verzeichnis, auf das nur er Zugriff hat. Der Unterzeichner erstellt seine digitale Signatur mit seinem privaten Schlüssel.
Das SAP-System unterscheidet folgende Signaturmethoden:
Systemsignatur mit Autorisierung durch Benutzer-ID und Kennwort
Hierbei benötigen Sie kein externes Sicherheitsprodukt. Der Benutzer identifiziert sich, wie bei der Systemanmeldung, mit seiner Benutzer-ID und seinem Kennwort. Daraufhin leistet das SAP-System die digitale Signatur, wobei Name und ID des Benutzers Teil des signierten Dokuments sind.
digitale Benutzersignatur mit Verifizierung
Hierbei benötigen Sie ein externes Sicherheitsprodukt. Der Benutzer selbst leistet die digitale Signatur unter Verwendung seines eigenen privaten Schlüssels, wobei die geleistete Signatur automatisch sofort auf Echtheit geprüft wird.
digitale Benutzersignatur ohne Verifizierung
Wenn Sie ein externes Sicherheitsprodukt nutzen, können Sie diese Signaturmethode für Testzwecke verwenden, jedoch nicht im produktiven Betrieb. Der Benutzer leistet seine Signatur wie bei der vorausgehenden Methode beschrieben; die automatische Verifizierung ist jedoch ausgeschaltet.
Welche dieser Signaturmethoden Sie einsetzen, entscheiden Sie im Customizing pro Signaturobjekttyp, d.h. für alle Einfachsignaturen zu Objekten des jeweiligen Typs, sowie pro Signaturstrategie.
Für die Ausführung des Signaturprozesses bietet das SAP-System eine Reihe von Funktionen, die bei den einzelnen Signaturobjekten je nach Anforderung eingesetzt werden. Im folgenden finden Sie eine kurze Beschreibung der verfügbaren Funktionen. Welche Funktion bei welchem Objekttyp verfügbar sind, können Sie der nachfolgenden Tabelle entnehmen.
Wenn Sie für ein Signaturobjekt die Einfachsignatur verwenden, so wird dieses Objekt durch die Signatur einer einzigen berechtigten Person signiert.
Einige Objekttypen bieten zusätzlich die Möglichkeit, beim Signieren eines Objekts, d.h. im Rahmen ein und desselben Signaturprozesses, mehrere Einzelsignaturen unterschiedlicher Benutzer- bzw. Berechtigungsgruppen zu fordern. Welche Einzelsignaturen erforderlich sind und in welcher Reihenfolge sie geleistet werden müssen definieren Sie im Customizing des jeweiligen Objekttyps in Form von Signaturstrategien. Es ist auch möglich, eine Signaturstrategie mit nur einem Unterzeichner zu definieren.
Jeder Benutzer, der zur Signatur berechtigt ist und das jeweilige Objekt noch nicht signiert hat, kann einen Signaturprozeß auch wieder abbrechen. Die bereits geleisteten Signaturen werden dann zurückgenommen und das Objekt erhält wieder den Status, den es vor Beginn des Signaturprozesses hatte.
Signaturstrategien können je nach Signaturobjekt synchron oder asynchron ausgeführt werden.
Ein synchroner Signaturprozeß muß, sobald er einmal begonnen wurde, ohne Unterbrechung zu Ende geführt werden. Erst nachdem die letzte erforderliche Signatur geleistet wurde, kann eine neue Funktion oder Transaktion aufgerufen werden. Wird der Signaturprozeß vor seinem Ende unterbrochen, so wird keine Signatur gespeichert. Auch die bereits geleisteten Signaturen müssen wiederholt werden.
Bei einem asynchronen Signaturprozeß leisten die Unterzeichner Ihre Signaturen unabhängig voneinander. Der Signaturprozeß kann nach jeder Signatur unterbrochen und zu einem beliebigen Zeitpunkt vom nächsten Unterzeichner fortgesetzt werden.
Im Dialogfenster, in dem Sie die Signatur leisten wird als Signaturgrund die Bezeichnung des jeweiligen Signaturobjekttyps angezeigt. Je nach Anwendung wird sie durch einen Zusatz erweitert, der das signierte Objekt näher beschreibt.
Der Signaturgrund mit anwendungsspezifischem Zusatz ist Teil des signierten Dokuments. Er wird in der Sprache in das Dokument übernommen, in der die Signatur geleistet wurde.
Je nach Signaturobjekttyp kann es sein, daß Unterzeichner und Anmeldebenutzer übereinstimmen müssen. Ist dies der Fall, so wird der Unterzeichner beim Leisten der Signatur vom System vorgegeben und kann nicht überschrieben werden. Ins signierte Dokument wird die Benutzer-ID des Unterzeichners sowie dessen vollständiger Name übernommen.
Beim Leisten einer digitalen Signatur ist es grundsätzlich möglich, einen Kommentar zu erfassen. Bei einigen Objekttypen ist der Kommentar jedoch zwingend vorgeschrieben. Die Signatur wird dann vom System erst angenommen, nachdem im Kommentarfeld ein Text erfaßt wurde. Der Kommentar ist in beiden Fällen Teil des signierten Dokuments.
Signatur objekttyp |
Einfach-signa-tur |
Signa-tur Strat-egie |
Syn-chroner Signa-tur-prozeß |
Asyn-chroner Signa-tur-prozeß |
Unter-zeich-ner änderbar |
Kom-mentar not-wendig |
Anwend.spez. Signa-tur-grund |
|
---|---|---|---|---|---|---|---|---|
Änderungsdienst |
nein |
ja |
nein |
ja |
nein |
nein |
ja |
|
Dokumentenverwaltung |
nein |
ja |
nein |
ja |
nein |
nein |
ja |
|
Produktionsplanung Prozeßindustrie |
|
|
|
|
|
|
|
|
|
Herstellanweisung: Prozeßschritt |
ja |
ja |
ja |
nur am Ende der Herst.anw. |
ja |
nein |
nein |
Herstellanweisung: Annahme unzulässiger Eingabewerte |
ja |
ja |
ja |
nein |
ja |
ja |
nein |
|
Chargenprotokoll: Genehmigung |
ja |
ja |
nein |
ja |
nein |
ja |
ja |
|
|
Standard-Xsteps |
ja |
ja |
nein |
ja |
ja |
ja |
ja |
Qualitätsmanagement |
ja |
ja |
ja |
ja |
ja |
ja |
ja |
|
Meldungen |
nein |
ja |
ja |
ja |
ja |
ja |
ja |
|
Instandhaltungs auftragsvorgang |
nein |
ja |
ja |
ja |
ja |
nein |
ja (Standard) |
|
Auditmanagement |
nein |
ja |
ja |
ja |
ja |
nein |
ja |