Tabellenänderungsprotokolle (Table Change Logs) und Änderungsbelege (Change Documents) sind zwei fundamental verschiedene Protokollierungsarten in SAP.
Tabellenänderungsprotokolle in der DBTABLOG-Tabelle protokollieren hingegen direkte Änderungen an Customizing-Tabellen wie Buchungskreiseinstellungen (T001) oder Mandanteneinstellungen (T000).
Änderungsbelege in den Tabellen CDHDR und CDPOS verfolgen geschäftsobjekt-spezifische Änderungen an Stamm- und Bewegungsdaten. Beispiele sind Änderungen an Lieferantenstammdaten (Tabelle LFA1) oder Materialstammdaten (Tabelle MARA). Diese werden automatisch durch die SAP-Anwendungslogik erstellt.
Diese Protokolle dokumentieren präzise: welcher Benutzer zu welchem Zeitpunkt welche Änderungen an Stamm- und Bewegungsdaten vorgenommen hat. Für Revisoren und Compliance-Verantwortliche sind diese Protokolle unverzichtbar zur Nachvollziehbarkeit von Systemkonfigurationen und zur Erfüllung regulatorischer Anforderungen wie DSGVO, GoBD und SOX.
Ein wesentliches Risiko beim Löschen von Änderungsbelegen besteht im Verlust der Nachvollziehbarkeit von Änderungen an Stamm- und Bewegungsdaten. Diese Protokolle dienen dazu, im Detail zu dokumentieren, wer was wann geändert hat. Werden sie gelöscht, ist es im Nachhinein nicht mehr möglich, die Historie einer Datenänderung zu rekonstruieren.
Das Löschen von Änderungsbelegen kann gravierende Folgen im Hinblick auf die Einhaltung gesetzlicher und regulatorischer Anforderungen haben. Zahlreiche Vorschriften schreiben vor, dass Änderungen an relevanten Systemdaten vollständig, nachvollziehbar und revisionssicher dokumentiert sein müssen.
Ein Beispiel ist die Datenschutz-Grundverordnung (DSGVO), die u.a. verlangt, dass Zugriffe und Änderungen an personenbezogenen Daten protokolliert werden, um die Rechenschaftspflicht des Unternehmers sicherzustellen.
Auch die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern) schreiben vor, dass steuerlich relevante Datenänderungen nachvollziehbar und unveränderbar dokumentiert sein müssen. Werden Änderungsbelege ohne einen klar dokumentierten und genehmigten Prozess gelöscht, kann dies als Verstoß gegen diese Vorschriften gewertet werden. In solchen Fällen drohen nicht nur Reputationsschäden, sondern auch rechtliche Konsequenzen, wie Bußgelder oder das Aberkennen der Ordnungsmäßigkeit der Buchführung.
Besonders problematisch wird es, wenn ein Unternehmen bei einer Prüfung nicht mehr belegen kann, wann und von wem bestimmte kritische Änderungen vorgenommen wurden. Ohne die entsprechenden Belege fehlt der gesetzlich geforderte Nachweis der Sorgfalt und Kontrolle.
Ein besonderes hohes Risiko besteht im Missbrauch durch Benutzer mit weitreichenden Berechtigungen, insbesondere solchen, die das Recht haben, Änderungsbelege zu löschen. Diese privilegierten Benutzer, oft Administratoren, Entwickler oder Systemverantwortliche, verfügen über tiefgehende Kenntnisse der Systemstruktur und können gezielt Änderungen vornehmen, ohne dabei sofort aufzufallen.
Wird einem solchen Benutzer das Recht eingeräumt, Änderungsbelege zu löschen, eröffnet sich die Möglichkeit, nachträglich Spuren von unautorisierten Änderungen oder Manipulationen zu verwischen. Beispielsweise könnte jemand vertrauliche Daten verändern oder sicherheitsrelevante Einstellungen manipulieren und anschließend die Belege dieser Änderungen entfernen, wodurch ein potenzieller Verstoß unentdeckt bleib. Ein solcher Missbrauch ist besonders kritisch, weil er sich nachträglich kaum noch nachweisen lässt, sobald die Belege gelöscht wurden.
Auch Monitoring- und Kontrollmechanismen greifen in diesem Fall oft zu spät oder gar nicht, da die eigentliche Spur, die Änderungsbelege, bewusst entfernt wurden. Daher ist diese Löschberechtigung strikt zu kontrollieren und mit einem nachgelagerten Kontrollmechanismus (Vier-Augen-Prinzip oder Firefighter Protokollierung) zu kombinieren.
Die Berechtigung zum Löschen von Änderungsbelegen sollte nicht im Produktivsystem vergeben werden. Wenn nötig, dann nur temporär, nur an technisch notwendige Benutzer und mit dokumentierter Genehmigung und Vorgang.
Löschaktionen sollten am besten gar nicht erfolgen. Sollte es dennoch notwendig werden, dann ausschließlich über Firefighter-Benutzer, deren Aktivitäten lückenlos protokolliert und nachträglich geprüft werden.
Die Berechtigung zum Löschen von Änderungsbelegen ist höchst sensibel und darf nicht (leichtfertig) vergeben werden. Sie kann im schlimmsten Fall die Integrität, Nachvollziehbarkeit und Rechtssicherheit des gesamten Systems gefährden.
Unternehmen sollten durch restriktive Berechtigungsvergabe, technische Überwachung und organisatorische Maßnahmen sicherstellen, dass diese Funktion, wenn unbedingt notwendig, nur in Ausnahmefällen und unter strenger Kontrolle genutzt wird.