Teil 3: SAP - Konfiguration der Berechtigungen

So gestalten Sie Ihr SAP-System sicher

Sie arbeiten mit SAP ECC 6.0? Sind Ihre SAP-Berechtigungen so konfiguriert, dass Ihr System sicher ist? Heute erfahren Sie, wie Sie Ihre SAP-Anwendungen durch ein Berechtigungskonzept absichern.

Die 4 Prozesse des adapativen Sicherheitskonzepts lauten:

  1. Predict / Identifizieren – Risikobasiertes Konzept für Benutzer- und Berechtigungsverwaltung.
  2. Prevent / Schützen – Systeme so gestalten, dass Sicherheitsverletzungen verhindert werden.
  3. Detect / Erkennen – Erkennen und priorisieren von Sicherheitsmängeln und -Vorfällen.
  4. Respond / Reagieren - Vorfälle untersuchen, Massnahmen planen und umsetzen.

Welche Sicherheitsrisiken bei Ihren Berechtigungen auftreten können (Predict), lesen Sie in Teil 2.

Der zweite adaptive Sicherheitsprozess beschreibt die Maßnahmen, die aufgrund der Kritikalität getroffen werden müssen.

Angemessene Rollen definieren

Das SAP Berechtigungskonzept muss so umgesetzt werden, dass der Zugang zu kritischen Aktivitäten durch einen angemessenen Benutzerzugriff (basierend auf Rollen und Verantwortlichkeiten) und angemessene SAP-Rollen (entsprechend der Rollendefinition) sichergestellt ist. Dabei sollen sowohl die Benutzer wie auch deren Rollen ohne Funktionstrennungskonflikte (Segregation-of-Duty-SoD) aufgesetzt werden. Falls SoD-Konflikte aufgrund der Organisationsgröße existieren, sollen entsprechende mildernde Maßnahmen definiert sein.

Diese Punkte sollten Sie dabei beachten:

  • Klar definierte Namenskonventionen im Berechtigungskonzept ermöglichen ein schnelles und transparentes Handling im gesamten Berechtigungsumfeld.
  • Das Thema SAP-Berechtigungen soll explizit in die SAP Entwicklungsrichtlinie aufgenommen sein (siehe „Top 20 Sicherheitsrisiken in ABAP Anwendungen“ auf bsi.bund.de für konkrete Beispiele).
  • Bringen Sie Ihr SAP-Berechtigungskonzept mit den IT-Sicherheitsvorschriften in Einklang.
  • Implementieren Sie eine Kennwort-Richtlinie. Spezifisch für SAP stehen folgende Sicherheitseinstellungen zur Verfügung, um starke Kennwörter zu erzwingen:
SicherheitsparameterVorschlagswert
login/min_password_lng8
login/min_password_letters 6
login/min_password_digits2
login/min_password_lowercase1
login/min_password_uppercase1
login/min_password_specials2
login/password_max_idle_productive30
login/password_max_idle_initial5
login/password_history_size12
login/password_expiration_time30
Diese Parameter können mit dem RSPARAM Report geprüft werden

 Nicht erlaubte Kennwörter

Nicht erlaubte Kennwörter können mit der Transaktion SM30 festgelegt werden. Darin können Character-Folgen definiert werden, die bei dem Erfassen eines Kennwortes automatisch geprüft und entsprechend abgelehnt werden. Dazu gehören einfach zu erratende Passwörter wie z.B. Wochentage / Monate oder Sequenzen, wie 123? oder ABC?.

Die verschiedenen Mandanten in SAP

SAP wird im Standard mit mehreren Mandanten ausgeliefert. Der Zugriff auf z.B. Auslieferungsmandant 000, Referenzmandant 001 und Early Watch Mandant 066 muss im Rahmen der Einführung eingeschränkt werden.

Die Standard Mandanten sind mit Standardanwendern und mit Standardkennwörtern versehen, z.B. SAP* (Profile: SAP_ALL), DDIC, TMSADM, SAPCPIC, EARLYWATCH. Diese Anwender dürfen in einem Produktivsystem nicht mehr genutzt werden. Ebenso sollten Sie die Standardkennwörter ändern (prüfen mit Report RSUSR003 über die Transaktion SE38). Das gleiche gilt natürlich auch für alle zugehörigen Systeme: Alle Netzwerkgeräte, Betriebssysteme und DBMS, die SAP-Systemdaten speichern, sollten frei von Standardkennwörtern sein.

Administratoren von anderen Rollen trennen

Administrative Berechtigungen, Profile und Rollen dürfen entsprechend der Berechtigungsplanung nur an administrative Benutzer vergeben werden. Achten Sie dabei auf eine ausreichende Rollentrennung innerhalb IT.

Organisatorisch ist eine Funktionstrennung zwischen Benutzer- und Rollenadministratoren notwendig. Der Benutzeradministrator (Vorlage: SAP_ADM_US) sollte Benutzerkennungen anlegen und verändern und Rollen zuordnen können. Das Anlegen oder Verändern von Rollen oder Profilen hingegen ist ausschließlich für Rollenadministratoren vorgesehen. (Vorlage SAP_ADM_AU).

Der „Administrator-Administrator“ (Profil S_A.SYSTEM), der die Benutzer- und Rollenadministratoren zuweist, sollte nach Möglichkeit eine getrennte Rolle sein. Falls diese Funktionstrennung organisatorisch nicht möglich ist, müssen Sie geeignete Kontrollen auf organisatorischer Ebene definieren, um zu vermeiden, dass die Administratoren unerwünschte Berechtigungsänderungen durchführen können.

Zugriffe auf Tabellen definieren

In SAP-Systemen können Sie direkt auf die Inhalte von Tabellen lesend oder verändernd zuzugreifen, z.B. über die Transaktionen SE16N Data Browser, SE80 Workbench, SE84 Repository Browser, SM30 Pflege Tabellensichten, SM31 Pflege Tabellen, SE11 Data Dictionary, SQVI Quick Viewer. Den Zugriff auf die oben genannten Transaktionen sollten Sie einschränken. Falls das nicht möglich / gewünscht ist, ist es unbedingt notwendig, die Berechtigungsobjekte S_TABU_DIS und S_TABU_CLI für die Zugriffskontrolle auf Tabellen einzusetzen (prüfen mit Report RSUSR003 über die Transaktion SE38). 

Die Premium-Inhalte sind Abonnenten vorbehalten. Bitte loggen Sie sich mit Ihren Zugangsdaten ein.

Wenn Sie kein Abonnent sind, können Sie sich kostenlos registrieren und folgende Services nutzen:

  • automatische Benachrichtigung bei neuen Artikeln
  • individualisierte Lese- und Informationsangebote
  • exklusiver Zugriff auf Premium-Inhalte wie Checklisten, Entscheidungshilfen, Whitepaper und Case Studies

Pflichtfelder sind mit einem Stern (*) markiert.

Anrede

Passwort vergessen?

Bitte die E-Mail-Adresse eingeben. Sie erhalten dann umgehend Anweisungen zum Zurücksetzen des Passworts zugesandt.

Erfahren Sie demnächst in Teil 4, wie Sie Sicherheitslücken erkennen, sowie Sicherheitsmängel und -vorfälle priorisieren.

Teil 1: Wie sicher sind Ihre Daten vor unberechtigtem Zugriff?
Teil 2: Welche Sicherheitsrisiken können bei Ihren Berechtigungen auftreten?
Teil 4: So erkennen Sie Sicherheitsmängel
Teil 5: So reagieren Sie richtig auf Sicherheitsmängel
Teil 6: FDA fordert Änderungsprotokolle für den US-Markt – So protokollieren Sie Änderungen in SAP
Teil 7: So konfigurieren Sie eine Aufgabentrennung

Sie möchten mit dem Autor Kontakt aufnehmen?
Schreiben Sie an: l.vandeurse@how2lifescience.com

Bildquelle: © Nmedia, Fotolia

Kommentare

Noch nicht bewertet

Es gibt noch keine Kommentare

Kommentar hinterlassen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Einverstanden