Bundesamt für Sicherheit in der Informationstechnik

M 4.259 Sicherer Einsatz der ABAP-Stack Benutzerverwaltung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der sichere Einsatz der ABAP -Stack Benutzerverwaltung ist Voraussetzung für die Systemsicherheit, da damit bestimmt wird, wer prinzipiell Zugriff auf ein SAP System hat. Folgende Aspekte sind beim Einsatz der Benutzerverwaltung mindestens zu bedenken. Je nach Einsatzszenario müssen auch weitere Themen berücksichtigt werden, die durch die spezifischen Anforderungen im Unternehmen oder der Behörde bestimmt werden. Dabei sind auch Anforderungen zu beachten, die sich aus rechtlichen Bestimmungen ergeben.

Hinweise auf SAP Dokumente zur Benutzerverwaltung in SAP Systemen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Namenskonvention für Benutzer

Benutzernamen müssen eindeutig sein. Daher ist eine Namenskonvention festzulegen, die dies auch dann garantiert, wenn Personen den gleichen Namen besitzen. In der Regel bestehen im Unternehmen oder der Behörde schon eindeutige Identifikationen für Mitarbeiter, etwa in Form der Personalnummer, die dazu benutzt werden können.

Es ist sinnvoll, Klassen von Benutzern zu bilden (z. B. Interne, Externe, Partner, technische Benutzer) und diese Klassen auch in den Benutzernamen zu kodieren.

Eindeutige Benutzerzuordnung

Durch das Benutzerverwaltungskonzept ist sicherzustellen, dass derselbe Benutzernamen in unterschiedlichen Systemen immer dieselbe Person bezeichnet.

Es ist durch geeignete organisatorische Maßnahmen auszuschließen, dass ein Benutzerkonto durch mehrere Personen genutzt wird (Account-Sharing).

Einrichten eines Notfalladministrators

Für Notfälle sollte ein SAP Konto eingerichtet werden, dass für die Notfalladministration verwendet wird. Es empfiehlt sich, dieses mit einer normalen Bezeichnung zu versehen, damit keine gezielten Angriffe auf dieses Benutzerkonto provoziert werden. Das Konto SAP* darf nicht zur Administration oder Notfalladministration verwendet werden.

Der Notfalladministrator ist in der Regel mit weitreichenden Berechtigungen ausgestattet und ist daher mit einem sicheren Passwort zu versehen. Im Rahmen der Notfallplanung sind Prozeduren zu definieren, wie das Konto zu benutzen ist (siehe M 2.341 Planung des SAP Einsatzes und M 6.97 Notfallvorsorge für SAP Systeme ). Das Passwort des Notfalladministrators sollte an einem sicheren Ort (z. B. Safe) aufbewahrt werden. Der Zugriff auf das Passwort sollte im 4-Augen Prinzip erfolgen.

Absichern der Standardbenutzer

In einem SAP System sind mehrere Standardbenutzer verfügbar, die abgesichert werden müssen. Betroffen sind die Benutzer:

  • SAP*
  • DDIC
  • EARLYWATCH
  • SAPCPIC
  • TMSADM
  • SAPSYS
  • WF-BATCH (wird erst durch das automatische Workflow-Customizing erstellt)

Zur Absicherung gehören folgende Aktionen:

  • Ändern des Passwortes (siehe auch unten)
  • Deaktivieren der Benutzerkennung
  • Die Benutzerkennungen sollten nur für kurze Zeit aktiviert werden, um bestimmte Aktivitäten (z. B. System-Update) durchzuführen. Für das geregelte Vorgehen, sind entsprechende Prozesse notwendig. Diese müssen sicherstellen, dass die Benutzerkennungen nach Abschluss der Arbeiten wieder deaktiviert werden.
  • Zuordnung der Benutzer zur Gruppe SUPER.

Nachdem Benutzerkennungen deaktiviert wurden, kann es zu Funktionseinbußen kommen. Ob eine zeitweise oder doch dauerhafte Aktivierung notwendig ist, hängt vom Verwendungszweck des Systems ab und muss im Einzelfall entschieden werden. Das zusätzliche Risiko durch einen aktivierten Standardbenutzer mit unter Umständen bekanntem Standardpasswort ist dabei zu berücksichtigen.

Das Löschen der Benutzer SAP* und DDIC wird nicht empfohlen, da diese automatisch z. B. beim Anlegen eines neuen Mandaten neu erzeugt werden. Für den Benutzer SAP* kann dieses Verhalten durch den Profilparameter "logon/no_automatic_user_sapstar" beeinflusst werden. Es wird empfohlen, den Parameter zu aktivieren.

Bevor der Benutzer SAP* deaktiviert wird, muss ein alternatives Benutzerkonto für die Notfalladministration erfolgreich eingerichtet sein.

Bei der Installation neuer Komponenten können zusätzliche Standardbenutzer angelegt werden. Diese sind dann nach der Installation entsprechend abzusichern.

Hinweise auf SAP Dokumentationen zum Umgang mit Standardbenutzern in SAP Systemen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Ändern von Standardpasswörtern

Die Standardbenutzer (siehe oben) sind mit Standardpasswörtern ausgestattet. Diese sind zu ändern, um zu verhindern, dass die Benutzerkennungen unbefugt genutzt werden.

Nach der Passwortänderung kann es jedoch dazu kommen, dass Systemfunktionen nicht mehr oder nicht mehr korrekt ausgeführt werden können. Dies ist beispielsweise für die Benutzer TMSADM (siehe auch SAP Hinweis 139854) und SAPCPIC der Fall. Wird die betroffene Systemfunktion häufig genutzt, so muss der Standardbenutzer unter Umständen mit dem Standardpasswort betrieben werden. Dies ist im Rahmen der Risikobewertung zu berücksichtigen.

Für die Benutzer SAP* und DDIC ist zu berücksichtigen, dass diese z. B. beim Erzeugen neuer Mandanten automatisch neu angelegt werden, falls diese Benutzerkennungen gelöscht wurden. Dabei werden die neuen Benutzerkennungen mit den Standardpasswörtern ausgestattet.

Der Report RSUSR003 kann über die Transaktion SE38 dazu genutzt werden, um in allen Mandanten eine Prüfung auf die Existenz, den Sperrstatus und auf Standardpasswörter für die Benutzer SAP*, DDIC, SAPCPIC und EARLYWATCH durchzuführen.

Verwaltungsverfahren

Bei der Benutzerverwaltung ist zu berücksichtigen, welches Verwaltungsverfahren eingesetzt wird. Wird die zentrale Benutzerverwaltung eingesetzt, so sollten Benutzerkennungen nicht lokal angelegt werden.

Die geplanten Prozesse und Verfahren (siehe M 2.341 Planung des SAP Einsatzes ) für die dezentrale oder zentrale Benutzerverwaltung müssen umgesetzt und eingehalten werden. Die Prozesse sollten dabei auch Regelungen zur Behandlung von Ausnahmen enthalten.

Folgende Aspekte sind für das eingesetzte Verwaltungsverfahren zu berücksichtigen:

  • Für die Basis-Administration muss ein spezielles Rollenkonzept entwickelt werden.
  • Im Rahmen der Planung des Verwaltungskonzeptes müssen Prozessbeschreibungen zum Änderungsmanagement von Rollen und Berechtigungen erstellt werden. Dabei ist zu berücksichtigen:
    • Die jeweiligen Verantwortlichen für die Geschäftsprozesse müssen in den Zustimmungsprozess für Rollenänderungen und Rollenzuordnungen einbezogen werden.
    • Mit dem Werkzeug "SAP GRC Access Control" oder mit Werkzeugen anderer Hersteller können Geschäftsprozessrisiken analysiert werden, die möglicherweise dadurch entstehen, dass Rollen verändert werden oder dass Benutzern neue Rollen zugeordnet werden.

Prüffragen:

  • Sind für Benutzernamen im SAP System Namenskonventionen festgelegt, die eindeutige Benutzer-Zuordnungen garantieren?

  • Wird im SAP System ein SAP Konto eingerichtet, das für die Notfalladministration verwendet wird?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK