Bundesamt für Sicherheit in der Informationstechnik

M 4.261 Sicherer Umgang mit kritischen SAP Berechtigungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Berechtigungen, die im Sinne der Sicherheit oder aus rechtlicher oder betriebswirtschaftlicher Sicht kritische Operationen erlauben, werden von SAP "kritische Berechtigung" genannt. Betroffen sind z. B. Operationen, die zu Betrug führen können oder über die wichtige Daten und Konfigurationen gelesen oder modifiziert werden können.

Die Vergabe von kritischen SAP Berechtigungen muss generell mit besonderer Sorgfalt erfolgen. Der Umgang mit kritischen SAP Berechtigungen ist daher im Vorfeld zu planen. Organisatorische und technische Maßnahmen sowie Prozesse müssen dann sicherstellen, dass das gewünschte Sicherheitsniveau umgesetzt wird. Im Folgenden wird bewusst keine Liste mit kritischen SAP Berechtigungen angegeben, da diese immer unvollständig wäre und damit Administratoren in falscher Sicherheit wiegt. In der Regel wird dann darauf verzichtet, die Liste zu prüfen und zu erweitern. Die Identifikation kritischer SAP Berechtigungen für den konkreten Einsatz eines SAP Systems ist jedoch ein wichtiger Schritt, der auf jeden Fall durchgeführt werden muss.

Kritische SAP Berechtigungen, Profile, Rollen identifizieren

Kritische SAP Berechtigungen hängen aufgrund des SAP Berechtigungskonzeptes auch von den Feldern und Feldwerten von Berechtigungsobjekten ab. Dies gilt insbesondere für Berechtigungen, die in Applikationen oder Modulen zum Einsatz kommen und damit aus betriebswirtschaftlicher Sicht als kritisch zu betrachten sind. Es wird daher empfohlen, kritische Felder in Berechtigungsobjekten zu identifizieren, um so die betroffenen Berechtigungsobjekte zu identifizieren. Nur so kann überhaupt eine spätere Prüfung erfolgen, und nur bei Kenntnis der Berechtigungsobjekte kann die Prüfung automatisiert werden. Beispiele für kritische Felder in Berechtigungsobjekten sind Felder für Kosten-Center, Buchungskreis, Profit-Center oder Werk.

Kritische SAP Berechtigungen sind auch alle Berechtigungen, die im Rahmen der SAP System-Administration verwendet werden. Dies sind alle Berechtigungen die von Berechtigungsobjekten abgeleitet sind und mit dem Präfix "S_" beginnen.

Neben Berechtigungen lassen sich auch kritische Profile und Rollen identifizieren, die bereits im Auslieferungszustand enthalten sind. Alle Profile, die auf "_ALL" enden, sind als kritisch anzusehen, da damit in der Regel alle Berechtigungen erteilt werden, die für einen Teilbereich im System, einer Applikation oder eines Moduls relevant sind. Alle Rollen, die die Zeichenkette "ADM" enthalten, sind als kritisch anzusehen, da diese in der Regel administrative Rollen bezeichnen.

Bei der Identifikation kritischer SAP Berechtigungen, Profile und Rollen ist zu bedenken, dass SAP für Namen zwar ein Konzept vorschlägt, dies aber durch Applikationen oder eigene Entwicklungen nicht immer berücksichtigt wird. Daher können auch kritische Berechtigungen, Profile und Rollen bestehen, die nicht in das vorgenannte Namensschema passen.

Manuell ist die Identifikation kritischer SAP Berechtigungen insgesamt schwierig. Es sind jedoch von SAP und Drittherstellern Werkzeuge verfügbar, die automatisiert auf kritische Berechtigungen prüfen können. Dabei sind die kritischen SAP Berechtigungen in der Regel durch den Hersteller der Prüfsoftware vordefiniert.

Hinweise auf SAP Dokumentationen zu Berechtigungsprüfungen finden sich in M 2.346 Nutzung der SAP Dokumentation . Bei der Identifikation kritischer Berechtigungen ist entsprechendes Wissen über die zugrunde liegenden Berechtigungsprüfungen notwendig.

Anpassen kritischer SAP Berechtigungen, Profile, Rollen

Sind die kritischen SAP Berechtigungen, Profile und Rollen identifiziert, so sollten diese gemäß der Berechtigungsplanung angepasst werden. Insbesondere bei der Anpassung von Profilen und Rollen zur Systemverwaltung müssen die damit verbundenen Effekte für Systemfunktionen berücksichtigt werden. Nach der Anpassung ist daher zu prüfen, ob das gewünschte Systemverhalten erreicht wurde oder ob es zu Fehlfunktionen kommt. Dieser Anpassungsprozess kann bei stärkeren Veränderungen an den vorgegeben Berechtigungen, Profilen oder Rollen aufwendig und zeitintensiv sein und sollte nicht im Produktivsystem durchgeführt werden.

Verwendung kritischer SAP Systemberechtigungen einschränken

Im Rahmen der Berechtigungsplanung müssen die Regeln für den Umgang mit kritischen SAP Berechtigungen, Profilen und Rollen festgelegt werden. Folgende Empfehlungen sind dabei zu berücksichtigen:

  • Die Profile SAP_ALL, SAP_NEW* und S_DEVELOP* dürfen in einem Produktivsystem nicht genutzt werden.
  • Administrative Berechtigungen, Profile und Rollen dürfen entsprechend der Berechtigungsplanung (siehe M 2.342 Planung von SAP Berechtigungen ) nur an administrative Benutzer vergeben werden. Auf ausreichende Rollentrennung ist dabei zu achten.

Hinweise auf weitere Informationen dazu finden sich in, M 2.346 Nutzung der SAP Dokumentation .

Liste mit kritischen SAP Berechtigungen pflegen

Sind die kritischen SAP Berechtigungen identifiziert, so empfiehlt es sich, diese Liste im SAP System zu pflegen. Dann kann automatisiert geprüft werden, welchen Benutzern kritische SAP Berechtigungen zugeordnet wurden. Die Pflege der Liste kritischer SAP Berechtigungen erfolgt über die Transaktion SU96. Über den Report "RSUSR009" lassen sich die Benutzer anzeigen, die eine der kritischen SAP Berechtigungen besitzen.

Auch bestimmte Kombinationen von unkritischen SAP Berechtigungen können kritisch sein, da sie beispielsweise in der Kombination ermöglichen, dass eine oder mehrere als kritisch eingestufte Transaktionen aufgerufen werden können. Ein SAP System bietet hier die Möglichkeit an, automatisiert nach Benutzern zu suchen, die die Berechtigungen besitzen, bestimmte Kombinationen von Transaktionen aufzurufen. Dazu ist über die Transaktion SU98 (Pflege der Tabelle SUKRI) eine Liste der kritischen Kombinationen zu pflegen. Über den Report "RSUSR008" lassen sich dann die Benutzer identifizieren, die die kritischen SAP Berechtigungskombinationen besitzen.

In neueren SAP Systemen (ab Version 6.20) sollte der Report RSUSR008_009_new genutzt werden, der die Funktionen der Reports RSUSR008 und RSUSR009 ersetzt.

Die im Auslieferungszustand eines SAP Systems enthaltenen Listen für die kritischen SAP Berechtigungen und Transaktionskombinationen sind nur als Beispiel anzusehen und sollten nicht für die Überprüfungen genutzt werden. Die Listen müssen selbst aufgebaut und gepflegt werden. Diese können beispielsweise auch bei Sarbanes Oxley Act bezogenen Prüfungen begutachtet werden.

In diesem Kontext bietet SAP für die NetWeaver Plattform mit dem SAP GRC Access Control kostenpflichtig ein entsprechendes Zusatz-Prüfwerkzeug an, so dass entsprechende Risiken automatisiert erkannt werden können. Prüfwerkzeuge sind auch von Drittherstellern erhältlich.

Prüffragen:

  • Sind die kritischen SAP Berechtigungen, Profile und Rollen identifiziert und gemäß der Berechtigungsplanung angepasst?

  • Werden Tabellen mit kritischen SAP Berechtigungen und kritischen Kombinationen von Transaktionen im SAP System gepflegt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK