Bundesamt für Sicherheit in der Informationstechnik

M 4.262 Konfiguration zusätzlicher SAP Berechtigungsprüfungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein SAP System erlaubt es, die vorkonfigurierten Berechtigungsprüfungen (siehe dazu M 2.342 Planung von SAP Berechtigungen ) zu verändern. Berechtigungsprüfungen können deaktiviert werden. Es können auch zusätzliche Berechtigungsprüfungen erfolgen. Im Rahmen der Berechtigungsplanung ist diese Möglichkeit zu berücksichtigen. Generell ist bei Veränderungen an den Berechtigungsprüfungen Folgendes zu bedenken:

Deaktivieren von Berechtigungsprüfungen

Werden vorhandene Berechtigungsprüfungen deaktiviert, so kann dies die Sicherheit des SAP Systems gefährden, da damit Zugriffskontrollen abgeschaltet werden. Bevor Prüfungen deaktiviert werden, müssen die Auswirkungen auf die Sicherheit sorgfältig geprüft werden.

Hinweise auf weitere Informationen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Erzeugen von Transaktionen für den Start von Programmen oder Reports

Programme und Reports können beispielsweise über die Transaktion SE38 ( ABAP Editor) gestartet werden. Nicht jedem Programm oder Report ist jedoch ein Transaktionscode zugeordnet. Sollen bestimmte Programme oder Reports Benutzern verfügbar gemacht werden, so empfiehlt sich, diese über eine Transaktion verfügbar zu machen. Dies hat den Vorteil, dass der Zugriff auf die Transaktion und damit das Programm oder den Report über Berechtigungen vom Typ S_TCODE geschützt werden können. Zusätzlich kann der Zugriff auf die Transaktion SE38 gesperrt werden, da damit prinzipiell beliebiger Code ausgeführt werden kann.

Auch bei diesem Vorgehen ist zu beachten, dass weiterhin die durch den Profilgenerator erzeugten Berechtigungen zum Aufruf von Programmen oder Reports gepflegt werden müssen. Dazu sind die vom Berechtigungsobjekt S_PROGRAM abgeleiteten Berechtigungen in den Rollen-Berechtigungsprofilen entsprechend der Berechtigungsplanung zu modifizieren.

Einsatz von Parametertransaktionen

Über neu angelegte Parametertransaktionen können für Transaktionen Werte oder Wertebereiche für die Aufrufparameter vorgegeben werden. Die neu angelegten Parametertransaktionen (Transaktion SU93) können dann über eigene Berechtigungen (Berechtigungsobjekt S_TCODE) zugriffsbeschränkt werden.

Es ist in diesem Zusammenhang wichtig zu berücksichtigen, dass der Einsatz von Parametertransaktionen nicht als Sicherheitsverfahren geeignet ist, um den Zugriff auf Funktionen der Transaktion oder auf Daten zu beschränken. Generell muss der Zugriff, beispielsweise auf Programme, Reports oder Tabellen, immer über die entsprechenden Berechtigungsobjekte (S_PROGRAM für Programme und Reports, S_TABU_DIS für Tabellen) eingeschränkt werden.

Anpassen der ABAP-Berechtigungsgruppen

Für Programme, Reports und Tabellen können so genannte Berechtigungsgruppen definiert werden. Damit kann eine Gruppierung erfolgen, so dass der Zugriff auf die Programme, Reports oder Tabellen einer Gruppe über ein Berechtigungsobjekt gesteuert werden kann.

Folgendes ist beim Einsatz von ABAP-Berechtigungsgruppen zu beachten:

  • Der Zugriff wird immer auf alle Objekte einer Gruppe reglementiert.
  • Die Berechtigungsgruppe stellt eine zusätzliche Prüfung dar. Die normalen Berechtigungsprüfungen, die das Programm oder der Report durchführt, werden davon nicht berührt.
  • Werden Berechtigungsgruppen genutzt, so kann in der Planung mit einer groben Gruppierung, etwa bezüglich einzelner Applikationen oder Module, begonnen werden. Diese können dann entsprechend dem gewünschten Schutzbedarf weiter verfeinert werden.
  • Die genaue Funktionsweise von Berechtigungsgruppen und deren Verwaltung muss Planern und durchführenden Administratoren bekannt sein.

Hinweise auf weitere Informationen zur Konfiguration von Berechtigungsgruppen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Eigene zusätzliche Berechtigungsobjekte

Werden im Unternehmen oder der Behörde eigene (ABAP-) Programme entwickelt oder der Programm-Code vorhandener Programme modifiziert, so können auch Berechtigungsprüfungen für neue, selbst definierte Berechtigungsobjekte eingebaut werden. Damit diese durch den Profilgenerator berücksichtigt werden, müssen die Prüfkennzeichen über die Transaktion SU24 definiert und entsprechend angepasst werden. Dies ist im Rahmen der Change-Management Prozesse zu umzusetzen.

Veränderungen dokumentieren

Alle Veränderungen an der Berechtigungsprüfung sind zu dokumentieren.

Prüffragen:

  • Werden SAP Berechtigungsprüfungen nur nach sorgfältiger Prüfung deaktiviert?

  • Werden die durch den SAP Profilgenerator erzeugten Berechtigungen zum Aufruf von Programmen oder Reports entsprechend der Berechtigungsplanung gepflegt?

  • Sind die genaue Funktionsweise von SAP Berechtigungsgruppen und deren Verwaltung den Planern und durchführenden Administratoren bekannt?

Stand: 13. EL Stand 2013