Bundesamt für Sicherheit in der Informationstechnik

M 4.264 Einschränkung von direkten Tabellenveränderungen in SAP Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Alle Daten eines SAP Systems werden in den Tabellen der Datenbank des SAP Systems gehalten. Bei der Nutzung erfolgen die Tabellenveränderungen z. B. durch die aufgerufenen Transaktionen, Programme oder RFC-Bausteine.

Berechtigungen auf Tabellen-Zugriffstransaktionen einschränken

Im SAP System besteht die Möglichkeit, auch direkt auf die Inhalte von Tabellen lesend oder verändernd zuzugreifen. Der Zugriff auf Tabellen und Tabelleninhalte kann durch unterschiedliche Transaktionen erfolgen. Dies sind beispielsweise SE16 Data Browser, SE80 Workbench, SE84 Repository Browser, SM30 Pflege Tabellensichten, SM31 Pflege Tabellen, SE11 Data Dictionary, SQVI Quick Viewer.

Je nach Version des SAP Systems und je nachdem, welche Applikationen und Module installiert sind, können auch zusätzliche Transaktionen oder Reports existieren, die direkte Tabellenzugriffe erlauben.

Der Zugriff auf die oben genannten Transaktionen sollte mindestens eingeschränkt werden, so dass nur die berechtigten Administratoren oder Benutzer diese aufrufen können. Die Liste der Transaktionen, die aus diesem Grund zugriffsbeschränkt werden sollten, muss entsprechend der lokalen Systemausprägung erweitert werden. Der Zugriff wird über das Berechtigungsobjekt S_TCODE konfiguriert.

Es wird empfohlen, regelmäßig zu prüfen, welche Benutzer auf die in diesem Sinne kritischen Transaktionen zugreifen können. Dazu kann beispielsweise das Benutzer-Informationssystem (Transaktion SUIM) genutzt werden, über das Benutzer nach unterschiedlichen Suchkriterien aufgelistet werden können.

Über die Transaktion S_BCE_68001398 können direkt die Benutzer aufgelistet werden, die auf eine bestimmte Transaktion Zugriff besitzen. Diese Transaktion kann für Einzeltests benutzt werden.

Berechtigungen für den Tabellenzugriff konfigurieren

Können die Transaktionen für den direkten Tabellenzugriff nicht beschränkt werden, so besteht die Möglichkeit, Tabellenzugriffe über direkte Berechtigungen auf Tabellen zu steuern. Die dabei benutzten Berechtigungsobjekte sind S_TABU_DIS, S_TABU_CLI und S_TABU_LIN. Über das Berechtigungsobjekt S_TABU_DIS können Berechtigungen auf mandantenbezogene Tabellen-Gruppen vergeben werden. Diese werden in der Tabelle TBRG definiert und fassen einzelne Tabellen zu Gruppen zusammen. Für jede Tabellen-Gruppe wird über die Tabelle TDDAT eine zugehörige Berechtigungsgruppe definiert. Für die Zugriffssteuerung werden die Namen der Tabellen-Berechtigungsgruppen als Werte in den Parameter DIBERCLS aufgenommen. Die erlaubten Operationen werden über den Parameter ACTVT gesteuert. Über das Berechtigungsobjekt S_TABU_CLI können analog Berechtigungen auf mandantenunabhängige Tabellen-Gruppen vergeben werden.

Es ist unbedingt notwendig, Berechtigungsobjekte S_TABU_DIS und S_TABU_CLI für die Zugriffskontrolle auf Tabellen einzusetzen, wenn der Zugriff auf Transaktionen, die direkten Tabellenzugriff erlauben, nicht ausgeschlossen ist.

Mittels S_TABU_LIN lassen sich Berechtigungen auf einzelne Tabellenzeilen vergeben. Dieser Mechanismus erfordert jedoch zusätzliche Customizing-Einstellungen. Hierzu müssen so genannte Organisationskriterien definiert und aktiviert werden. Auf Grund der Komplexität der Definition der Autorisierungsreichweiten wird dieses Objekt in der Praxis eher selten verwendet.

Eine häufig genutzte Variante, den Zugriff auf bestimmte Tabellen zuzulassen, ist die Definition von Parametertransaktionen. Dadurch werden Transaktionen definiert, die andere Transaktionen mit vordefinierten Werten aufrufen. Im vorliegenden Fall wird dann die Transaktion SE16 direkt mit dem gewünschten Tabellennamen aufgerufen. Der Tabellenname wird dann als Wert für den Parameter "DATABROWSE-TABLENAME" in den Vorschlagswerten definiert. Parametertransaktionen werden über die Transaktion SE93 definiert. Bei diesem Vorgehen ist zu beachten, dass trotzdem die Zugriffsberechtigungen für Tabellen über S_TABU_DIS vergeben werden müssen, da Parametertransaktionen nicht zur Zugriffssteuerung geeignet sind.

Hinweise auf SAP Dokumentationen dazu finden sich in M 2.346 Nutzung der SAP Dokumentation .

Prüffragen:

  • Haben nur berechtigte SAP Administratoren oder SAP Benutzer direkten Zugriff auf Tabellen-Transaktionen?

  • Wird regelmäßig überprüft, welche SAP Benutzer auf kritische Tabellen-Transaktionen zugreifen können?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK