Bundesamt für Sicherheit in der Informationstechnik

M 4.265 Sichere Konfiguration der Batch-Verarbeitung im SAP System

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Im Rahmen der Hintergrundverarbeitung (Batch-Verarbeitung) werden in der Regel Abläufe (Batch-Jobs) automatisiert durchgeführt. Zusätzlich können Arbeiten zeitgesteuert ausgeführt werden. Folgendes ist bei der Konfiguration zu bedenken:

  • Batch-Jobs werden über die Transaktion SM36 gesteuert. Auf diese Transaktion sollten nur berechtigte Batch-Administratoren Zugriff besitzen.
  • Über die folgenden Berechtigungsobjekte erfolgt die Verwaltung der Batch-Verarbeitung. Die Vergabe der Berechtigungen ist generell über das Berechtigungskonzept zu regeln.
    • Die Ausprägung des Berechtigungsobjektes S_BTCH_ADM mit Wert "Y" ermöglicht Vollzugriff auf die Batch-Administration.
      Es ist zu beachten, dass keine weiteren Einschränkungen erfolgen können. Ein Benutzer mit dieser Berechtigung kann immer alle Verwaltungsoperationen ausführen und darf nur an wenige Administratoren (z. B. Batch-Verwalter, Stellvertreter) vergeben werden.
    • Die Ausprägung des Berechtigungsobjektes S_BTCH_JOB mit Wert "LIST" ermöglicht es einem Batch-Verwalter, die von Batch-Jobs erzeugten Spool-Aufträge anzuzeigen. Da darin die Ausgabedaten des Batch-Jobs enthalten sind, muss im Rahmen des Berechtigungskonzeptes entschieden werden, unter welchen Umständen und durch wen diese Berechtigung verwendet werden darf.
    • Benutzer können immer - ohne besondere Berechtigungen besitzen zu müssen - eigene Jobs erzeugen und verwalten. Folgende Berechtigungsobjekte können für spezielle Operationen verwendet werden, die ohne die Berechtigung nicht möglich sind:
      • S_BTCH_JOB: Erlaubt je nach Wert-Einstellung Folgendes:
        • Wert "DELE": Jobs anderer Benutzer löschen
        • Wert "LIST": Spool-Aufträge anzeigen
        • Wert "PROT": Job-Protokolle ansehen, auch für andere Benutzer
        • Wert "SHOW": Job-Details anzeigen
        • Wert "RELE": Jobs anderer Benutzer freigeben
        Da es sich bei den betroffenen Operationen um kritische Operationen handelt, muss die Verwendung sorgfältig geplant werden. In der Regel dürfen diese Berechtigungen nicht an normale Benutzer vergeben werden.
      • S_BTCH_NAM: Ein Benutzer kann Batch-Jobs unter den Berechtigungen eines anderen Benutzers ausführen. Die Benutzer, unter denen der Batch-Job ausgeführt werden kann, sind in der Berechtigung anzugeben. Die Vergabe der Berechtigung ist unter Sicherheitsgesichtspunkten als kritisch zu betrachten und nur für Batch-Administratoren sinnvoll, um beispielsweise Batch-Jobs unter technischen Benutzern ablaufen zu lassen.
  • Da die Batch-Verarbeitung im Hintergrund und automatisiert erfolgt, findet sie in der Regel unbemerkt statt. Auswirkungen, hervorgerufen durch unautorisierte Veränderungen an der Batch-Verarbeitung, können daher längere Zeit unbemerkt bleiben. Eine restriktive Berechtigungsvergabe ist daher notwendig.
  • Die Hintergrund-Verarbeitung wird in der Regel unter den Berechtigungen des Benutzers durchgeführt, der einen Batch-Job erzeugt. Insofern greifen die konfigurierten Berechtigungen des Benutzers.
  • Werden Batch-Jobs unter den Berechtigungen technischer Benutzer ausgeführt, so sind die Berechtigungen der technischen Benutzer zu beschränken. Es empfiehlt sich nicht, einen technischen Batch-Benutzer mit dem Profil SAP_ALL auszustatten.
  • Der Zugriff auf die Verwaltung der Batch-Verarbeitung sollte nur für die berechtigten Administratoren möglich sein.
  • Durch die Batch-Verarbeitung kann Last auf einem SAP System erzeugt werden. Es muss daher entschieden werden, ob normale Benutzer Batch-Jobs starten dürfen oder ob diese durch den Batch-Administrator freigegeben und eingeplant werden, nachdem der Batch-Job vom Benutzer erzeugt wurde.

Hinweise zu SAP Dokumentationen zur Batch-Verarbeitung finden sich in M 2.346 Nutzung der SAP Dokumentation .

Prüffragen:

  • Haben nur berechtige SAP Administratoren Zugriff auf die Transaktion SM36, um Batch Jobs zu steuern?

  • Haben nur die notwendigen SAP Administratoren Vollzugriff auf die Batch-Administration?

  • Ist im Rahmen des Berechtigungskonzeptes festgelegt, welche Batch-Verwalter die Berechtigung haben, die von Batch-Jobs erzeugten Spool-Aufträge anzuzeigen?

  • Haben nur Batch-Administratoren die Berechtigung, einen Batch-Job unter den Berechtigungen eines anderen Benutzers auszuführen?

  • Haben nur berechtigte SAP Administratoren Zugriff auf die Verwaltung der Batch-Verarbeitung?

Stand: 13. EL Stand 2013