Bundesamt für Sicherheit in der Informationstechnik

M 4.270 SAP Protokollierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Damit die Systemfunktionen und die Systemsicherheit eines SAP Systems überwacht werden können, müssen Ereignisse protokolliert werden. Ein SAP System bietet dazu viele Möglichkeiten an. Es ist zu beachten, dass sich die vorliegende Maßnahme mit der Protokollierung im Sinne von "Monitoring des SAP Basissystems unter dem Gesichtspunkt der IT Sicherheit" beschäftigt. Betriebswirtschaftliche Prüfungen (Audits) sind nicht Gegenstand der Maßnahme.

SAP Dokumentationen mit Detailbeschreibungen zu den Systemüberwachungsfunktionen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Generell ist für die Protokollierung Folgendes zu beachten.

Protokollierungskonzept

Es muss ein Protokollierungskonzept erstellt werden. Das Konzept muss den ABAP - und Java-Stack berücksichtigen. Im Konzept ist festzulegen, welche Protokolldaten im SAP System gesammelt werden. Da bei der Protokollierung auch personenbezogene Daten anfallen können, sind der Datenschutzbeauftragte und der Personal- oder Betriebsrat in die Planung einzubeziehen.

Sicherheit der Protokolldaten

Die protokollierten Daten können wichtige Systeminformationen und personenbezogene Daten enthalten. Der Zugriff auf die Protokolldaten muss daher eingeschränkt werden. Dies kann Einstellungen sowohl innerhalb des SAP Systems als auch außerhalb des SAP Systems (z. B. auf Dateiebene) notwendig machen.

Wichtige Systemereignisse auswerten

Wichtige Systemereignisse werden im Systemlog protokolliert. Die Ereignisse sollten regelmäßig ausgewertet werden. Dazu kann die Transaktion SM21 genutzt werden. Es ist zu bedenken, dass über diese Transaktion auch auf Systemlogs entfernter SAP Systeme zugegriffen werden kann, sofern die Berechtigung dazu besteht. Der Zugriff auf die Transaktion SM21 ist daher auf die berechtigten Administratoren zu beschränken.

Beim Betrieb mehrerer SAP Systeme empfiehlt es sich, eine zentrale Protokollierung einzusetzen, so dass die Auswertung auf einem System erfolgen kann.

Verwendung von Traces einschränken

Traces erlauben es, Systemaktivitäten bei einem Zugriff genau zu protokollieren. Dabei können unter Umständen auch die verarbeiteten Daten - etwa über das Protokollieren der SQL-Anfragen an die Datenbank oder die über die ALE-Schnittstelle übergebenen Dokumente - eingesehen werden.

Für produktive Systeme dürfen Traces daher nicht genutzt werden. Fehleranalysen sollten im Test- oder Entwicklungssystem erfolgen. Müssen Traces in einem Produktivsystem eingesetzt werden, so ist dies über ein entsprechendes Ausnahmeverfahren zu regeln.

Der Zugriff auf die Trace-Transaktionen - darunter fallen die meisten Transaktionen mit dem Präfix "ST" (die Liste dieser Transaktionen mit Kurzbeschreibung kann über die Transaktion SE93 angezeigt werden) - ist daher einzuschränken (Berechtigungsobjekt S_TCODE).

Aktivieren der Änderungsverfolgung für Tabellen

Die Datenbank-Tabellen des SAP Systems halten alle System- und Geschäftsdaten. Im Rahmen des Protokoll- und Audit-Konzeptes ist daher festzulegen, für welche Tabellen eine Änderungsverfolgung aktiviert werden soll. In der Regel protokollieren die SAP Anwendungen alle für eine Nachvollziehbarkeit notwendigen Daten. Für die SAP Basis gilt: Customizing-Tabellen, also Tabellen, die durch den Kunden verändert werden können, werden mit aktivierter Änderungsverfolgung ausgeliefert. Dadurch können die Änderungen an den Tabellen nachvollzogen werden. Dies ist auch für Unternehmen wichtig, die dem Sarbanes Oxley Act unterliegen, da so im Rahmen von Kontrollen geprüft werden kann, welche Benutzer welche Veränderungen durchgeführt haben.

Es ist dabei zu bedenken, dass die Änderungsverfolgung nur für Tabellen aktiviert werden kann, für die der Entwickler dies vorgesehen hat. Das Aktivieren erfolgt im Data Dictionary (DDIC), wo für die betroffene Tabelle die Option "Datenänderungen protokollieren" einzustellen ist (Transaktion SE13). Zusätzlich muss die Protokollierung im Systemprofil aktiviert werden. Dazu ist der Parameter "rec/client" zu konfigurieren, über den eingestellt wird, für welche Mandanten die Änderungsverfolgung aktiviert wird (Einstellmöglichkeiten: OFF / mmm/ nnn,mmm,... / ALL).

Die Änderungsverfolgung wird für Produktiv- und Customizing-Mandanten empfohlen. Die Einstellung "ALL" ist nicht sinnvoll. Dies führt beispielsweise bei Updates zu Performanzeinbußen, da auch der Mandant 000 und mögliche Test-Mandaten betroffen sind.

Hinweise auf weitere Informationen zur Änderungsverfolgung sind in M 2.346 Nutzung der SAP Dokumentation .

Zugriff auf die Monitoring-Werkzeuge einschränken

Der Zugriff auf die durch das SAP System angebotenen Monitoring-Werkzeuge ist auf die berechtigten Administratoren einzuschränken. In der Regel kann dies über die Beschränkung des Zugriffs auf die Transaktionen und die Berechtigungseinstellungen erfolgen.

Es ist zu beachten, dass einige Monitoring-Werkzeuge auch Web-Schnittstellen zum Zugriff anbieten, wie etwa der ABAP-Stack Message-Server Monitor oder die Monitore des Java-Stacks (z. B. SQL-Trace, Systeminfo).

Einsatz des SAP Security Audit Log

Das SAP Security Audit Log zeichnet wichtige sicherheitsrelevante Systemereignisse auf. Der Einsatz ist daher sicherzustellen. Die Konfiguration erfolgt über die Transaktion SM19. Die Transaktion SM18 dient zum Löschen alter Log-Dateien, die Transaktionen SM20 und SM20N dienen zur Auswertung. Das Security Audit Log erlaubt so genannte dynamische Konfigurationen, deren Einstellungen zur Laufzeit verändert werden können und so genannte statische Konfigurationen, für die bei Einstellungsänderungen ein System-Neustart durchgeführt werden muss.

Für die Konfiguration der zu protokollierenden Ereignisse sollte Folgendes beachtet werden:

  • Alle Ereignisse der Klasse "kritisch" sollten aktiviert werden.
  • Alle Ereignisse der Klasse "schwerwiegend" sollten aktiviert werden.
  • Für die Ereignisse der Klasse "unkritisch" muss entschieden werden, ob diese protokolliert werden sollen. Dabei ist zu bedenken, dass darunter auch Ereignisse sind, die sehr viele Protokolleinträge erzeugen. Ist das Security Audit Log voll, werden keine Einträge mehr protokolliert.

Der Zugriff auf die Transaktionen SM18, SM19, SM20 und SM20N sollte auf die berechtigten Administratoren eingeschränkt sein. Das Security Audit Log muss regelmäßig ausgewertet werden.

Prüffragen:

  • Existiert ein Protokollierungskonzept für die SAP Protokollierung, das u. a. festlegt, welche Aktivitäten des SAP Systems und der Benutzer zu protokollieren sind?

  • Ist der Zugriff auf die administrativen Funktionen und die Protokolldaten des SAP Systems eingeschränkt?

  • Werden die ( z. B. im Systemlog) protokollierten Systemereignisse des SAP Systems regelmäßig ausgewertet?

  • Ist die Verwendung von Traces im SAP System eingeschränkt?

  • Ist im Rahmen des Protokoll- und Audit-Konzeptes festgelegt, für welche Tabellen eine Änderungsverfolgung aktiviert werden soll?

  • Ist der Zugriff auf die verwendeten Monitoring-Werkzeuge der SAP Systeme auf die berechtigten Administratoren eingeschränkt?

  • Wird das SAP Security Audit Log eingesetzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK