Rollenanpassung für technische SAP-Benutzer – wie Sie effektiv und sicher mit Berechtigungen umgehen.

SAST Blog: Rollenanpassung für technische SAP-Benutzer - wie Sie effektiv und sicher mit Berechtigungen umgehen.Technische SAP-Benutzer, die mit weitreichenden Berechtigungen wie SAP_ALL ausgestattet sind, stellen ein erhöhtes Sicherheitsrisiko dar. Die Gefahr, dass durch Sicherheitslücken Schnittstellen gefährdet und Prozesse lahmgelegt werden, ist groß. Daher gerät die Berechtigungsverwaltung auch zunehmend ins Visier der Wirtschaftsprüfer. So stand einer unserer Kunden – ein Unternehmen aus dem Energiesektor – erst kürzlich vor der Herausforderung, die Berechtigungen seiner technischen Benutzer (Batch-Verarbeitung / RFC-Schnittstellen) einzuschränken.

 

Unzureichend geschützte technische SAP-Benutzer stellen eine Gefahr dar.

Die Erfahrung in zahlreich durchgeführten Beratungsprojekten zeigt einen Trend: Technische SAP-Benutzer sind oftmals unzureichend geschützt. Ein hohes Risiko entsteht beispielsweise beim Missbrauch von RFC-Schnittstellen.

Die ideale Berechtigung besteht aus einem Minimum an Objekten und Ausprägungen, die in einem konstanten Prozess zur Prüfung kommen. Allerding gibt es in der Praxis auch dynamische Anwendungsfälle, bei denen nicht immer klar ist, welche weiteren Rollen in Zukunft benötigt werden. Wir unterscheiden somit zwischen zwei Szenarien:

1. Statistische Objektverwendung
Hier lässt sich der zukünftige Bedarf aus der Nutzungsanalyse der Vergangenheit ermitteln.

2. Dynamische Objektverwendung
Bei Benutzern mit dynamischer Objektverwendung ist unklar, welche zusätzlichen Rechte der User in Zukunft noch erhält. Hier besteht die Möglichkeit, weitere Anwendungen über die gleiche Schnittstelle anzuschließen und somit eine Abfrage völlig neuer Objekte zu starten.

Die Problemlösung in zwei einfachen Schritten – nicht nur für Kunden aus der Energiebranche.

Zunächst galt es, nach beiden Szenarien zu selektieren.

Schritt 1: Technische SAP-Benutzer mit statischer Objektverwendung selektieren:

Dieser Benutzer erledigt in Zukunft dieselben Tätigkeiten, die er bereits in der Vergangenheit zur Aufgabe hatte.

Mit Hilfe einer Auswertung der Berechtigungs-Tracedaten (Transaktion STAUTHTRACE, ST01) können wir ermitteln, welche Berechtigungsobjekte der User benötigt und nicht erforderliche aus der Einzel-/Sammelrolle entfernen.

Auszug aus der Transaktion „STAUTHRACE-Systemtrace für Berechtigungsprüfungen“:

SAST Blog: Rollenanpassung für technische SAP-Benutzer - wie Sie effektiv und sicher mit Berechtigungen umgehen.

Auszug des Protokolls der aufgezeichneten Tracedaten, aus dem ersichtlich ist, welche Objekte der technische Benutzer im ausgewählten Zeitraum verwendet:

SAST Blog: Rollenanpassung für technische SAP-Benutzer - wie Sie effektiv und sicher mit Berechtigungen umgehen.

Als nächstes galt es die neu erstellte Rolle nur um die jeweils notwendigen RFC-Berechtigungsobjekte und deren Werte zu erweitern, anstatt weitreichende Berechtigungen oder gar eine Vollausprägung zu vergeben:

SAST Blog: Rollenanpassung für technische SAP-Benutzer - wie Sie effektiv und sicher mit Berechtigungen umgehen.
Unsere Empfehlung: Je Szenario (Batch-Verarbeitung/RFC-Verbindung) sollten eigene technische Benutzer angelegt und Sammelbenutzer vermieden werden. Denn diese verfügen über weitreichende Berechtigungen, die auch missbräuchlich verwendet werden können. Dennoch ist der Sammelbenutzer häufig gängige Praxis.

Schritt 2: Technischen SAP-Benutzer mit dynamischer Objektverwendung einschränken:

Insbesondere durch die Verwendung von Business-Funktionen werden gerade im SAP-Basis Umfeld Berechtigungsobjekte und Transaktionen einfach und direkt zugewiesen.

Bei der Ausnutzung von weitreichenden Berechtigungen könnten folgende kritische Berechtigungsobjekte schwerwiegende Probleme darstellen:

– S_TABU_DIS / S_TABU_NAM (Zugriff auf Tabellen)
– S_DATASET (Zugriff auf Dateien in Verzeichnissen des Applikationsservers)
– S_USER_GRP (Pflege von Benutzerstämmen)
– S_USER_AGR (Pflege von Berechtigungsrollen)
– S_DEVELOP (ABAP Entwicklung)
– S_RFC (Aufruf von Funktionsbausteinen)
– S_ADMI_FCD (Systemadministration)

Unser Kunde aus dem Energiesektor hatte klare Vorgaben, welche Objekte im Produktivsystem eingeschränkt werden sollen, um Risiken zu reduzieren. Es galt daher darauf zu achten, die Objekte niemals mit einer Vollausprägung zu versehen. Dazu sollte das Objekt in Produktivsystemen auf „inaktiv“ oder auf „Anzeige eingeschränkt“ gesetzt werden.

  1. Anlegen einer Rolle auf Basis des Profils „SAP_ALL“:

SAST Blog: Rollenanpassung für technische SAP-Benutzer - wie Sie effektiv und sicher mit Berechtigungen umgehen.

  1. Einschränken der betreffenden Objekte durch Deaktivierung des Berechtigungsobjekts S_DEVELOP:

SAST Blog: Rollenanpassung für technische SAP-Benutzer - wie Sie effektiv und sicher mit Berechtigungen umgehen.

In der Transaktion „PFCG – Rollenpflege“ erlaubt „S_DATASET“ das Löschen und Ändern von Dateien in allen Verzeichnissen – sie wurde deshalb auf inaktiv gesetzt:

SAST Blog: Rollenanpassung für technische SAP-Benutzer - wie Sie effektiv und sicher mit Berechtigungen umgehen.

Mit der SAST SUITE gelang eine Massenauswertung und Rollenvergabe quasi auf Knopfdruck.

Bei diesem Best Cases-Projekt begleiteten wir beim Kunden die Umstellung der technischen SAP-Benutzer in der Hypercare-Phase. Aufkommende Fehler in der Batch-Verarbeitung oder RFC-Schnittstellen wurden in den ersten Tagen der Umstellung engmaschig kontrolliert und schnell behoben, dies erfolgte mit einem smarten Fallback-Verfahren.

Dabei setzte unser Kunde aus dem Energiesektor zur effizienten Umsetzung neben der SAP-Standard Lösungen auf die SAST SUITE. Durch den Einsatz der Software gelang es, den Prozess von der Analyse bis zum Go-live erheblich zu vereinfachen. Dank der SAST SUITE ließen sich Benutzer in der Masse auswerten und Rollen auf Knopfdruck anlegen, ohne dass Störungen auftraten. Das Ergebnis ist neben der enormen Zeitersparnis auch eine erhebliche Risikoreduzierung durch konfliktfreie Berechtigungsrollen.

Möchten auch Sie den Prozess der Rollenanpassung für technische SAP-Benutzer optimieren? Wir helfen Ihnen gerne. Besuchen Sie unsere Website oder schreiben Sie uns.

Maximilian Hauer (SAST SOLUTIONS)
Maximilian Hauer (SAP Security Consultant, SAST SOLUTIONS)

 

Was Sie noch interessieren könnte:

So gelingen mit minimalem Zeitaufwand umfassende Rahmen- und Fachberechtigungskonzepte für SAP ERP und S/4HANA

SoD-freies Usermanagement durch Webservices für SAP-Systeme