Best-Practice-Tipp: Rollenanpassung für technische Benutzer

Technische SAP-Benutzer mit weitreichenden Berechtigungen wie SAP_ALL stellen ein erhöhtes Sicherheitsrisiko dar. Die Gefahr, dass durch Sicherheitslücken Schnittstellen gefährdet und Prozesse lahm gelegt werden, ist groß. Aus diesem Grund rückt das Berechtigungsmanagement zunehmend in den Fokus von Wirtschaftsprüfern. So stand einer unserer Kunden – ein Unternehmen aus dem Energiesektor – erst kürzlich vor der Herausforderung, die Berechtigungen seiner technischen Benutzer (Batchverarbeitung/RFC-Schnittstellen) einzuschränken.

Unzureichend geschützte technische SAP-Benutzer stellen eine Gefahr dar

Die Erfahrung aus zahlreichen Beratungsprojekten zeigt einen Trend: Technische SAP-Benutzer sind häufig unzureichend geschützt. Ein hohes Risiko entsteht beispielsweise durch den Missbrauch von RFC-Schnittstellen.

Die ideale Berechtigung besteht aus einem Minimum an Objekten und Ausprägungen, die in einem konstanten Prozess geprüft werden. In der Praxis gibt es jedoch dynamische Anwendungsfälle, bei denen nicht immer klar ist, welche weiteren Rollen in Zukunft erforderlich sind. Wir unterscheiden daher zwei Szenarien:

• Statistische Objektnutzung

Hier lässt sich der zukünftige Bedarf aus der Analyse der Nutzung in der Vergangenheit ableiten.

• Dynamische Objektnutzung

Bei Benutzern mit dynamischer Objektverwendung ist unklar, welche zusätzlichen Rechte der Benutzer in Zukunft noch erhält. Hier besteht die Möglichkeit, weitere Anwendungen über die gleiche Schnittstelle anzubinden und damit eine Abfrage völlig neuer Objekte zu starten.

Die Problemlösung in zwei einfachen Schritten – nicht nur für Kunden aus der Energiewirtschaft

Im ersten Schritt erfolgte die Selektion der Benutzer mit statischer Objektnutzung. Dieser Benutzer führt auch in Zukunft die gleichen Tätigkeiten aus, die er bereits in der Vergangenheit erledigt hat.

Mit Hilfe einer Auswertung der Berechtigungs-Tracedaten (Transaktion STAUTHTRACE, ST01) können wir feststellen, welche Berechtigungsobjekte der Benutzer benötigt und die nicht erforderlichen aus der Einzel-/Sammelrolle entfernen:

Das Protokoll der aufgezeichneten Tracedaten zeigt, welche Objekte der technische Benutzer im ausgewählten Zeitraum verwendet:

Die neu angelegte Rolle sollte nur um die jeweils benötigten RFC-Berechtigungsobjekte und deren Werte erweitert werden, anstatt mit weitreichenden Berechtigungen oder gar einer Vollausprägung versehen zu werden:

Unsere Empfehlung: Für jedes Szenario (Batchverarbeitung/RFC-Verbindung) sollten eigene technische Benutzer angelegt und Sammelbenutzer vermieden werden. Letztere haben umfassende Berechtigungen, die auch missbraucht werden können. Dennoch ist der Sammelbenutzer oft gängige Praxis.

Im zweiten Schritt erfolgte die Einschränkung der Benutzer mit dynamischer Objektnutzung. Insbesondere durch die Verwendung von Business-Funktionen werden gerade im SAP Basis-Umfeld Berechtigungsobjekte und Transaktionen einfach und direkt zugewiesen.

Folgende kritische Berechtigungsobjekte können bei der Verwendung von erweiterten Berechtigungen zu erheblichen Problemen führen:

– S_TABU_DIS / S_TABU_NAM (Zugriff auf Tabellen)
– S_DATASET (Zugriff auf Dateien in Verzeichnissen des Applikationsservers)
– S_USER_GRP (Pflege von Benutzerstammsätzen)
– S_USER_AGR (Pflege der Berechtigungsrollen)
– S_DEVELOP (ABAP-Entwicklung)
– S_RFC (Aufruf von Funktionsbausteinen)
– S_ADMI_FCD (Systemadministration)

Unser Kunde aus dem Energiesektor hatte klare Vorgaben, welche Objekte im Produktivsystem eingeschränkt werden sollten, um Risiken zu reduzieren. So musste darauf geachtet werden, dass die Objekte niemals eine volle Ausprägung haben. Dazu sollte das jeweilige Objekt in den Produktivsystemen auf „inaktiv“ oder auf „Anzeige eingeschränkt“ gesetzt werden.

Anlegen einer Rolle auf Basis des Profils „SAP_ALL“:

Einschränken der betreffenden Objekte durch Deaktivierung des Berechtigungsobjekts S_DEVELOP:

In der Transaktion „PFCG – Rollenpflege“ wird durch „S_DATASET“ das Löschen und Ändern von Dateien in allen Verzeichnissen erlaubt, das Objekt wurde deshalb auf „inaktiv“ gesetzt:

Mit der Pathlock Suite Massenauswertung und Rollenvergabe auf Knopfdruck

In diesem Best Case-Projekt haben wir bei unserem Kunden die Umstellung der technischen Benutzer in der Hypercare Phase begleitet. Auftretende Fehler in der Batch-Verarbeitung oder den RFC-Schnittstellen wurden in den ersten Tagen der Umsetzung eng überwacht und durch ein intelligentes Fallback-Verfahren schnell behoben.

Durch den Einsatz unserer Software konnte der Prozess von der Analyse bis zum Go-Live erheblich vereinfacht werden. Dank der Pathlock Suite ließen sich Benutzer in der Masse analysieren und Rollen auf Knopfdruck erstellen, ohne dass es zu Störungen kam. Das Ergebnis ist neben einer enormen Zeitersparnis auch eine erhebliche Risikominimierung durch konfliktfreie Berechtigungsrollen.

Möchten auch Sie den Prozess der Rollenanpassung für technische SAP-Benutzer optimieren? Schreiben Sie uns, wir helfen Ihnen gerne.

Lesen Sie auch diesen Beitrag: