Das Security Audit Log – Was ist zu beachten?

Die Hintergründe

Steigende Anforderungen an IT-Sicherheit und Datenschutz erfordern immer stärkere Absicherungen in IT-Systemen. SAP ist dabei ein entscheidender Bestandteil für jedes Unternehmen, in welchem es zum Einsatz kommt. SAP-Systeme verfügen über hochsensible Daten und die Verantwortung über diese Daten trägt das Unternehmen selbst. Eine Möglichkeit, das SAP-System zusätzlich abzusichern, ist das Aktivieren des Security Audit Logs, kurz SAL. Auditoren nutzen diese Protokollierungsfunktion und werten sie entsprechend aus. Es ist für Wirtschaftsprüfer essenziell, denn damit prüfen sie die Sicherheit Ihres Systems. Wir zeigen Ihnen, was das SAP-Standardwerkzeug kann und wie unsere Software-Lösung Xiting Authorizations Management Suite (XAMS) Sie dabei unterstützt, Ihre SAL-Einstellungen gemäß Best-Practice-Empfehlungen zu pflegen.

Was ist das Security Audit Log?

Das Security Audit Log ist ein SAP-Standardwerkzeug und dient der Aufzeichnung von sicherheitsrelevanten Informationen, mit denen Sie eine Reihe von Ereignissen nachvollziehen und protokollieren können. Insbesondere gilt dies für Benutzer mit weitreichenden Berechtigungen. Sofern die Konfiguration nicht aktiv ist oder einen unsauberen Zustand aufweist, besteht ein Risiko in Form von Sicherheitsverstößen durch böswillige Absichten oder Missbrauch. Eine Möglichkeit zur Nachverfolgung des Täters ist dann nur begrenzt möglich. Ein Benutzer kann beispielsweise versuchen, systematisch das Kennwort eines anderen Benutzers auszuprobieren. Sollte es ihm gelingen sich anzumelden, so kann er Zugriff zu erhöhten Berechtigungen erhalten und das System missbräuchlich nutzen. Benutzer mit umfangreichen Berechtigungen sollten daher stets aufgezeichnet werden. Solche Ereignisse können mit dem SAL protokolliert und abgespeichert werden.

Beispiele für mögliche Ereignisse zur Aufzeichnung sind:

  • Aufzeichnung von sicherheitsbezogenen Änderungen an der SAP-Systemumgebung (z. B. Änderungen an Benutzerstammsätzen). 
  • Ermittlung von Informationen, die mehr Transparenz bieten (z. B. erfolgreiche und erfolglose Anmeldeversuche und Aufrufe).
  • Ermittlung von Informationen, die der Nachvollziehbarkeit einer Reihe von Ereignissen dienen (z. B. erfolgreiche oder erfolglose Transaktionsstarts).

Ab SAP Netweaver 7.50 gibt es für das SAL neue Transaktionen (SAP Hinweis 2191612). Für die Konfiguration des Security Audit Logs wird die Transaktion RSAU_CONFIG verwendet. Bisher wurde die Transaktion SM19 verwendet. Zusätzlich gibt es die neue Anzeigetransaktion für die Konfiguration RSAU_CONFIG_SHOW. Sobald Sie das erste Mal in der Transaktion RSAU_CONFIG einen ändernden Zugriff durchgeführt haben, können Sie die SM19 nur noch zu Anzeigezwecken nutzen.

Statt der SM20 gibt es neu die Transaktion RSAU_READ_LOG, um das SAL auszuwerten.re

Wie soll ich mein SAL konfigurieren? Welche Benutzer müssen aufgezeichnet werden?

Es gibt über 90 Ereignisse, welche sich im SAL aktivieren lassen. Nicht selten wollen Sicherheitsteams gleich alle Ereignistypen aktivieren. Dies kommt jedoch zulasten des Speicherplatzes. Die aufgezeichneten Logs werden standardmässig im Dateisystem und nicht in der Datenbank abgespeichert. Somit haben sie keinen direkten Einfluss auf die Performance des Systems. Das Hauptaugenmerk der Basisteams liegt daher auf den Speicheranforderungen. Protokolle werden nicht automatisch archiviert, und wenn die Speicherkapazität erreicht ist, werden keine Ereignisse mehr aufgezeichnet. Je nachdem welche Ereignistypen aktiviert sind, kann sich das Datenvolumen stark ändern. Unsere Empfehlungen beziehen sich auf den Best Practice des DSAG-Prüfleitfadens. Die SAL-Einstellungen gehören zum DSAG Prüfprogramm zur Überwachung der Wirksamkeit des Zugriffsschutzes.

Die Konfiguration für das SAP Security Audit Log darf im Produktivsystem nur durch Systemadministratoren aktiviert und angepasst werden.

Wie wird das SAL ausgewertet?

Die Auswertung und das Lesen des Security Audit Logs wird über die Transaktion SM20 bzw. RSAU_READ_LOG statt. Dort kann nach verschiedenen Kriterien eingeschränkt werden. Die Auswertung sollte im Produktivsystem nur durch einen eingeschränkten Personenkreis erfolgen, der für die Aufgabe der Überwachung und Auswertung der Ereignisse zuständig ist.

Überwachung des SAL mit der XAMS

Wir möchten Ihnen nun zeigen, wie Sie mit dem Security Architect, welcher ein Modul der Xiting eigenen SAP-Sicherheitslösung Xiting Authorizations Management Suite (kurz XAMS) ist, ihre SAL-Einstellungen dauerhaft überwachen können. Mit dem Security Architect können Sie ein Best-Practice-Sicherheitskonzept erstellen und Ihre SAP-Systeme kontinuierlich auf Compliance-Probleme überwachen. In Kombination mit dem Solution Manager können Sie Ihre globalen SAP-Sicherheitskonzepte verwalten und mit angebundenen Systemen die korrekte Parametrisierungvergleichen. Zusätzlich lassen sich im Security Architect zahlreiche IKS-Prüffunktionen durch einen Check-Mode durchführen. Mit Hilfe dieses Check-Modes können Sie auch Prüffunktionen für die Einstellungen des Security Audit Logs vergleichen. Sie können das Customizing direkt gegen den Stand im System vergleichen. Dieses kann sowohl lokal für ein System oder zentral (z. B. über den Solution Manager) für alle angeschlossenen Systeme jederzeit durchgeführt werden.

Sie können prüfen, ob im Security Audit Log ein aktives Profil hinterlegt ist und dieses mindestens ein Kriterium aufweist. Auch wird geprüft, ob der Profilparameter rsau/enable aktiv ist. Ein weiterer Check hilft Ihnen, die Einstellungen im SAL mit den Minimaleinstellungen innerhalb des definierten Customizings zu vergleichen. 

Die Checks werden in einer benutzerfreundlichen Anzeige ausgegeben. Anhand des Ampelsystems (Rot-Grün) sehen Sie direkt den Status Ihrer Prüfung. In unserem Fall in der Abbildung 1 unterscheiden sich in den beiden Systemen S4D und S4T die Einstellungen im Security Audit Log von den Minimaleinstellungen innerhalb des Customizings.

Abbildung 1 – IKS-Prüfung mit dem Security Architect

Mit einem Doppelklick auf die rote Ampel öffnet sich das Fenster in Abbildung 2 und zeigt uns den Status der Einstellungen an, welche vom Customizing abweichen.

Abbildung 2 – Erweiterte Anzeige der IKS-Prüfung

Die IKS-Prüfkontrollen können Sie periodisch einplanen. Sie haben auch die Möglichkeit, Ergebnisse aus alten Prüfungen aufzurufen und mit den aktuellen zu vergleichen. Somit haben Sie immer einen Überblick über Ihre Fortschritte.

Fazit

Das Aktivieren des Security Audit Logs ist ein entscheidender Schritt in Richtung Sicherheit, da es detaillierte Informationen über die Auditberichte liefert. Es ist Bestandteil jeder Sicherheitsanalyse von Wirtschaftsprüfern. Die Vorteile überwiegen bei weitem den geringen Einstellungsaufwand und ermöglichen einen langfristigen Datenzugriff auf die eingestellten Aufzeichnungen. Der Security Architect der Softwarelösung XAMS unterstützt Sie dabei, den Stand der Sicherheit Ihrer SAP-Landschaft gegen Ihr definiertes Customizing zu prüfen.

Bei Fragen zum Security Audit Log hinsichtlich Protokollierung, Log Files, Log Events, und darüber hinaus zu SAP-Berechtigungen, S/4HANA und RFC, stehen Ihnen unsere Experten des Authorization Teams bei Xiting gerne zur Verfügung.

Adam Egeric
Letzte Artikel von Adam Egeric (Alle anzeigen)
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 9888 155
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden