Die Bedeutung der &NC&-Tabellengruppe in der SAP-Sicherheit und wie sie im Rahmen des SAP-Berechtigungsmanagements geschützt werden kann
Ein effektives SAP-Berechtigungsmanagement ist für die Sicherheit und Integrität von Enterprise Resource Planning (ERP)-Systemen unerlässlich. Dieses stellt sicher, dass Benutzer über angemessene Zugriffsberechtigungen verfügen, ohne dass sensible Daten gefährdet werden. Unter den entscheidenden Komponenten der SAP-Sicherheit spielt die Tabellengruppe &NC& eine zentrale Rolle. In diesem Blog werden wir untersuchen, warum die &NC&-Tabellengruppe sicherheitskritisch ist und wie wir sensible Daten in diesem Kontext schützen können. Tabellengruppen dienen als grundlegende Organisationsstruktur in SAP-Systemen, die es Administratoren ermöglicht, den Zugriff auf verwandte Tabellen effizient zu verwalten. Diese Gruppen erleichtern die Anwendung von Zugriffskontrollen und stellen sicher, dass Benutzer nur mit autorisierten Daten interagieren. Eine wichtige Tabellengruppe innerhalb von SAP ist die &NC&-Gruppe, die für „nicht klassifiziert“ steht. Diese Bezeichnung zeigt an, dass die Tabellen in dieser Gruppe keiner bestimmten Berechtigungskategorie zugeordnet wurden. Tabellen in der Gruppe &NC& verfügen im Wesentlichen über keine expliziten Zugriffskontrollen, was sie potenziell anfällig für unbefugten Zugriff macht.
Der sicherheitskritische Charakter der &NC&-Tabellengruppe ergibt sich aus ihrer Eigenschaft, sensible Daten preiszugeben, wenn sie ungesichert bleiben, da eine große Anzahl von Tabellen in SAP-Systemen üblicherweise nicht klassifiziert ist. Der Zugriff auf die Gruppe &NC& gewährt Benutzern Privilegien für alle Tabellen innerhalb dieser Kategorie, wodurch vertrauliche oder geschützte Informationen gefährdet werden können. Unbefugte Benutzer könnten diesen umfassenden Zugriff ausnutzen, um sensible Daten abzurufen oder Systemeinträge zu manipulieren.
Während SAP-Standardtransaktionen in der Regel über Front-End-Anwendungen auf Daten zugreifen, können Benutzer auch über generische Tabellentransaktionen wie SE16, SE16N, SE17, SM30 oder SM31 direkt mit Tabellen interagieren. Diese Transaktionen ermöglichen es den Benutzern, Tabellen einzusehen oder zu ändern, wobei einige integrierte Berechtigungsprüfungen umgangen werden. Nehmen wir zum Beispiel die Transaktion FK03, die zur Anzeige von Lieferantendaten verwendet wird. Während FK03 Berechtigungsprüfungen auf der Grundlage von Aktivität, Anwendung und Buchungskreis durchsetzt, umgeht der Zugriff auf dieselben Daten über SE16 oder SM30 diese Prüfungen und ermöglicht den uneingeschränkten Zugriff auf Lieferantendaten.
Rollenadministratoren können Berechtigungsobjekte wie S_TABU_DIS oder S_TABU_NAM verwenden, um den Zugriff zu beschränken. Bisher wurde S_TABU_DIS zuerst auf Berechtigung geprüft, aber ab SAP_BASIS 7.50 ist die Reihenfolge umgekehrt, und S_TABU_NAM hat Vorrang. Bei mandantenunabhängigen Tabellen prüft das System auch S_TABU_CLI, um Datenänderungen zu autorisieren (SAP-Hinweis 3077347). Administratoren können die Berechtigungsgruppen für Tabellen mit Transaktionen wie STDDAT oder SE54 anpassen, indem sie die neue Berechtigungsgruppe angeben, um den Zugriff effektiv zu steuern. Das Ändern der Berechtigungsgruppe von „&NC&“ in eine geeignete Gruppe erfordert ein Datenkonzept und kann daher eine komplexere Lösung darstellen.
Inhaltsverzeichnis
Absicherung der Tabellengruppe &NC& mit der Xiting Authorizations Management Suite
Wenn es keine andere Möglichkeit gibt, als direkten Zugriff auf Tabellen über SE16* oder SM30 zu gewähren, kann die Verwendung einer Parametertransaktion eine Lösung sein, um Risiken zu mindern. Die Xiting Authorization Management Suite (XAMS) bietet ein Massenerstellungswerkzeug für Parametertransaktionen, wie im Blog von Annika Braun, einer unserer SAP-Sicherheitsberaterinnen, näher beschrieben.
Erkennung von Rollen mit &NC&-Tabellengruppen über Role Profiler
Um die mit S_TABU_DIS und &NC& verbundenen Risiken weiter zu reduzieren, ist die Transparenz bei der Identifizierung von Rollen, die S_TABU_DIS mit &NC& enthalten, und die Verwaltung der Zuweisung von S_TABU_NAM vor S_TABU_DIS entscheidend.
XAMS bietet eine Lösung für diese Herausforderung durch sein Werkzeug, den Role Profiler, welcher Probleme in bestehenden Rollen und Berechtigungen identifiziert. Insbesondere erkennt dieses Tool kritische Berechtigungen wie S_TABU_DIS mit &NC& unter Verwendung des XAMS Critical Authorization Framework (CRAF). Außerdem bietet es ein SU24-Optimierungstool für Parametertransaktionen (sowohl SAP-Standard- als auch kundenspezifische Transaktionen). Wie wichtig gut gepflegte SU24-Vorschläge sind, wird im folgenden Blog näher erläutert:
Angesichts der kritischen Eigenschaften von S_TABU_DIS und &NC& enthält der XAMS-Regelsatz „CRAF“ eine Prüf-ID für diese Berechtigung. Durch die Angabe von Auswahlkriterien (z. B. Z-Namensraum) können Sie eine Liste von Rollen erstellen, die S_TABU_DIS mit „&NC&“ enthalten und zur leichteren Identifizierung mit einem roten Punkt markiert sind.
Ein effektiver Ansatz besteht darin, Parametertransaktionen zu verwenden, anstatt, wie bereits erwähnt, direkten SE16/SM30-Zugriff zu gewähren. Diese Strategie verhindert, dass Benutzer auf die Hauptbildschirme zugreifen, und mindert das Risiko eines unbefugten Zugriffs auf sensible Daten. Aber wie kann man die Verwendung dieser Transaktionen leicht erkennen?
Effiziente Nutzungsanalyse von generischen Tabellentransaktionen über den XAMS Role Profiler
Mit dem XAMS-Modul Role Profiler können Sie Rollen gründlich scannen, um ein klares Verständnis Ihres aktuellen Zugriffsmodells zu erhalten. Dazu gehört die Beurteilung, wie viele Benutzer Zugriff auf Transaktionen wie SE11, SE16, SE16N, SE17, SM30 und SM31 haben, indem Sie den Bericht „Generic Table Access for Users“ nutzen.
Dieser spezielle Bericht prüft alle Benutzer, die für diese kritischen Transaktionen in Frage kommen, und stellt fest, ob sie über die entsprechenden Berechtigungen verfügen. Außerdem wird anhand von Daten aus dem Sicherheitsauditprotokoll und ST03N verfolgt, ob Benutzer diese Transaktionen innerhalb eines bestimmten Zeitraums aktiv genutzt haben.
Darüber hinaus gibt der Bericht Aufschluss darüber, auf welche Tabellen die Benutzer über diese Transaktionen zugegriffen haben und ob dieser Zugriff remote oder lokal erfolgt ist. Zusätzlich prüft der Bericht, ob der Zugriff über Parametertransaktionen autorisiert wurde, um sicherzustellen, dass die Benutzer auf der Grundlage der ihnen zugewiesenen Rollen und SU24-Daten ordnungsgemäß autorisiert sind:
Dies gibt einen entscheidenden Überblick, um die Vergabe von bestimmten Transaktionen einzuschränken und gegebenenfalls durch Parametertransaktionen zu ersetzen. Wie im Blogbeitrag von Annika Braun beschrieben, können Parametertransaktionen mit dem Role Replicator der XAMS effizient und massenhaft erstellt werden.
Einfache SU24-Optimierung für S_TABU*-Objekte im XAMS Role Profiler
Um SU24 für Parametertransaktionen effizient zu pflegen, bieten die Optimierungsberichte des Role Profiler für Tabellen einen klaren Überblick über die erforderlichen SU24-Vorschläge und Tabellenwerte, die gepflegt werden müssen. Die „Parameter tcodes S_TABU*“-Berichte zielen speziell auf Parametertransaktionen im Zusammenhang mit Kerntransaktionen wie SE16*, SM30, SM31 oder SM34* ab und untersuchen deren SU24-Vorschläge. Diese Berichte berücksichtigen die Einschränkungen des Rollenauswahlfilters und ermöglichen das Scannen von Transaktionen nach unvollständigen S_TABU_*-Vorschlägen, die aktiv verwendet werden. SU24-Vorschläge für S_TABU*-Objekte sollten entweder für den Tabellennamen oder die in SU24 gepflegte Tabellengruppe vorhanden sein. Wenn diese Vorschläge für Parametertransaktionen nicht gepflegt werden, werden standardmäßig die Vorschläge der Kerntransaktion verwendet, die in der Regel nicht gepflegt werden und den Tabellen- oder Viewnamen nicht kennen. Das Feld „Flag“ zeigt an, ob die Vorschläge des Objekts unvollständig oder falsch sind. Wenn z. B. S_TABU_CLI existiert, die Tabelle aber mandantenabhängig ist, wird eine Warnung angezeigt. Das Aktualisieren der SU24 mit Werten wird durch Doppelklick auf das Aktualisierungssymbol erleichtert, so dass Sie Werte überschreiben oder anhängen und einem Transportauftrag zuordnen können.
Nehmen wir als Beispiel die Transaktion ZBIZTCODE, die auf SE16 basiert und einer bestimmten Rolle zugeordnet ist und auf die Tabelle ZBIZROLES in der Tabellengruppe &NC& zugreift. Da SU24-Vorschläge in S_TABU_DIS und S_TABU_NAM fehlen, können Sie z.B. S_TABU_NAM durch Doppelklick auf den blauen Pfeil aktualisieren:
Fazit
Zusammenfassend lässt sich sagen, dass ein effektives SAP-Berechtigungsmanagement entscheidend für die Aufrechterhaltung einer robusten Datensicherheit ist. Durch die Nutzung von Parametertransaktionen anstelle von direktem Tabellenzugriff, die Priorisierung von transaktionsbasierten Zugriffskontrollen und die regelmäßige Pflege der SU24-Einstellungen können Unternehmen ihre Sicherheitslage erheblich verbessern. Die Software-Lösung XAMS rationalisiert die Autorisierungsprozesse und reduziert das Risiko von unberechtigtem Zugriff und Datenverletzungen. Mit Funktionen wie dem Role Profiler können Administratoren Einblicke in die Zugriffsmuster von Benutzern gewinnen und fundierte Entscheidungen zur Verbesserung der Sicherheit treffen.
Wenn Sie sich näher mit diesen Strategien befassen möchten, sollten Sie ein persönliches Webinar anfordern. Unsere Webinare bieten praktische Demonstrationen und Erfahrungswerte im Umgang mit der Software-Lösung XAMS. Informieren Sie sich außerdem über maßgeschneiderte Schulungen oder fragen Sie nach einer Implementierungsberatung, die auf die individuellen Anforderungen Ihres Unternehmens zugeschnitten ist.
Wir möchten den Erfolg Ihres Unternehmens durch die fachkundige Beratung und Unterstützung bei der Implementierung von Best Practices für SAP-Sicherheit unterstützen.
