Der SYSTEM-Benutzer in SAP HANA – Was ist zu beachten?

SAP HANA Christian Weide

Der Benutzer SYSTEM in der SAP HANA Datenbank ist ein hoch privilegierter Systembenutzer, der während der Installation der SAP HANA Datenbank automatisch erstellt wird. Die Berechtigungen dieses Benutzers sind vielseitig und umfassen:

  • Zugriff auf Systemtabellen
  • Weitreichende System Privilegien mit SAP HANA DB Berechtigungen (System Privilege)
  • Möglichkeit zur Erstellung weiterer Datenbank Schemata 
  • Änderung von Konfigurationsdateien (*.ini) 
  • Erstellung von Benutzern und Rollen 
  • Einrichtung und Konfiguration von Schnittstellen

Unter anderem werden diese weitläufigen und starken Berechtigungen zum Installationszeitpunkt diesem Benutzer übertragen, wie zum Beispiel von den technischen Benutzern SYS oder _SYS_REPO. Diese Berechtigungen können auch nicht einfach wieder entzogen werden, da nach Installationszeitpunkt ein Benutzer existieren muss, um die Konfiguration der SAP HANA Datenbank zu ermöglichen. Die Berechtigungen dieses Benutzers lassen sich mit dem aus SAP NetWeaver ABAP bekannten SAP_ALL Standardprofil vergleichen. Das bedeutet auch, dass wenn der Benutzer SYSTEM auch auf neue Datenbank-Artefakte wie z. B.  Tabellen, Schemas, Views – die nach dem Installationszeitpunkt der SAP HANA Datenbank erzeugt wurden – berechtigt werden soll, müssen ihm diese Berechtigungen zunächst vom Eigner der Datenbankobjekte übertragen werden. Dies kann z. B. für ein Schema mittels nachfolgenden SQL Statement in dieser Form realisiert werden:

GRANT SELECT on SCHEMA <SCHEMA_NAME> to SYSTEM with GRANT OPTION

Mit diesem SQL Statement wird dem Benutzer SYSTEM der lesende Zugriff auf ein SCHEMATA gewährt. Zusätzlich kann der SYSTEM Benutzer dieses Recht an einen weiteren Datenbankbenutzer oder Berechtigungsrolle weitergeben.

Betrachtung der Kritikalität

Ungeachtet dessen, dass dem SYSTEM Benutzer mögliche Anwendungsberechtigungen auf mögliche Schemas, Views, Prozeduren oder weitere Datenbank-Artefakte fehlen, ist der SYSTEM Benutzer im Aufgabenfeld der Administration hoch privilegiert. Dies kann dazu führen, dass dieser Benutzer u. a. für die tägliche Administration der SAP HANA Datenbank oder als Kommunikationsbenutzer in Schnittstellen Anwendung findet. Aus diesem Grund ist es ratsam, mit Hilfe des Benutzers SYSTEM, dedizierte Benutzer und ein eigenständiges Rollenset für die Administration, Entwicklung, Support und Business Anwender zu erstellen. Welche Arten von Rollen in der SAP HANA Datenbank genutzt und erstellt werden können, ist im Blog Beitrag <BERECHTIGUNGSROLLEN_MUSS_ERGÄNZT_WERDEN _UM_DEN BLOG_BETREIG_VON VOLKER> dargestellt.

Wurde ein entsprechendes Berechtigungskonzept auf der SAP HANA Datenbank für die Administration sowie die täglichen Aufgaben erstellt, so ist es empfehlenswert den Benutzer SYSTEM zu deaktivieren. 

Um nun jedoch SAP-Support-Paket-Stacks, SAP-Erweiterungspakete und SAP-Systeme mit dem Software Update Manager (SUM) zu aktualisieren und SAP-Systeme mit dem Software Provisioning Manager (SWPM) zu installieren oder zu migrieren, ist der SYSTEM Benutzer erforderlich und muss für die Dauer des Upgrades, der Installation oder der Migration vorübergehend reaktiviert werden. Dies geschieht durch einen entsprechend privilegierten Benutzer, der das System Privileg USER ADMIN hat.

Der SYSTEM Benutzer in einer Multitenant-Datenbank

Jede Datenbank (Tenant) einer SAP HANA-Instanz verfügt über einen eigenen Satz von Datenbankbenutzern, einschließlich dem SYSTEM Benutzer. Wann und wie das SYSTEM-Benutzerkennwort erforderlich ist, hängt davon ab, ob das System im Modus mit mehreren Tenants installiert oder in den Multitenant Modus konvertiert wurde.

Im Vergleich zu einem Tenant (mit Geschäftsdaten) verfügt der SYSTEM Benutzer der Systemdatenbank über zusätzliche Berechtigungen, d. h. die Berechtigungen, die für die Verwaltung von Mandantendatenbanken erforderlich sind, z. B. das Erstellen und Löschen von Datenbanken, das Ändern von Konfigurationsdateien (*.ini) von Datenbanken und das Durchführen datenbankspezifischer Datensicherungen.

Absicherung und Analyse des SYSTEM Benutzers

  1. Definieren Sie ein eigenständiges Benutzer- und Berechtigungskonzept für die Bereiche Datenbank Administration, Entwicklung, Support und Notfall. Wenn Sie Business-Benutzer aus den Fachbereichen Zugriff auf Datenbank-Artefakte wie zum Beispiel Tabellen oder Views gewähren wollen, ist es zielführend, hierfür spezifische Rollen zu definieren und zu berechtigen.
    <<Hinweis: Service SAP HANA Datenbank Berechtigungskonzept>>
  2. Zuordnung der Berechtigungsrollen zu den zuvor festgelegten Benutzern
  3. Ändern Sie das Kennwort des SYSTEM Benutzers auf ein neues Kennwort welches entsprechend dokumentiert und an einem sicheren Ort verwahrt wird. 
  4. Deaktivieren Sie den SYSTEM Benutzer mittels z.B. SQL Konsole des SAP HANA Studios oder Web- Oberfläche der SAP HANA XS Anwendung Security mittels nachfolgenden SQL- Statement: ALTER USER SYSTEM DEACTIVATE USER NOW
  5. Um sicherzustellen, dass kein SAP HANA Datenbank Benutzer der das System-Privileg USER ADMIN hat, den zuvor deaktivierten SYSTEM Benutzer für einen anderen Zweck als oben dargestellt aktiviert, empfiehlt es sich eine AUDIT Policy auf das SQL Statement ALTER USER zu definieren. 
  6. Um weiterhin sicherzustellen, dass der SYSTEM Benutzer erfolgreich deaktiviert bzw. nicht in der Zwischenzeit wieder aktiviert wurde, können in der Datenbanktabelle USER, die Einträge in den Spalten USER_DEACTIVATED, DEACTIVATION_TIME und LAST_SUCCESSFUL_CONNECT für den SYSTEM Benutzer regelmäßig geprüft werden. Im Role Profiler der XAMS können Sie hierzu den HANA General status check Report verwenden:
Risiko SYSTEM Benutzer – Präventive Maßnahmen zur Absicherung

Fazit

Der SYSTEM User ist ein hoch privilegierter Benutzer, der nach Installationszeitpunkt einer SAP HANA Datenbank existiert und für die initiale Konfiguration des Berechtigungsmanagement genutzt werden muss. Er ist der einzige Benutzer, der an der SAP HANA Datenbank nach Installation effektiv zur Verfügung steht.

Es empfiehlt sich ein eigenständiges SAP HANA Datenbank-Berechtigungskonzept aufzubauen und anzuwenden, um die Aufgabengebiete wie Administration, Konfiguration, Entwicklung als auch allfällige Anwendungen (Reporting) des Fachbereichs auf der Datenbankebene zu trennen. Somit kann gewährleistet werden, dass  es zu keinen ungewollten Änderungen kommt. Der SYSTEM Benutzer sollte nach der initialen Konfiguration deaktiviert werden.

Weil der SYSTEM Benutzer auch nicht vererbbare, exklusive Privilegien besitzt hat dieser häufig auch Relevanz bei der Einführung eines Notfallbenutzerkonzepts. Generell sollten alle Benutzer in der SAP HANA Datenbank sich mit einem persönlichen Benutzer anmelden. Für Notfallszenarien ist es jedoch denkbar einen formalisierten Prozess zu etablieren, welcher die Reaktivierung, Verwendung und abschließend die Deaktivierung des SYSTEM Benutzers vorsieht. Die Aktivitäten sind in jedem Fall ausreichend zu dokumentieren.

Xiting bietet Ihnen als kompetenter Sicherheitsexperte Unterstützung im Umfeld von SAP HANA Security, SAP HANA Studio oder SAP HANA Cockpit und vieles mehr, um hinsichtlich einer nachhaltigen Benutzerverwaltung einen angemessenen Schutz Ihrer hoch privilegierten Benutzer sicherzustellen. Denn nebst einem reibungslosen Betrieb ist der Schutz von sensiblen Daten auch auf Datenbankebene wichtiger denn je.

Sie stehen vor aktuellen Herausforderungen in Ihrem SAP HANA System? Kontaktieren sie uns über [email protected], um mit einem unserer Experten eine individuelle Lösung zu finden.

Erhalten Sie hier einen Überblick über unsere SAP HANA Services.

Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden