Die wichtigsten SAP-Basis-Einstellungen im Berechtigungsumfeld
Im Berechtigungsumfeld gibt es neben der Berechtigungsvergabe für SAP-Benutzer eine Reihe wichtiger SAP-Basis-Einstellungen, die Sie regelmäßig prüfen sollten, um einen vollumfänglichen Schutz Ihres SAP-Systems nach innen und außen sicherstellen zu können. Beispielsweise ist besonders im Rahmen einer Revision darauf zu achten, dass Änderungen am SAP-System stets nachvollziehbar bleiben. Wie Sie dies am besten umsetzen können und worauf zu achten ist, möchte ich Ihnen in diesem Blog aufzeigen.
Table of Contents
Systemänderbarkeit und Mandanteneinstellungen
Im Bereich der SAP-Basis ist es u. a. im Zuge von Systemupdates notwendig, zeitlich begrenzte Änderungen in den Sicherheitseinstellungen der Mandanten und Systeme vorzunehmen. Mit Hilfe der Variable Systemänderbarkeit können Sie festlegen, ob eine Änderbarkeit der mandantenübergreifenden Daten, wie beispielsweise von Programmen oder Menüs sowie des mandantenunabhängigen Customizings erlaubt wird.
Die Einstellungen der Systemänderbarkeit müssen Sie im Transport Organizer Tool (Transaktion SE03) des Mandanten 000 konfigurieren, da in diesem Quellmandanten die Systemeinstellungen vorgenommen werden.
In der Einstiegsmaske können Sie zunächst über die globalen Einstellungen festlegen, ob Änderungen im Allgemeinen erlaubt sein sollen. Weiterhin können Sie spezifisch für die Softwarekomponenten und Namensräume der Repository-Objekte definieren, ob diese hierbei überhaupt änderbar, oder die Änderbarkeit nur eingeschränkt möglich sein soll.
Um hingegen mandantenspezifische Customizing-Änderungen vorzunehmen, müssen Sie den Button „Mandanteneinstellung“ wählen und per Doppelklick in die jeweilige Mandanteneinstellung abspringen.
Um eine revisionssichere Nachvollziehbarkeit sicherstellen zu können, sollten Sie eine Änderbarkeit der Softwarekomponenten und Namensräume auf einem Produktivsystem nur in Ausnahmefällen und zudem nur zeitlich begrenzt gewähren. Dies sollte nur restriktiv vorgenommen werden, um einer Manipulation auf produktiver Ebene vorzubeugen.
Bei den Mandanteneinstellungen sollten Sie beim Produktivmandanten darauf achten, diesen gegen Überschreiben zu schützen und im Zuge der Nachvollziehbarkeit Änderungen nur über das Transportmanagementsystem (TMS) zu genehmigen. Im Sinne der Systemsicherheit sollten auch keine Änderungen an Repository- und mandantenunabhängigen Objekten zugelassen werden. Die Nutzung von eCATT und CATT ist zudem zumindest einzuschränken, da das Zulassen von dieser zu erheblichen Datenbankveränderungen führen kann.
Empfohlene Gateway-Einstellungen für RFC-Systemschutz
Ein Rollenkonzept nach Best Practice schützt Sie vor potenziellen Angriffen innerhalb Ihrer SAP-Landschaft. Um Ihr System jedoch vor unerlaubten Zugriffen über das Netzwerk zu schützen, ist eine korrekte Konfiguration des SAP Gateway erforderlich. Es ermöglicht die Nutzung externer Programme über Schnittstellen oder den Aufruf von ABAP-Programmen und dient als technische Komponente des Applikationsservers, welches die Kommunikation aller RFC-basierten Funktionen verwaltet.
Sogenannte Access Control Lists (ACL) bieten eine gute Möglichkeit zur Absicherung Ihres Gateways, um unerwünschte externe Zugriffe auf die Datenbank des Applikationsservers auszuschließen. Mit Hilfe der ACL-Dateien reginfo und secinfo lässt sich so eine Zugriffskontrolle implementieren, in denen erlaubte als auch verbotene Kommunikationspartner definiert werden können. Die Datei reginfo steuert hierbei das Registrieren von externen Programmen am Gateway, womit also Regeln definiert werden können, die Programme erlauben oder verbieten. Mit Hilfe der Datei secinfo können Sie definieren, welchen Usern der Start eines externen Programms genehmigt wird. Um diese Dateien verwenden zu können, müssen Sie die Kenngrößen gw/reg_info und gw/sec_info setzen (Transaktion RZ11). Nähere Informationen hierzu können Sie dem SAP Note 1408081 entnehmen.
Nutzung von Secure Network Communication
Eine weitere Möglichkeit Ihr Gateway mit Hilfe des SAP Standards abzusichern ist die Verschlüsselung der Kommunikation mittels Secure Network Communication (SNC). Bei ungeschützten Datenkommunikationspfaden zwischen verschiedenen Clients- und Serverkomponenten des SAP-Systems, die das SAP-Protokoll RFC oder DIAG verwenden, erfolgt der Datenaustausch im Klartext und es besteht die Gefahr, dass dieser ausgelesen werden kann. Mit Hilfe von SNC ist es Ihnen möglich, eine Ende-zu-Ende-Verschlüsselung (E2EE) zu erstellen, womit die Kommunikation zwischen zwei Komponenten, wie beispielsweise zwischen Anwendungsserver und SAP GUI, gesichert werden kann. Zudem bietet die SNC-Verschlüsselung die Grundlage für den Einsatz von SAP Single Sign-On (SSO) als Sicherheitslösung, welches den internen Aufwand des Passwortmanagements deutlich reduziert.
Nutzung des Security Audit Log
Neben internen Sicherheitsvorgaben erfordern teilweise auch nationale und internationale Richtlinien alle audit- und sicherheitsrelevanten Benutzeraktionen zu erfassen. Mit dem Security Audit Log (SAL) haben Sie die Möglichkeit, jegliche Änderungen bspw. bei Benutzern, Benutzerstammsätzen, aber auch Rollen und Gruppen zu protokollieren.
Um das SAL zu konfigurieren nutzen Sie bitte, ab SAP-Release 7.50, die Transaktion RSAU_CONFIG (ehemals SM19). Hierbei ist zu empfehlen, die benutzerübergreifende Protokollierung mit Mindesteinstellungen zu aktivieren und bei Benutzern mit umfangreichen Berechtigungen, wie SAP Standard- und Notfallbenutzern sämtliche Auditklassen zu erfassen. Diese Einstellungen sollten stets mandantenübergreifend konfiguriert werden.
Der nachfolgenden Abbildung können Sie die Protokollierung für die SAP Standardgruppe „SUPER“ entnehmen. Für diese Gruppe werden in allen Mandanten sämtliche Aktivitäten aufgezeichnet.
Für die Auswertung der Logdateien nutzen Sie bitte die Transaktion RSAU_READ_LOG. Falls Sie die Security Audit Log Dateien archivieren können Sie diese über die Transaktion RSAU_READ_ARC auslesen.
Tabellenprotokollierung und Tabellenschutz
Um Ihr SAP-System auf die internen und externen Anforderungen Ihrer Organisation bestmöglich anzupassen, bedarf es eines weiteren tabellenbezogenen Customizings. Hierbei bietet die SAP durch das Table Logging die Möglichkeit der Protokollierung von Änderungen an kritischen Tabellen.
Die Tabellenprotokollierung wird durch die Aktivierung der Variable rec/client eingeschaltet, wobei der Aktivierungsstatus über die Transaktion RSPFPAR überprüft werden kann.
Falls die Tabellenprotokollierung in Ihrem System aktiv ist, können Sie in der Transaktion SE13 festlegen, welche Tabellen protokolliert werden sollen. Für eine aktive Protokollierung ist es erforderlich das Flag „Datenänderungen protokollieren“ zu setzen.
Falls Sie auswerten möchten, bei welchen Tabellen eine Protokollierung stattfindet, bietet sich hierfür die Tabelle DD09L an. Die Spalte „Protokoll“ zeigt Ihnen an, bei welchen Tabellen Änderungen protokolliert werden.
Auch die Aufzeichnung von Datenänderungen in Tabellen mithilfe von Transporten sollte aktiv sein. Hierfür muss die Kenngröße „RECCLIENT“ in Ihrem Transportmanagementsystem (Transakation STMS) auf allen Systemebenen mit „ALL“ hinterlegt sein.
Schnelle Überprüfung Ihrer SAP Sicherheitseinstellungen mit der Xiting Authorizations Management Suite (XAMS)
In der Praxis kann es durchaus vorkommen, dass die im Sicherheitskonzept definierten Soll-Vorgaben mit dem aktuellen Ist-Zustand nicht übereinstimmen. Daher ist besonders im Hinblick auf die SAP-Sicherheit stets zu prüfen, ob die notwendigen SAP-Basiseinstellungen auch dem Mindestmaß entsprechen. Eine manuelle Prüfung ist zwar möglich, jedoch sehr zeitaufwendig, da die notwendigen Regularieren gelesen, interpretiert und technisch umgesetzt werden müssen. Der Security Architect – Bestandteil der von Xiting entwickelten Softwarelösung Xiting Authorizations Management Suite (XAMS) – bietet Ihnen mithilfe des integrierten Check-Mode die Möglichkeit den aktuellen Ist-Zustand der SAP-Basis-Einstellungen genau zu durchleuchten, wobei auch eine Verprüfung mehrerer Systeme per RFC, ausgehend von einem Zentralsystem, möglich ist. Der Prüfumfang der Systemeinstellungen und Systemsicherheit umfasst neben den hier vorgestellten auch weitere SAP-Basiseinstellungen, wobei der Umfang des Check-Mode durch eigendefinierte Prüf-ID’s erweitert werden kann.
Im Rahmen der Analyse wird Ihnen in Form einer Ampelausgabe (rot-gelb-grün) aufgezeigt, ob die jeweiligen Einstellungen auch soweit korrekt konfiguriert sind. Zusätzlich lassen Sich auch die Detailwerte der jeweiligen Einstellungen einsehen.
Für nähere Hilfestellungen zu diesem Thema wenden Sie sich an unseren SAP Security Support. Gerne können Sie sich auch über weitere Services und Produkte von Xiting informieren, oder nehmen Sie an einem unserer kostenlosen Webinare teil.
- Die wichtigsten SAP-Basis-Einstellungen im Berechtigungsumfeld - 16. Juni 2020