Sicherheit in technischen SAP-Mandanten
Noch immer wird bei Sicherheitsbetrachtungen häufig das Profil SAP_ALL genutzt anstelle konkreter Rollen. Dabei ist auch von anderen Mandanten aus ein Zugriff auf die produktiven Daten möglich.
Werden sensible Daten verarbeitet (personenbezogene Daten, Konditionen, Produktionsdaten etc.), so ist der Zugriff genauso abzusichern wie im Produktivmandanten.
Für den Zugriff auf die produktiven Daten kann z. B. das DBA Cockpit genutzt werden, welches mit über 50 verschiedenen Transaktionen aufgerufen werden kann.
Dieses enthält den SELECT-Editor bzw. SQL-Editor, mit dem Daten direkt in der Datenbank angezeigt und (beim SQL-Editor) auch geändert werden können. Da das Mandantenkonzept eine Logik innerhalb des Abap-Stacks ist, kennt die Datenbank keine Mandanten.
Daher werden beim Zugriff auf eine Tabelle immer alle Datensätze aller Mandanten gelesen. So enthält z. B. die Tabelle PA0008 (Basisgehälter im SAP HCM) im Mandanten 000 keine Datensätze.
Wird sie dort aber über das DBA Cockpit aufgerufen, so werden alle Datensätze aller Mandanten angezeigt, somit auch die Gehaltsdaten im Produktivmandanten. Das gilt entsprechend auch für alle anderen Tabellen.
Um z. B. die Kennwörter von Benutzern aus dem Produktivmandanten zu hacken, muss lediglich die Tabelle USR02 aufgerufen werden, in der die Hashwerte der Kennwörter gespeichert werden. Diese können dann exportiert und mit entsprechenden Tools gehackt werden.
Auch andere Funktionen ermöglichen den Zugriff auf Daten aus anderen Mandanten. So bietet z. B. der Funktionsbaustein SE16N_INTERFACE die Möglichkeit, Tabellen mandantenübergreifend anzuzeigen.
Außerdem kann hier gleichzeitig auch der Modus zum Editieren der Tabelle aktiviert werden, sodass Tabellen, die standardmäßig nicht änderbar sind, im Produktivmandanten geändert werden können.
Eine weitere Möglichkeit zum Zugriff auf produktive Daten stellt der Drucker-Spool dar. Hiermit können Druckaufträge aus anderen Mandanten angezeigt werden.
Werden sensible Daten im Produktivmandanten gedruckt, können diese im Mandanten 000 eingesehen werden. Neben dem Zugriff auf produktive Daten können auch Berechtigungen eingesetzt werden, mit denen gegen geltende Gesetze verstoßen werden kann.
Dies betrifft insbesondere Elemente der Anwendungsentwicklung sowie das Löschen aufbewahrungspflichtiger Protokolle. Anwendungsentwicklung ist mandantenübergreifend, daher ist es in einem Produktivsystem in allen Mandanten untersagt.
Viele Protokolle sind ebenfalls mandantenübergreifend (z. B. die Tabellenänderungsprotokolle), daher ist das Löschen dieser Protokolle von allen Mandanten aus untersagt. Diese Berechtigungen sind daher auch im Mandanten 000 nicht zu vergeben.
Auch Systemeinstellungen können von allen Mandanten aus gepflegt werden. Daher sind die Berechtigungen in allen Mandanten abzusichern. Hierüber lassen sich allerdings auch die Berechtigungen für das Rechenzentrum einrichten.
Ein klassischer Rechenzentrumsbetrieb benötigt Berechtigungen ausschließlich im Mandanten 000, da alle Systemeinstellungen von hier aus vorgenommen werden können, wie zum Beispiel das Einstellen der Systemänderbarkeit sowie die Pflege von Systemparametern und Trusted Systems.
Im Sicherheitskonzept ist festzulegen, welche Berechtigungen für Systemeinstellungen im Mandanten 000 vergeben werden dürfen und welche nicht.
Die Sicherheit des Systems kann mittels dieser Berechtigungen erheblich beeinflusst werden. Die Sicherheit eines SAP-Systems ist daher nicht nur von der Absicherung der Produktivmandanten abhängig.
Die technischen Mandanten, insbesondere der Mandant 000, stellen ebenso wesentliche Aspekte zur Systemsicherheit dar. Die Absicherung ist sehr viel weniger komplex als beim Produktivmandanten, da lediglich die mandantenübergreifenden Komponenten zu betrachten sind. Diese Absicherung ist in ein Sicherheitskonzept grundsätzlich mit aufzunehmen.
