Information und Bildungsarbeit von und für die SAP-Community

Sicherheitsrelevante Neuerungen im NetWeaver

SAP erweitert den Funktionsumfang ihrer Produkte regelmäßig auch hinsichtlich der Security-Komponenten. Hierbei „up to date“ zu bleiben ist wesentlich, ist davon doch die grundlegende Sicherheit der SAP-Systeme abhängig.
Thomas Tiede, IBS
4. Mai 2017
It-Security
avatar

Mit dem NetWeaver 7.50, SP3, wurde ein neues Security Audit Log (SAL) ausgeliefert. Der SAP-Hinweis 2191612 beschreibt die neuen Funktionen des Audit Logs.

Das bisherige Audit Log hat viele Schwachpunkte, wie z. B. die eingeschränkte Anzahl an Filtern, die fehlende Manipulationserkennung, die fehlende Archivierungsmöglichkeit und die unzureichenden Möglichkeiten zur Angabe zu überwachender Benutzer.

Das neue Security Audit Log (Transaktionen RSAU_*) bietet nun verschiedene neue Funktionalitäten:

  • Die Protokolle können teilweise oder vollständig in der Datenbank gespeichert und verwaltet werden.
  • Die maximale Anzahl der Filter je Profil wurde von 10 auf 90 erhöht.
  • Es können auch Benutzergruppen zur Protokollierung angegeben oder explizit ausgeschlossen werden.
  • Zur Erkennung von Manipulationen an den Protokolldateien kann ein Integritätsschutz implementiert werden.
  • Audit-Log-Konfigurationen können exportiert und importiert werden, um sie zwischen verschiedenen Systemen auszutauschen.

Die alte Funktionalität (Transaktionen SM18, SM19, SM20, SM20N) wird nicht mehr weiterentwickelt. Für einen Übergangszeitraum bleiben sie im bisherigen Funktionsumfang noch verfügbar. SAP empfiehlt aber, auf das neue Audit Log umzustellen.

Eine weitere neue Funktionalität bietet Schutz vor Rollenmanipulationen in Produktivsystemen. Bisher wurde die Rollenpflege dadurch eingeschränkt, dass die entsprechenden Berechtigungen dafür nicht vergeben wurden.

Über den Schalter CLIENT_SET_FOR_ROLES in der Tabelle PRGN_CUST kann die Rollenpflege nun an die Customizing-Sperre gekoppelt werden, die über die Tabelle T000 für einzelne Mandanten gesetzt werden kann (SAP-Hinweis 1723881).

Die Pflege von Benutzerzuordnungen ist dann weiterhin möglich, die Pflege der Berechtigungswerte aber nicht mehr. Auch für die Pflege von Rollen gibt es einige Neuerungen. So sind mit der Transaktion PFCGMASSVAL bzw. dem Report PFCG_MASS_VAL Massenänderungen möglich (Hinweis 2177996).

Dies umfasst das Ändern von Organisationsebenen sowie von Feldwerten in einem Berechtigungsobjekt oder einem Berechtigungsfeld (für verschiedene Objekte).

Zur Ermittlung erforderlicher Berechtigungen steht auch ein Langzeit-Trace zur Verfügung (Hinweis 2220030: Transaktion STUSERTRACE). Im Gegensatz zum herkömmlichen Berechtigungs-Trace werden die Protokolle verdichtet, das heißt, dass eine einmal protokollierte Berechtigungsprüfung kein zweites Mal für den betreffenden Benutzer aufgezeichnet wird.

Diese Aufzeichnung eignet sich auch zur Protokollierung der Berechtigungsprüfungen von Schnittstellen- und Hintergrundbenutzern. Diese können über einen längeren Zeitraum aufgezeichnet und dann mit der Transaktion PFCG automatisch in eine Rolle übernommen werden.

Neu ab NetWeaver 7.50, SP3, ist die Möglichkeit, Transaktionen mandantenabhängig zu sperren (Hinweis 2234192). Bisher waren Transaktionssperren immer systemweit gültig. Mit der Transaktion SM01_CUS können nun Transaktionen auch für einzelne Mandanten gesperrt werden. Auch werden regelmäßig neue Berechtigungsprüfungen implementiert.

Z. B. können Berechtigungen im Transportwesen auch systembezogen vergeben werden (Berechtigungsobjekte S_CTS_SADM und S_SYS_RWBO). Für die sogenannten gesetzeskritischen Berechtigungen sind die Berechtigungsobjekte S_RFCRAIAR (Berechtigung für Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN) und S_SCD0_OBJ (Berechtigung für Änderungsbelegobjekte) zu beachten.

Die Beispiele zeigen die Erfordernis auf, die jeweiligen Neuerungen des NetWeaver in die bestehenden Security-Konzepte zu integrieren. Zusätzlich sind die Security-Patches zu beachten, die an jedem zweiten Dienstag im Monat im Rahmen des SAP Security Patchday veröffentlicht werden (support.sap.com/securitynotes). Security-Hinweise zu produktiv genutzten Komponenten sind zeitnah einzuspielen.

avatar
Thomas Tiede, IBS

Thomas Tiede ist Geschäftsführer von IBS Schreiber.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.