Sicherheitsrelevante Neuerungen im NetWeaver

Mit dem NetWeaver 7.50, SP3, wurde ein neues Security Audit Log (SAL) ausgeliefert. Der SAP-Hinweis 2191612 beschreibt die neuen Funktionen des Audit Logs.

Das bisherige Audit Log hat viele Schwachpunkte, wie z. B. die eingeschränkte Anzahl an Filtern, die fehlende Manipulationserkennung, die fehlende Archivierungsmöglichkeit und die unzureichenden Möglichkeiten zur Angabe zu überwachender Benutzer.

Das neue Security Audit Log (Transaktionen RSAU_*) bietet nun verschiedene neue Funktionalitäten:

• Die Protokolle können teilweise oder vollständig in der Datenbank gespeichert und verwaltet werden.
• Die maximale Anzahl der Filter je Profil wurde von 10 auf 90 erhöht.
• Es können auch Benutzergruppen zur Protokollierung angegeben oder explizit ausgeschlossen werden.
• Zur Erkennung von Manipulationen an den Protokolldateien kann ein Integritätsschutz implementiert werden.
• Audit-Log-Konfigurationen können exportiert und importiert werden, um sie zwischen verschiedenen Systemen auszutauschen.

Die alte Funktionalität (Transaktionen SM18, SM19, SM20, SM20N) wird nicht mehr weiterentwickelt. Für einen Übergangszeitraum bleiben sie im bisherigen Funktionsumfang noch verfügbar. SAP empfiehlt aber, auf das neue Audit Log umzustellen.

Eine weitere neue Funktionalität bietet Schutz vor Rollenmanipulationen in Produktivsystemen. Bisher wurde die Rollenpflege dadurch eingeschränkt, dass die entsprechenden Berechtigungen dafür nicht vergeben wurden.

Über den Schalter CLIENT_SET_FOR_ROLES in der Tabelle PRGN_CUST kann die Rollenpflege nun an die Customizing-Sperre gekoppelt werden, die über die Tabelle T000 für einzelne Mandanten gesetzt werden kann (SAP-Hinweis 1723881).

Die Pflege von Benutzerzuordnungen ist dann weiterhin möglich, die Pflege der Berechtigungswerte aber nicht mehr. Auch für die Pflege von Rollen gibt es einige Neuerungen. So sind mit der Transaktion PFCGMASSVAL bzw. dem Report PFCG_MASS_VAL Massenänderungen möglich (Hinweis 2177996).

Dies umfasst das Ändern von Organisationsebenen sowie von Feldwerten in einem Berechtigungsobjekt oder einem Berechtigungsfeld (für verschiedene Objekte).

Zur Ermittlung erforderlicher Berechtigungen steht auch ein Langzeit-Trace zur Verfügung (Hinweis 2220030: Transaktion STUSERTRACE). Im Gegensatz zum herkömmlichen Berechtigungs-Trace werden die Protokolle verdichtet, das heißt, dass eine einmal protokollierte Berechtigungsprüfung kein zweites Mal für den betreffenden Benutzer aufgezeichnet wird.

Diese Aufzeichnung eignet sich auch zur Protokollierung der Berechtigungsprüfungen von Schnittstellen- und Hintergrundbenutzern. Diese können über einen längeren Zeitraum aufgezeichnet und dann mit der Transaktion PFCG automatisch in eine Rolle übernommen werden.

Neu ab NetWeaver 7.50, SP3, ist die Möglichkeit, Transaktionen mandantenabhängig zu sperren (Hinweis 2234192). Bisher waren Transaktionssperren immer systemweit gültig. Mit der Transaktion SM01_CUS können nun Transaktionen auch für einzelne Mandanten gesperrt werden. Auch werden regelmäßig neue Berechtigungsprüfungen implementiert.

Z. B. können Berechtigungen im Transportwesen auch systembezogen vergeben werden (Berechtigungsobjekte S_CTS_SADM und S_SYS_RWBO). Für die sogenannten gesetzeskritischen Berechtigungen sind die Berechtigungsobjekte S_RFCRAIAR (Berechtigung für Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN) und S_SCD0_OBJ (Berechtigung für Änderungsbelegobjekte) zu beachten.

Die Beispiele zeigen die Erfordernis auf, die jeweiligen Neuerungen des NetWeaver in die bestehenden Security-Konzepte zu integrieren. Zusätzlich sind die Security-Patches zu beachten, die an jedem zweiten Dienstag im Monat im Rahmen des SAP Security Patchday veröffentlicht werden (support.sap.com/securitynotes). Security-Hinweise zu produktiv genutzten Komponenten sind zeitnah einzuspielen.