{"id":20551,"date":"2017-04-19T11:55:27","date_gmt":"2017-04-19T09:55:27","guid":{"rendered":"http:\/\/e3mag.com\/?p=20551"},"modified":"2022-05-01T08:22:15","modified_gmt":"2022-05-01T06:22:15","slug":"begrenzter-zugriff-fuer-basisbetreuer","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/begrenzter-zugriff-fuer-basisbetreuer\/","title":{"rendered":"Begrenzter Zugriff f\u00fcr Basisbetreuer"},"content":{"rendered":"

Mit DBACockpit und DB02 stehen den SAP-Basismitarbeitern zwei zentrale Transaktionen zur Verf\u00fcgung, mit denen sie die SAP-Datenbanken \u00fcberwachen, steuern, konfigurieren und verwalten k\u00f6nnen.<\/p>\n

Zahlreiche Basisfunktionen lassen sich dar\u00fcber ausf\u00fchren, zum Beispiel die \u00dcberpr\u00fcfung von Systemstatus und Betriebsarten, Tabellenerweiterungen oder die Indexpflege und -aktualisierung von Tabellen.<\/p>

\"\"<\/a><\/div><\/div>\n

Zudem enthalten beide Transaktionen den SQL Command Editor, der \u00fcber sogenannte Open-SQL-Befehle den unmittelbaren Zugriff auf funktionale Tabellen erlaubt.<\/p>\n

Damit k\u00f6nnen Anwender auch an gesch\u00e4ftskritische Informationen gelangen, wie Personal- und Finanzbuchhaltungsdaten oder auch Passwort-Hashes.<\/p>\n

Security Patches f\u00fcr SQL Command Editor dringend beachten<\/h3>\n

SAP hat f\u00fcr den SQL Command Editor zahlreiche Sicherheits-Patches ausgeliefert. Diese Sicherheits-Patches sind unbedingt zu beachten und einzuspielen.<\/p>\n

Um den Zugriff auf die SAP-Daten zu regulieren, hat SAP zudem eine neue Berechtigung ausgeliefert (S_TABU_SQL). Damit k\u00f6nnen die Unternehmen festlegen, welche Mitarbeiter auf welche SAP-Daten zugreifen d\u00fcrfen. \"Kastner\"<\/a><\/p>\n

Zus\u00e4tzlich wurde im SQL Command Editor eine Tracking-Funktion implementiert, mit der jedes \u2013 berechtigte oder unberechtigte \u2013 Kommando automatisch geloggt wird.<\/p>\n

Werden diese Log-Daten zudem in ein SIEM-System (Security Information and Event Management), wie SAP Enterprise Threat Detection (ETD), \u00fcbertragen und dort analysiert, erhalten Unternehmen Transparenz \u00fcber alle erfolgten Zugriffe.<\/p>\n

M\u00f6glichem Missbrauch kann damit zeitnah durch Monitoring und Alerting entgegengesteuert werden. Obwohl es auch aus Datenschutz- und Compliance-Gr\u00fcnden notwendig ist, den Zugriff f\u00fcr die Mitarbeiter aus der SAP-Basisadministration zu begrenzen, sieht die Realit\u00e4t oft anders aus.<\/p>\n

So werden bei SAP-Sicherheitstests in Unternehmen aller Gr\u00f6\u00dfen und Branchen immer wieder ungepatchte Schwachstellen in der SQL-Command-Editor-Funktion von DBACOCKPIT und DB02 identifiziert.<\/p>\n

Die SAP-Basisbetreuer haben somit weitreichende M\u00f6glichkeiten, an sensible SAP-Daten heranzukommen.<\/p>\n

Komplett\u00fcbernahme vorstellbar<\/h3>\n

Um die m\u00f6glichen Folgesch\u00e4den zu verdeutlichen, haben SAP-Penetration-Testing-Experten von Virtual Forge in einem ausgew\u00e4hlten Kundensystem zun\u00e4chst die USR02-Tabelle ausgelesen, die die User-Passw\u00f6rter enth\u00e4lt.<\/p>\n

Nachdem es den Testern gelungen war, die verschl\u00fcsselten Passw\u00f6rter mit einem Password-Cracker-Tool zu knacken, konnten sie sich problemlos am SAP-System anmelden und auf dieselben Funktionen zugreifen, f\u00fcr die die einzelnen Nutzer berechtigt waren.<\/p>\n

Die Tests zeigten: B\u00f6sartige Angriffe h\u00e4tten bis zur kompletten Kompromittierung eines SAP-Systems f\u00fchren k\u00f6nnen.<\/p>\n

Daher ist es f\u00fcr jedes SAP-Anwender\u00adunternehmen zwingend geboten, regelm\u00e4\u00dfig die Security Notes insbesondere f\u00fcr den SQL Command Editor einzuspielen.<\/p>\n

Dar\u00fcber hinaus sollten mindestens einmal j\u00e4hrlich Upgrades vorgenommen und dabei die aktuellen Support Packages eingespielt werden, mit denen SAP die Kunden mit Fehlerbereinigungen und gesetzlich vorgeschriebenen Softwareanpassungen versorgt.<\/p>\n

Externe Beratung empfehlenswert<\/h3>\n

Da es in den meisten Unternehmen jedoch keine ausgewiesenen SAP-Sicherheitsexperten gibt, bietet es sich an, f\u00fcr das regelm\u00e4\u00dfige Einspielen der Security Patches externe Dienstleister an Bord zu holen.<\/p>\n

Unverzichtbar ist, dass der Beratungspartner das erforderliche Sicherheits- und SAP-Know-how mitbringt, vor allem Erfahrungen in der Umsetzung von Patches, Verst\u00e4ndnis f\u00fcr unterschiedliche SAP-Releases und Upgrade-Verfahren sowie Kenntnisse im Bereich der Gefahrenerkennung (\u201eThreat Detection\u201c) und Pr\u00e4vention.<\/p>\n

Mit diesen Kompetenzen ausgestattet, kann der SAP-Sicherheitsanbieter den Kunden unterst\u00fctzen, die Kritikalit\u00e4t der Security Patches zu bewerten. Zudem erh\u00e4lt der Kunde Beratung bei der Auswahl der erforderlichen Tests, um zu verhindern, dass es beim Einspielen der Patches zu Programm- und Anwendungsfehlern kommt.<\/p>\n

Da die selektive \u00dcberpr\u00fcfung aufw\u00e4ndige Regressionstests \u00fcber das komplette SAP-System hinweg \u00fcberfl\u00fcssig macht, spart der Kunde dadurch jede Menge Zeit und Kosten.<\/p>\n

Werkzeuge erg\u00e4nzend einsetzen<\/h3>\n

Im Bereich der Pr\u00e4vention bietet sich auch der Einsatz spezieller Werkzeuge zur Erkennung und Korrektur von Fehlern in der kundenindividuellen SAP-Systemkonfiguration an.<\/p>\n

Mit dem Virtual Forge SystemProfiler (alternativ: Damit) lassen sich alle Benutzer ermitteln, die umfangreiche Berechtigungen zur Ausf\u00fchrung des SQL Command Editor (DB02, DBACOCKPIT) und zugeh\u00f6riger Tabellenberechtigungen (S_TABU_SQL) haben.<\/p>\n

Hat ein Kunde seine SAP-Systeme an den SAP Solution Manager angeschlossen, lassen sich mit solchen Werkzeugen automatisch Sicherheitsl\u00fccken und Schwachstellen identifizieren.<\/p>\n

So kann beispielsweise auch f\u00fcr alle SAP-Systeme regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden, ob alle erforderlichen Security Patches eingespielt wurden, die die Sicherheitsl\u00fccken im SQL Command Editor vollst\u00e4ndig beseitigen.<\/p>\n

\"https:\/\/e3mag.com\/partners\/virtual-forge-gmbh\/\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Wer seine SAP-Daten vor Missbrauch sch\u00fctzen will, muss auch die Zugriffsrechte f\u00fcr die SAP-Basisadministratoren beschr\u00e4nken. Sicherheitstests bei Kunden belegen gravierende Schwachstellen in diesem Bereich. <\/p>\n","protected":false},"author":985,"featured_media":20552,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,11023],"tags":[264,12211,236,1516,338,4981],"coauthors":[22425],"class_list":["post-20551","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-1704","tag-datenbanken","tag-monitoring","tag-sap","tag-security","tag-sql","tag-virtual-forge","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/04\/shutterstock_324897317-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Wer seine SAP-Daten vor Missbrauch sch\u00fctzen will, muss auch die Zugriffsrechte f\u00fcr die SAP-Basisadministratoren beschr\u00e4nken. Sicherheitstests bei Kunden belegen gravierende Schwachstellen in diesem Bereich. <\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 17-04<\/a>","author_info_v2":{"name":"Thomas Kastner, Virtual Forge","url":"https:\/\/e3mag.com\/de\/author\/thomas-kastner\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/20551","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/985"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=20551"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/20551\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/20552"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=20551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=20551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=20551"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=20551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}