{"id":54179,"date":"2018-10-11T08:00:52","date_gmt":"2018-10-11T06:00:52","guid":{"rendered":"http:\/\/e3mag.com\/?p=54179"},"modified":"2020-02-09T18:27:23","modified_gmt":"2020-02-09T17:27:23","slug":"sicherheit-in-technischen-sap-mandanten","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sicherheit-in-technischen-sap-mandanten\/","title":{"rendered":"Sicherheit in technischen SAP-Mandanten"},"content":{"rendered":"

Noch immer wird bei Sicherheitsbetrachtungen h\u00e4ufig das Profil SAP_ALL genutzt anstelle konkreter Rollen. Dabei ist auch von anderen Mandanten aus ein Zugriff auf die produktiven Daten m\u00f6glich.<\/p>\n

Werden sensible Daten verarbeitet (personenbezogene Daten, Konditionen, Produktionsdaten etc.), so ist der Zugriff genauso abzusichern wie im Produktivmandanten.<\/p>

\"\"<\/a><\/div><\/div>\n

F\u00fcr den Zugriff auf die produktiven Daten kann z. B. das DBA Cockpit genutzt werden, welches mit \u00fcber 50 verschiedenen Transaktionen aufgerufen werden kann.<\/p>\n

Dieses enth\u00e4lt den SELECT-Editor bzw. SQL-Editor, mit dem Daten direkt in der Datenbank angezeigt und (beim SQL-Editor) auch ge\u00e4ndert werden k\u00f6nnen. Da das Mandantenkonzept eine Logik innerhalb des Abap-Stacks ist, kennt die Datenbank keine Mandanten.<\/p>\n

Daher werden beim Zugriff auf eine Tabelle immer alle Datens\u00e4tze aller Mandanten gelesen. So enth\u00e4lt z. B. die Tabelle PA0008 (Basisgeh\u00e4lter im SAP HCM) im Mandanten 000 keine Datens\u00e4tze.<\/p>\n

Wird sie dort aber \u00fcber das DBA Cockpit aufgerufen, so werden alle Datens\u00e4tze aller Mandanten angezeigt, somit auch die Gehaltsdaten im Produktivmandanten. Das gilt entsprechend auch f\u00fcr alle anderen Tabellen.<\/p>\n

Um z. B. die Kennw\u00f6rter von Benutzern aus dem Produktivmandanten zu hacken, muss lediglich die Tabelle USR02 aufgerufen werden, in der die Hashwerte der Kennw\u00f6rter gespeichert werden. Diese k\u00f6nnen dann exportiert und mit entsprechenden Tools gehackt werden.<\/p>\n

Auch andere Funktionen erm\u00f6glichen den Zugriff auf Daten aus anderen Mandanten. So bietet z. B. der Funktionsbaustein SE16N_INTERFACE die M\u00f6glichkeit, Tabellen mandanten\u00fcbergreifend anzuzeigen.<\/p>\n

Au\u00dferdem kann hier gleichzeitig auch der Modus zum Editieren der Tabelle aktiviert werden, sodass Tabellen, die standardm\u00e4\u00dfig nicht \u00e4nderbar sind, im Produktivmandanten ge\u00e4ndert werden k\u00f6nnen.<\/p>\n

Eine weitere M\u00f6glichkeit zum Zugriff auf produktive Daten stellt der Drucker-Spool dar. Hiermit k\u00f6nnen Druckauftr\u00e4ge aus anderen Mandanten angezeigt werden.<\/p>\n

Werden sensible Daten im Produktivmandanten gedruckt, k\u00f6nnen diese im Mandanten 000 eingesehen werden. Neben dem Zugriff auf produktive Daten k\u00f6nnen auch Berechtigungen eingesetzt werden, mit denen gegen geltende Gesetze versto\u00dfen werden kann.<\/p>\n

Dies betrifft insbesondere Elemente der Anwendungsentwicklung sowie das L\u00f6schen aufbewahrungspflichtiger Protokolle. Anwendungsentwicklung ist mandanten\u00fcbergreifend, daher ist es in einem Produktivsystem in allen Mandanten untersagt.<\/p>\n

Viele Protokolle sind ebenfalls mandanten\u00fcbergreifend (z. B. die Tabellen\u00ad\u00e4nderungsprotokolle), daher ist das L\u00f6schen dieser Protokolle von allen Mandanten aus untersagt. Diese Berechtigungen sind daher auch im Mandanten 000 nicht zu vergeben.<\/p>\n

Auch Systemeinstellungen k\u00f6nnen von allen Mandanten aus gepflegt werden. Daher sind die Berechtigungen in allen Mandanten abzusichern. Hier\u00fcber lassen sich allerdings auch die Berechtigungen f\u00fcr das Rechenzentrum einrichten.<\/p>\n

Ein klassischer Rechenzentrumsbetrieb ben\u00f6tigt Berechtigungen ausschlie\u00dflich im Mandanten 000, da alle System\u00adeinstellungen von hier aus vorgenommen werden k\u00f6nnen, wie zum Beispiel das Einstellen der System\u00ad\u00e4nderbarkeit sowie die Pflege von Systemparametern und Trusted Systems.<\/p>\n

Im Sicherheitskonzept ist festzulegen, welche Berechtigungen f\u00fcr Systemeinstellungen im Mandanten 000 vergeben werden d\u00fcrfen und welche nicht.<\/p>\n

Die Sicherheit des Systems kann mittels dieser Berechtigungen erheblich beeinflusst werden. Die Sicherheit eines SAP-Systems ist daher nicht nur von der Absicherung der Produktivmandanten abh\u00e4ngig.<\/p>\n

Die technischen Mandanten, insbesondere der Mandant 000, stellen ebenso wesentliche Aspekte zur Systemsicherheit dar. Die Absicherung ist sehr viel weniger komplex als beim Produktivmandanten, da lediglich die mandanten\u00fcbergreifenden Komponenten zu betrachten sind. Diese Absicherung ist in ein Sicherheitskonzept grunds\u00e4tzlich mit aufzunehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"

In Sicherheitskonzepten wird f\u00fcr produktive SAP-Systeme h\u00e4ufig nur der Produktivmandant betrachtet. Aber auch die anderen Mandanten, insbesondere der Mandant 000, sind in die Sicherheitsbetrachtung einzubeziehen.<\/p>\n","protected":false},"author":148,"featured_media":15608,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,24724],"tags":[],"coauthors":[22429],"class_list":["post-54179","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag-1809","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

In Sicherheitskonzepten wird f\u00fcr produktive SAP-Systeme h\u00e4ufig nur der Produktivmandant betrachtet. Aber auch die anderen Mandanten, insbesondere der Mandant 000, sind in die Sicherheitsbetrachtung einzubeziehen.<\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 18-09<\/a>","author_info_v2":{"name":"Thomas Tiede, IBS","url":"https:\/\/e3mag.com\/de\/author\/thomas-tiede\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/54179","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/148"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=54179"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/54179\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/15608"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=54179"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=54179"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=54179"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=54179"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}