Information et éducation par et pour la communauté SAP

Sicherheit in technischen SAP-Mandanten

In Sicherheitskonzepten wird für produktive SAP-Systeme häufig nur der Produktivmandant betrachtet. Aber auch die anderen Mandanten, insbesondere der Mandant 000, sind in die Sicherheitsbetrachtung einzubeziehen.
Thomas Tiede, IBS
11 octobre 2018
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Noch immer wird bei Sicherheitsbetrachtungen häufig das Profil SAP_ALL genutzt anstelle konkreter Rollen. Dabei ist auch von anderen Mandanten aus ein Zugriff auf die produktiven Daten möglich.

Werden sensible Daten verarbeitet (personenbezogene Daten, Konditionen, Produktionsdaten etc.), so ist der Zugriff genauso abzusichern wie im Produktivmandanten.

Für den Zugriff auf die produktiven Daten kann z. B. das DBA Cockpit genutzt werden, welches mit über 50 verschiedenen Transaktionen aufgerufen werden kann.

Dieses enthält den SELECT-Editor bzw. SQL-Editor, mit dem Daten direkt in der Datenbank angezeigt und (beim SQL-Editor) auch geändert werden können. Da das Mandantenkonzept eine Logik innerhalb des Abap-Stacks ist, kennt die Datenbank keine Mandanten.

Daher werden beim Zugriff auf eine Tabelle immer alle Datensätze aller Mandanten gelesen. So enthält z. B. die Tabelle PA0008 (Basisgehälter im SAP HCM) im Mandanten 000 keine Datensätze.

Wird sie dort aber über das DBA Cockpit aufgerufen, so werden alle Datensätze aller Mandanten angezeigt, somit auch die Gehaltsdaten im Produktivmandanten. Das gilt entsprechend auch für alle anderen Tabellen.

Um z. B. die Kennwörter von Benutzern aus dem Produktivmandanten zu hacken, muss lediglich die Tabelle USR02 aufgerufen werden, in der die Hashwerte der Kennwörter gespeichert werden. Diese können dann exportiert und mit entsprechenden Tools gehackt werden.

Auch andere Funktionen ermöglichen den Zugriff auf Daten aus anderen Mandanten. So bietet z. B. der Funktionsbaustein SE16N_INTERFACE die Möglichkeit, Tabellen mandantenübergreifend anzuzeigen.

Außerdem kann hier gleichzeitig auch der Modus zum Editieren der Tabelle aktiviert werden, sodass Tabellen, die standardmäßig nicht änderbar sind, im Produktivmandanten geändert werden können.

Eine weitere Möglichkeit zum Zugriff auf produktive Daten stellt der Drucker-Spool dar. Hiermit können Druckaufträge aus anderen Mandanten angezeigt werden.

Werden sensible Daten im Produktivmandanten gedruckt, können diese im Mandanten 000 eingesehen werden. Neben dem Zugriff auf produktive Daten können auch Berechtigungen eingesetzt werden, mit denen gegen geltende Gesetze verstoßen werden kann.

Dies betrifft insbesondere Elemente der Anwendungsentwicklung sowie das Löschen aufbewahrungspflichtiger Protokolle. Anwendungsentwicklung ist mandantenübergreifend, daher ist es in einem Produktivsystem in allen Mandanten untersagt.

Viele Protokolle sind ebenfalls mandantenübergreifend (z. B. die Tabellen­änderungsprotokolle), daher ist das Löschen dieser Protokolle von allen Mandanten aus untersagt. Diese Berechtigungen sind daher auch im Mandanten 000 nicht zu vergeben.

Auch Systemeinstellungen können von allen Mandanten aus gepflegt werden. Daher sind die Berechtigungen in allen Mandanten abzusichern. Hierüber lassen sich allerdings auch die Berechtigungen für das Rechenzentrum einrichten.

Ein klassischer Rechenzentrumsbetrieb benötigt Berechtigungen ausschließlich im Mandanten 000, da alle System­einstellungen von hier aus vorgenommen werden können, wie zum Beispiel das Einstellen der System­änderbarkeit sowie die Pflege von Systemparametern und Trusted Systems.

Im Sicherheitskonzept ist festzulegen, welche Berechtigungen für Systemeinstellungen im Mandanten 000 vergeben werden dürfen und welche nicht.

Die Sicherheit des Systems kann mittels dieser Berechtigungen erheblich beeinflusst werden. Die Sicherheit eines SAP-Systems ist daher nicht nur von der Absicherung der Produktivmandanten abhängig.

Die technischen Mandanten, insbesondere der Mandant 000, stellen ebenso wesentliche Aspekte zur Systemsicherheit dar. Die Absicherung ist sehr viel weniger komplex als beim Produktivmandanten, da lediglich die mandantenübergreifenden Komponenten zu betrachten sind. Diese Absicherung ist in ein Sicherheitskonzept grundsätzlich mit aufzunehmen.

avatar
Thomas Tiede, IBS

Thomas Tiede ist Geschäftsführer von IBS Schreiber.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.