Information und Bildungsarbeit von und für die SAP-Community

Sicherheit in technischen SAP-Mandanten

In Sicherheitskonzepten wird für produktive SAP-Systeme häufig nur der Produktivmandant betrachtet. Aber auch die anderen Mandanten, insbesondere der Mandant 000, sind in die Sicherheitsbetrachtung einzubeziehen.
Thomas Tiede, IBS
11. Oktober 2018
It-Security
avatar

Noch immer wird bei Sicherheitsbetrachtungen häufig das Profil SAP_ALL genutzt anstelle konkreter Rollen. Dabei ist auch von anderen Mandanten aus ein Zugriff auf die produktiven Daten möglich.

Werden sensible Daten verarbeitet (personenbezogene Daten, Konditionen, Produktionsdaten etc.), so ist der Zugriff genauso abzusichern wie im Produktivmandanten.

Für den Zugriff auf die produktiven Daten kann z. B. das DBA Cockpit genutzt werden, welches mit über 50 verschiedenen Transaktionen aufgerufen werden kann.

Dieses enthält den SELECT-Editor bzw. SQL-Editor, mit dem Daten direkt in der Datenbank angezeigt und (beim SQL-Editor) auch geändert werden können. Da das Mandantenkonzept eine Logik innerhalb des Abap-Stacks ist, kennt die Datenbank keine Mandanten.

Daher werden beim Zugriff auf eine Tabelle immer alle Datensätze aller Mandanten gelesen. So enthält z. B. die Tabelle PA0008 (Basisgehälter im SAP HCM) im Mandanten 000 keine Datensätze.

Wird sie dort aber über das DBA Cockpit aufgerufen, so werden alle Datensätze aller Mandanten angezeigt, somit auch die Gehaltsdaten im Produktivmandanten. Das gilt entsprechend auch für alle anderen Tabellen.

Um z. B. die Kennwörter von Benutzern aus dem Produktivmandanten zu hacken, muss lediglich die Tabelle USR02 aufgerufen werden, in der die Hashwerte der Kennwörter gespeichert werden. Diese können dann exportiert und mit entsprechenden Tools gehackt werden.

Auch andere Funktionen ermöglichen den Zugriff auf Daten aus anderen Mandanten. So bietet z. B. der Funktionsbaustein SE16N_INTERFACE die Möglichkeit, Tabellen mandantenübergreifend anzuzeigen.

Außerdem kann hier gleichzeitig auch der Modus zum Editieren der Tabelle aktiviert werden, sodass Tabellen, die standardmäßig nicht änderbar sind, im Produktivmandanten geändert werden können.

Eine weitere Möglichkeit zum Zugriff auf produktive Daten stellt der Drucker-Spool dar. Hiermit können Druckaufträge aus anderen Mandanten angezeigt werden.

Werden sensible Daten im Produktivmandanten gedruckt, können diese im Mandanten 000 eingesehen werden. Neben dem Zugriff auf produktive Daten können auch Berechtigungen eingesetzt werden, mit denen gegen geltende Gesetze verstoßen werden kann.

Dies betrifft insbesondere Elemente der Anwendungsentwicklung sowie das Löschen aufbewahrungspflichtiger Protokolle. Anwendungsentwicklung ist mandantenübergreifend, daher ist es in einem Produktivsystem in allen Mandanten untersagt.

Viele Protokolle sind ebenfalls mandantenübergreifend (z. B. die Tabellen­änderungsprotokolle), daher ist das Löschen dieser Protokolle von allen Mandanten aus untersagt. Diese Berechtigungen sind daher auch im Mandanten 000 nicht zu vergeben.

Auch Systemeinstellungen können von allen Mandanten aus gepflegt werden. Daher sind die Berechtigungen in allen Mandanten abzusichern. Hierüber lassen sich allerdings auch die Berechtigungen für das Rechenzentrum einrichten.

Ein klassischer Rechenzentrumsbetrieb benötigt Berechtigungen ausschließlich im Mandanten 000, da alle System­einstellungen von hier aus vorgenommen werden können, wie zum Beispiel das Einstellen der System­änderbarkeit sowie die Pflege von Systemparametern und Trusted Systems.

Im Sicherheitskonzept ist festzulegen, welche Berechtigungen für Systemeinstellungen im Mandanten 000 vergeben werden dürfen und welche nicht.

Die Sicherheit des Systems kann mittels dieser Berechtigungen erheblich beeinflusst werden. Die Sicherheit eines SAP-Systems ist daher nicht nur von der Absicherung der Produktivmandanten abhängig.

Die technischen Mandanten, insbesondere der Mandant 000, stellen ebenso wesentliche Aspekte zur Systemsicherheit dar. Die Absicherung ist sehr viel weniger komplex als beim Produktivmandanten, da lediglich die mandantenübergreifenden Komponenten zu betrachten sind. Diese Absicherung ist in ein Sicherheitskonzept grundsätzlich mit aufzunehmen.

avatar
Thomas Tiede, IBS

Thomas Tiede ist Geschäftsführer von IBS Schreiber.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.