Workload-Analyse durchführen
SAP Solution Manager
Hierdurch wird der technische User zum Dialog-User und eine Anmeldung im SAP System ist uneingeschränkt möglich. Also meldet sich Johannes mit dem bekannten Passwort des RFC Users im Produktivsystem an. Dank sehr weitreichender Berechtigungen hat er fortan Zugriff auf allerlei kritische Tabellen, Transaktionen und Programme in Produktion. Mit der Identität des RFC Users beginnt Johannes mit der technischen Kompromittierung des Produktivsystems… RFC Sicherheit: Alles nur erfunden – oder alltägliche Bedrohung? Ob nun eine simple Verkleidung, veränderte biometrische Eigenschaften oder ein gekaperter, technischer User im SAP System: die Grundlage der Kompromittierung ist dieselbe. Eine Person nutzt eine andere Identität, um Zugang und Berechtigungen zu geschützten Bereichen zu bekommen. Außerdem hätte das Übel in allen drei Geschichten durch Pro-Aktivität verhindert werden können. Wann haben Sie sich das letzte Mal Gedanken über die Sicherheit Ihrer RFC Schnittstellen gemacht? Können Sie mit Sicherheit sagen, dass alle Ihre technischen RFC User nur die Berechtigungen besitzen, die sie auch tatsächlich benötigen? Und wissen Sie eigentlich wer genau die Passwörter dieser User kennt? Können Sie zu 100% ausschließen, dass nicht jetzt in diesem Moment ein SAP User mit falscher Identität Ihre Produktivsysteme infiltriert? Change now: Es geht um Pro-Aktivität! Doch bevor Sie jetzt beginnen und sich auf die Suche nach dem „Identitäten-Wandler“ begeben (was ich wirklich nicht empfehlen möchte!), schlage ich vor, dass Sie die Wurzel des Übels fassen und Ihre RFC Sicherheit proaktiv stärken. Wenn Sie also mehr erfahren möchten, habe ich hier folgende 3 Tipps für Sie: 1) Unser E-Book über SAP RFC-Schnittstellen 2) Unser kostenloses Webinar zum Thema RFC-Schnittstellen bereinigen 3) Blogbeitrag über unser Vorgehen zur Optimierung von RFC Schnittstellen Wie immer freue ich mich auf Ihr Feedback und Ihre Kommentare direkt unterhalb dieser Zeilen!
Database Procedure Calls werden in der Statistik separat vermessen. Database Procedure Calls sind besonders in SAP-HANA-Systemen relevant, in denen aus dem ABAP-Server heraus Database Procedures gestartet werden. Ein weiterer Anwendungsfall sind APO-Systeme, denn die Kommunikation zwischen APO-Instanzen und SAP liveCache erfolgt über Database Procedures (die man auch als COM-Routinen bezeichnet).
AL08 Systemweite Liste der Benutzersitzungen
SAP Basis, das bedeutet Systemadministration und Plattformbasis von SAP-Systemen - quasi die Betriebsebene hinter den SAP-Anwendungen im Unternehmen. NEXUS / ENTERPRISE SOLUTIONS nimmt dieses Geschäftsfeld jetzt stärker ins Visier und verstärkt sein Dienstleistungsportfolio im Grundbetrieb von SAP-Basis Services (Application Management Services / laufende Betreuung) mit optionalen Erweiterungen und Projektleistungen des SAP-Basis-Betriebs, etwa im Zuge von Migrationen.
In diesem Artikel zum Thema SAP Security Automation möchte ich einen kleinen Blick in die Zukunft von automatisierten Prozessen im SAP Security Bereich wagen. Das Thema Security Automation bietet für viele Unternehmen noch eine Menge Potential in Bezug auf Zeitersparnis und Prozessoptimierung. Unser tägliches Arbeitsumfeld bietet zahlreiche Aufgaben, die schon heute exzellent automatisch bearbeitet werden könnten. Aus diesem Grund stelle ich in diesem Artikel zwei der Möglichkeiten vor, welche im weit gefassten Bereich Security Automation bereits bestehen. Security Automation mittels SAP Security Check Die erste Möglichkeit der Security Automation, die ich hier vorstellen möchte, ist die automatische Prüfung der vorhandenen Berechtigungen. Haben Sie sich schon einmal gefragt, wer von den Usern in Ihrem SAP-System kritische Berechtigungen besitzt? Und haben Sie dies schon einmal per Hand versucht nachzuvollziehen? Dies ist je nach Kenntnisstand und Erfahrung des Berechtigungsadministrators eine Arbeit, bei der einiges an Zeit ins Land geht. Wenn zusätzlich eine Wirtschaftsprüfung angekündigt wird und das SAP-System bezüglich kritischer Berechtigungen sowie Segregation of Duties überprüft werden soll, dann ist es sehr schwierig allen Anforderungen zu genügen und die Berechtigungslandschaft diesbezüglich abzusichern. Aus diesem Grund stellen verschiedene Anbieter Lösungen bereit, mittels Toolunterstützung die Überprüfung des Berechtigungswesens in Hinblick auf kritische Berechtigungen und Segregation of Duties zu automatisieren. So können Berechtigungsadministratoren ihre wertvolle Zeit dazu nutzen, die Fehler zu beheben, anstatt eben diese Fehler erst zu suchen. Wir nutzen beispielsweise ein Tool, welches die Überprüfung von über 250 Regeln durchläuft. Anschließend erhalten wir eine Auswertung darüber, gegen welche Regeln verstoßen wird und welche Punkte in Ordnung sind. Ein einfaches Beispiel für solche Regeln ist die Verwendung des Profils SAP_ALL. Ein weiteres wäre die Vergabe der Sprungberechtigung im Debugging (Berechtigungsobjekt S_DEVELOP mit dem Feld ACTVT = 02). Dies sind zwei relativ simple Beispiele des Regelwerks von Security Check-Tools. Weiterführend werden auch Abfragen getätigt, welche im Bereich Segregation of Duties angesiedelt sind. Die Verwendung dieses Tools ermöglichte es uns, von der manuellen Überprüfung von kritischen Berechtigungen zu einem automatischen Ablauf überzugehen.
Mit "Shortcut for SAP Systems" steht ein Tool zur Verfügung, das einige Aufgaben im Bereich der SAP Basis erheblich erleichtert.
Daher können auch kritische Berechtigungen, Profile und Rollen bestehen, die nicht in das von SAP definierte Namensschema passen.
Im Bereich der SAP-Basis ist es ua im Zuge von Systemupdates notwendig, zeitlich begrenzte Änderungen in den Sicherheitseinstellungen der Mandanten und Systeme vorzunehmen.