Maximaler Zugriffsschutz für Ihre SAP-Tabellen und ABAP-Programme

SAT BLOG: Maximaler Zugriffsschutz für Ihre SAP-Tabellen und ABAP-ProgrammeDie Verwendung kritischer Transaktionen ist einer der am häufigsten vorkommenden Punkte auf Mängellisten von Wirtschaftsprüfern. Und das zu Recht. Denn leider gehen beim Zugriff auf SAP-Tabellen und ABAP-Programme nur allzu häufig große Sicherheitsrisiken mit solchen Transaktionen einher.

Wie schützen Sie sich also vor kritischen Transaktionsaufrufen und ermöglichen Ihren Usern dennoch alle benötigten Zugriffe? Unser Praxis-Tipp zeigt es Ihnen.

Das Problem liegt natürlich nicht im Zugriff auf SAP-Tabellen oder ABAP-Programme per se, sondern in der Verwendung der Transaktionsaufrufe wie SE16/SM30 oder SA38 hierfür. Denn viel zu selten werden diese für den Zugriff auf konkrete Tabellen oder ABAP-Programm eingeschränkt.

Eine Möglichkeit der Einschränkung auf konkrete Tabellen bietet das Objekt S_TABU_NAM mit seinem Feld TABLE. Dabei wirkt jedoch die Verwendung des klassischen Objekts S_TABU_DIS mit dem Feld DICBERCLS additiv. Das heißt, wenn ein Benutzer beide Objekte in verschiedenen Ausprägungen besitzt, dann kann er am Ende doch wieder auf zahlreiche Tabellen zugreifen und die vermeintliche Einschränkung verläuft ins Leere. Eine Situation, die wir in der Praxis erstaunlich häufig vorfinden. Tabellengruppen sind häufig hunderten von Tabellen zugeordnet.

Ein möglicher Weg in diesem Beispiel wäre, über die konkreten Tabellennamen mit S_TABU_NAM zu gehen. Das gleiche gilt für das Objekt S_PROGNAM mit Feld P_PROGNAM und dem Pendant S_PROGRAM. Mit denen sich die Ausführung von konkrete ABAP-Programmen bzw. Programmgruppen beschränken lässt.

Der sicherste Weg um Tabellen und ABAP-Programme zu berechtigen ist jedoch die Verwendung von Parameter-Transaktion oder Report-Transaktion – und für viele Tabellen und ABAP-Programme gibt es diese Transaktionen bereits im SAP Standard. Fehlen diese jedoch mal, bleibt Ihnen die Möglichkeit der Erstellung von neuen Parameter-Transaktion oder Report-Transaktion mit Hilfe der SAP Basis-Transaktion SE93 (Transaktionspflege).

Der Vorteil für Sie: Sie können so Transaktionen für konkrete Programme und Tabellen erstellen und über Rollen ganz einfach an Benutzer berechtigen. Und auf die mächtigen und daher kritischen Transaktionen SE16/SM30 und SA38 auf der anderen Seite komplett verzichten.

Nach Anlage einer Transaktion empfehlen wir Ihnen in einem weiteren Schritt, die parallele Pflege der Berechtigungsvorschlagswerte (SUS24) mit den konkreten Objektausprägungen S_TABU_NAM bzw. S_PROGNAM. So werden Ihnen bei der künftigen Rollenpflege die korrekten Vorschlagswerte immer gleich mit angeboten.

Komfortabler gelingt Ihnen die automatische Absicherung vor kritischen Transaktionen natürlich mit Hilfe der SAST SUITE. Das gilt auch für die Anlage einer hohen Anzahl Transaktionen inkl. SU24-Updates auf Knopfdruck.
Sprechen Sie uns an, wir beraten Sie gerne: knowhow@akquinet.de

Oder nutzen Sie unsere Webinare, um sich ohne viel Zeitaufwand über dieses und andere aktuelle Themen aus dem Bereich SAP Security & Compliance zu informieren – live und maßgeschneidert auf Ihre Fragen.


Steffen Maltig
Head of SAST Authorization Management bei AKQUINET