Bereinigung von SAP-Standardbenutzern: Wie Sie kritische Benutzerstammsätze effizient bereinigen und beruhigt sperren können

SAST Blog: Bereinigung von SAP-StandardbenutzernHärtungsmaßnahmen für den Umgang mit SAP-Standardbenutzern sind ein integraler Bestandteil der SAP-Sicherheits- und Prüfungsleitfäden. Alles ein alter Hut? Nur auf den ersten Blick! Die Beratungspraxis zeigt, dass die Umsetzung dieser Schutzmaßnahmen zahlreiche Unternehmen aller Art und Größe immer wieder vor große Herausforderungen stellt.

 

SAP empfiehlt zum Schutz der Standardbenutzer, bestimmte Kriterien regelmäßig zu überprüfen. Im offiziellen SAP Security Guide finden Sie folgende Hinweise:

  • Pflegen Sie die Übersicht Ihrer Mandanten und stellen Sie sicher, dass keine unbekannten Mandanten existieren
  • Stellen Sie sicher, dass SAP* vorhanden ist und in allen Mandanten deaktiviert wurde
  • Sorgen Sie dafür, dass die Standardkennwörter für SAP*, DDIC und EARLYWATCH geändert wurden
  • Gewährleisten Sie, dass diese Benutzer in allen Mandanten zu der Gruppe SUPER gehören
  • Sperren Sie die Benutzer SAP*, DDIC und EARLYWATCH. Entsperren Sie sie nur, wenn es unbedingt erforderlich ist
  • Standardmäßig wird der Benutzer DDIC für den Transport des Hintergrundjobs (RDDIMPDP) eingerichtet. SAP empfiehlt Ihnen, einen anderen Benutzer für diesen Job einzurichten, damit Sie DDIC sperren können
    • Der Benutzer benötigt die Berechtigungen SAP_ALL und S_A.SYSTEM, weil der Job Funktionsbausteine für mehrere Anwendungen aufruft, die zuvor nicht für alle Fälle bestimmt werden können
    • Legen Sie den Benutzer als Systembenutzer an, damit ihn niemand als Dialogbenutzer verwenden kann
    • Legen Sie den Benutzer in allen Mandanten an, die für den Import verwendet werden
    • Passen Sie den Job RDDIMPDP so an, dass der neue Benutzer der Eigentümer ist (in Transaktion SM37)
  • Löschen Sie SAPCPIC, wenn Sie es nicht benötigen. Stellen Sie zumindest sicher, dass Sie das Standardkennwort für SAPCPIC geändert haben
  • Weitere Informationen finden Sie unter Berechtigungen in der Versionsverwaltung
  • Ändern Sie das Standardkennwort von TMSADM

Insbesondere Unternehmen mit komplexen SAP-Systemlandschaften stehen hierbei vor großen Herausforderungen, denn Produktionsausfälle möchte niemand riskieren.

Folgende Schwierigkeiten ergeben sich regelmäßig, wenn der Benutzer DDIC gesperrt werden soll:

  • Der Benutzer DDIC wird seit der Erst-Implementierung des Systems für die Hintergrundverarbeitung als Batch-Step-User verwendet
  • Es gibt keinen Überblick, in wie vielen RFC-Schnittstellen der Benutzer DDIC verwendet wird
  • Das Kundenprogramm läuft noch mit hartcodierten DDIC-Anmeldedaten
  • Der IT-Dienstleister administriert den Basismandaten mit dem Benutzer DDIC

Kommen Ihnen einige dieser Probleme und Bedenken ebenfalls bekannt vor?

Wir zeigen Ihnen, wie Sie schnell und effizient die Verwendung von Benutzerstammsätzen in Batchjob-Steps identifizieren und die Step-User automatisch korrigieren.

Bereinigung von SAP-Standardbenutzern im Szenario Hintergrundverarbeitung (Batchjob)

Sie haben die Aufgabe, die Sicherheitsempfehlungen für SAP-Standardbenutzer gemäß SAP Security Guide umzusetzen und möchten diese sperren. Aufgrund einer bereits langen Betriebshistorie des Systems sind Sie sich allerdings nicht sicher, ob beispielsweise der Standardbenutzer DDIC nicht etwa im Applikationsmandaten in periodischen Batchjobs verwendet wird. Eine unbedachte Deaktivierung des Benutzers im Applikationsmandanten würde zu unangenehmen Betriebsstörungen führen. Deshalb möchten Sie vorab kritische Batchjobs identifizieren und die Step-Benutzer korrigieren – und dies möglichst automatisch.

Die Umsetzungsmethode 

  1. Bestandsaufnahme aller betroffenen Batchjobs (Stocktaking)
  2. Erstellung alternativer Hintergrundbenutzer mit geeigneten Berechtigungen zur Übernahme des Hintergrundbetriebs
  3. Test der Batchjobs unter den neuen Hintergrundbenutzern
  4. Automatischer Austausch der Step-Benutzer

Die Methode im Detail

  1. Bestandaufnahme aller betroffenen Batchjobs (Stocktaking)

Eine weniger bekannte, aber sehr nützliche Funktion auf neueren SAP-Releases ist die „Erweiterte Jobauswahl“ in der Transaktion SM37. Zuvor war es nötig, die Step-Benutzer entweder durch Auswertung der Tabellen TBTCO / TBTCP via Query oder durch ein ABAP-Kundenprogramm zu identifizieren.

Wählen Sie für die Identifizierung von Batchjobs die Transaktion SM37: Umschalten auf „Erweiterte Jobauswahl“ und setzen Sie anschließend die Filtereinstellungen:

SAST Blog: Bereinigung von SAP-Standardbenutzern

SAST Blog: Bereinigung von SAP-Standardbenutzern

SAST Blog: Bereinigung von SAP-Standardbenutzern

Ausführen des Reports:

SAST Blog: Bereinigung von SAP-Standardbenutzern

SAST Blog: Bereinigung von SAP-Standardbenutzern

  1. Anlage von neuen funktionsgerechten Hintergrundbenutzern (z.B. BTCUSER200)
  1. Test der umzuplanenden Hintergrundfunktionen
  1. Austausch des Step-Benutzers DDIC in den betroffenen Batchjobs. Ein bislang wenig bekanntes Tool zur effizienten Massenänderung von Batchjobs ist der Report BTC_MASS_JOB_CHANGE. Er erlaubt die flexible Änderung der folgenden Job-Eigenschaften:
  • Auszuführendes Programm / auszuführende Variante
  • Benutzername des Job-Eigners
  • Benutzername des Step-Benutzers
  • Ausführungsziel (Server / Gruppe)

Setzen Sie hierzu die Selektionsparameter. Tipp: Der Report erlaubt auch die Ausführung im Testmodus.

SAST Blog: Bereinigung von SAP-Standardbenutzern

Anschließend führen Sie den Report aus:

SAST Blog: Bereinigung von SAP-Standardbenutzern

Verproben Sie den Erfolg der Änderungen in Transaktion SM37:

SAST Blog: Bereinigung von SAP-Standardbenutzern

SAST Blog: Bereinigung von SAP-Standardbenutzern

Für den nächsten Lauf wurde der Step-Benutzer erfolgreich von DDIC auf BTCUSER200 umgestellt, wobei der Step-Benutzer bereits abgeschlossener Job-Läufe von der Umstellung unberührt bleibt.

Weitere Aspekte für die Bereinigung von SAP-Standardbenutzern

Um sicherzustellen, dass die Verwendung von SAP-Standardbenutzern nicht zu Betriebsstörungen führt, überprüfen Sie deren Einsatz mindestens auch in den folgenden Bereichen:

  • Eingehende RFC-Schnittstellen
  • Hardcodierte Anmeldedaten in Kundenprogrammen
  • Verwendung in Batch Input Mappen (SM35)
  • Verarbeitungen mit LWMW (ERP) / LTMC (S/4HANA) / eCATT

Wir unterstützen Sie dabei, die Analysearbeit weiter zu beschleunigen

Mit Hilfe unserer SAST SUITE können Sie effektiv und schnell die tatsächliche Nutzung von SAP-Standardbenutzern in allen wichtigen Bereichen Ihrer gesamten Systemlandschaft transparent machen und Härtungsmaßnahmen sicher und nahezu ohne Betriebsführungsrisiken durchführen.

Auch die besten SAP-Sicherheitsspezialisten müssen nicht alles selbst in die Hand nehmen. Vertrauen Sie auf unsere Expertise und sprechen Sie uns gerne an oder besuchen Sie für weitere Informationen unsere Website.

Ansger Rümpker (SAST SOLUTIONS)
Ansgar Rümpker (Principal SAP Consultant, SAST SOLUTIONS)

 

Weitere interessante Artikel:

So gelingen mit minimalem Zeitaufwand umfassende Fach- und Rahmenberechtigungskonzepte für SAP ERP und S/4HANA

RFC-Schnittstellen in SAP-Landschaften: ein Überblick