Jeden 2. Dienstag im Monat werden neue SAP Security Notes veröffentlicht. Mittlerweile spielen viele SAP-Administratoren diese Patches relativ zeitnah ein und wägen sich damit in einer trügerischen Sicherheit.
Denn die wenigsten Kunden wissen, dass Sicherheitslücken dennoch weiterhin ausgenutzt werden können.
SAP hat mit OSS Note 1908870 – SACF | Workbench für schaltbare Berechtigungsszenarien eine zentrale Lösung für „schaltbare“ Berechtigungsprüfung entwickelt, die es erlaubt, dass Authorization Checks in angepassten Funktionen erst nach Aktivierung durch den Kunden aktiv werden. Hierdurch soll eine Auswirkung auf das bestehende Berechtigungskonzept reduziert werden.
Leider wissen die wenigsten Kunden, dass so ausgestaltete Patches und Verbesserungen nach Implementierung der OSS Note nur inaktiv sind. Das heißt eine erweiterte Berechtigungsprüfung zur Reduzierung des Risikos ist nicht aktiv. Die Lücke kann also weiterhin ausgenutzt werden!
Nutzung in Kundenprogrammen möglich
Szenarien können auch für kundeneigene Programme mit Transaktion SUCC definiert werden. Szenariobasierte Berechtigungsprüfungen ermöglichen es Entwicklern, ausgelieferte Software um alternative Berechtigungsprüfungen für Berechtigungsobjekte in verschiedenen Anwendungsfällen zu erweitern.
Durch die Nutzung von schaltbaren Berechtigungen in Kundenprogrammen ergeben sich interessante Möglichkeiten der getrennten Entwicklung und Produktivsetzung von ABAP-Änderungen sowie Berechtigungsrollen.
Weiterführende Informationen finden Sie hier
Notwendige Schritte: Aktivierung der schaltbaren Berechtigungen!
Transaktion SACF erlaubt eine Aktivierung der vordefinierten Berechtigungsprüfungen inkl. Berechtigungs-Trace und Security Audit Log Integration.
Aus Sicherheitsgründen wird dringend empfohlen, dass alle definierten Szenarien außer „SACF_DEMO_SCENARIO“ auch als produktive Szenarien umgesetzt werden. Als Prüfer muss man hier die Menge der definierten Szenerien gegen die Menge der Produktivszenarien abgleichen und kritisch bewerten.
Erst nach Produktivsetzung der definierten Szenarien führt das System eine Berechtigungsprüfung aus und der erweiterte Schutz ist somit aktiv.
Aber Achtung: Beachten Sie, dass sowohl die kopf- als auch objektbasierte Prüfung auf „AKTIV“ stehen muss. Anderenfalls wird ggf. keine Prüfung oder nur ein Logging ausgeführt!
Notwendige Berechtigungen
Um szenariobasierte Berechtigung verwenden zu können, müssen Sie Entwicklern und Administratoren die entsprechenden Berechtigungen (S_TCODE) zuweisen.
Zunächst das Berechtigungsobjekt „S_TCODE“ mit den folgenden Transaktionen:
Anschließend das Berechtigungsobjekt „S_DEVELOP“ mit den Objekttypen (verfügbare Aktivitäten sind 02 für ändern, 03 für anzeigen und 06 für löschen):
Aufgepasst: Weisen Sie Benutzern in Produktivsystemen nicht die Aktivitäten „ändern“ oder „löschen“ zu!
Ralf Kempf, Technischer Geschäftsführer SAST SOLUTIONS bei AKQUINET
Sie freuen sich über weitere Tipps und Handlungsempfehlungen aus dem Umfeld SAP Security & Compliance? Dann nutzen Sie die Chance zum Austausch mit uns, z.B. in einem unserer Webinare.