{"id":1320,"date":"2018-10-23T17:00:15","date_gmt":"2018-10-23T15:00:15","guid":{"rendered":"https:\/\/securityblog.akquinet.de\/?p=1320"},"modified":"2021-05-10T14:10:27","modified_gmt":"2021-05-10T12:10:27","slug":"sap-security-2018-zwischen-plattformsicherheit-berechtigungsmanagement-und-s-4-hana-migration","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2018\/10\/23\/sap-security-2018-zwischen-plattformsicherheit-berechtigungsmanagement-und-s-4-hana-migration\/","title":{"rendered":"SAP Security 2018: Zwischen Plattformsicherheit, Berechtigungsmanagement und S\/4HANA-Migration"},"content":{"rendered":"

\"SAPF\u00fcr ein Fazit zur SAP-Sicherheit im Jahre 2018 ist es sicherlich noch zu fr\u00fch. Andererseits ist der Herbst auch immer die Saison f\u00fcr Veranstaltungen, wie den DSAG Jahreskongress in Leipzig. Eben auf solchen Konferenzen und Messen l\u00e4sst sich sehr genau absch\u00e4tzen, welche Themen die SAP-Kunden besch\u00e4ftigen. Insofern kann durchaus schon jetzt ein Gradmesser erstellt werden, welche Security-Themen im SAP-Umfeld wichtig sind. <\/p>\n

Ganz vorne mit dabei, und wenig \u00fcberraschend: HANA. Nicht zuletzt die Vorstellung von C\/4 HANA hat dieses Thema bei vielen Kunden noch einmal auf die Agenda gebracht. Interessanterweise ist es nicht unbedingt nur die Sicherheit von SAP HANA, die durch die Produktoffensive der SAP in den Vordergrund ger\u00fcckt ist. Vielmehr bereiten sich immer mehr Kunden darauf vor, HANA jetzt tats\u00e4chlich einzuf\u00fchren. Damit einhergehend sind es vor allem zwei Themen, die f\u00fcr SAP Kunden im Zuge einer HANA-Migration interessant sind: Rollen und Berechtigungen sowie Custom Code.<\/p>\n

Herausforderungen bei einer Migration auf S\/4 HANA<\/strong><\/h4>\n

In beiden F\u00e4llen ist es eine technische Notwendigkeit, beim Um- oder Einstieg in HANA \u00c4nderungen vorzunehmen: Einige Eigenentwicklungen funktionieren schlicht nicht mehr, wenn HANA als Datenbank bzw. Plattform eingesetzt wird. Bei Rollen und Berechtigungen sieht es \u00e4hnlich aus: Viele Berechtigungen laufen ins Leere, wenn S\/4 HANA statt eines \u201enormalen\u201c SAP ERP eingesetzt wird.<\/p>\n

Aus der Perspektive eines Sicherheitsexperten ist aber ein anderer Trend interessant, der durch die beiden genannten technischen Erfordernisse ausgel\u00f6st wird. Kurz und pr\u00e4gnant l\u00e4sst dieser sich mit den Worten \u201ewenn schon, denn schon\u201c beschreiben. Wenn ich schon meine kundeneigenen Entwicklungen analysieren muss, kann ich sie im gleichen Zuge auch sicher machen. Wenn ich schon ein HANA-Rollenkonzept entwickle, kann ich auch kritische Berechtigungen und SoD-Konflikte beseitigen.<\/p>\n

So l\u00f6blich diese Vors\u00e4tze sind, verdeutlichen sie gleichzeitig ein weiteres Problem der SAP-Sicherheit im Jahre 2018. Denn wieder einmal sind es mehrere Abteilungen der Kunden, die auf unterschiedliche Themen schielen. Verst\u00e4ndlich, schlie\u00dflich sind es sehr h\u00e4ufig verschieden spezialisierte Teams, die entweder f\u00fcr Rollen oder f\u00fcr Entwicklungen zust\u00e4ndig sind. Eine einheitliche Sicht auf Sicherheit gibt es auf Kundenseite oft nicht \u2013 dabei ist es gerade im SAP-Umfeld wichtig, genau diese ganzheitliche Sicht anzuwenden. Beispiel gef\u00e4llig?<\/p>\n

Sicherheitsl\u00fccken im Coding durch fehlende Berechtigungspr\u00fcfungen<\/strong><\/h4>\n

Eine der h\u00e4ufigsten Sicherheitsl\u00fccken in kundeneigenem Code ist die fehlende Berechtigungsabfrage. Verweist diese fehlende Berechtigung aber auf eine Transaktion, die gar nicht mehr genutzt wird, ist die Sicherheitsl\u00fccke nur halb so schlimm. Schlaue K\u00f6pfe m\u00f6gen jetzt darauf verweisen, dass die Sicherheitsl\u00fccke ja trotzdem da ist und dadurch auch ausgenutzt werden kann. Das ist sicherlich richtig, offenbart aber zu einem Teil genau dieses Silo-Denken, das f\u00fcr SAP Security oft so fatal ist.<\/p>\n

Das ist anhand genau dieses Beispiels recht einfach durchexerziert. Nehmen wir die fehlende Berechtigungspr\u00fcfung im Code, die auf eine nicht genutzte Transaktion verweist. Folgende Schritte kann ich jetzt durchf\u00fchren:<\/p>\n