{"id":817,"date":"2018-01-30T08:00:02","date_gmt":"2018-01-30T07:00:02","guid":{"rendered":"http:\/\/securityblog.akquinet.de\/?p=817"},"modified":"2021-05-10T13:06:39","modified_gmt":"2021-05-10T11:06:39","slug":"sap-security-policies-schaffen-nicht-mehr-sicherheit","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/","title":{"rendered":"Schaffen SAP Security Policies mehr Sicherheit? Meistens nicht\u2026"},"content":{"rendered":"

\"SASTSicher ist Ihnen bekannt, dass Sie in SAP-Systemen ab dem Release 7.40 Sp8 Security Policies verwenden k\u00f6nnen, um Ihre Sicherheitsparameter, abweichend von den Systemprofilwerten, benutzerabh\u00e4ngig zu definieren. <\/span>Aber wissen Sie auch, dass Sie hierdurch ungewollt sichere Werte, wie Anmeldebeschr\u00e4nkung und Kennwortkomplexit\u00e4t, abschw\u00e4chen k\u00f6nnen?\u00a0<\/span>Unser Praxis-Tipp zeigt Ihnen, wie Sie das wirkungsvoll verhindern.<\/span><\/p>\n

<\/p>\n

 <\/p>\n

Legen Sie die Parameter fest nach<\/span><\/strong><\/p>\n

1.\u00a0\u00a0\u00a0\u00a0\u00a0 Kennwortkomplexit\u00e4t,
\n<\/span>2.\u00a0\u00a0\u00a0\u00a0\u00a0 Kennwort\u00e4nderungsintervall und
\n<\/span>3.\u00a0\u00a0\u00a0\u00a0\u00a0 Anmeldebeschr\u00e4nkungen<\/span><\/p>\n

Und die Pflege der Security Policies erfolgt hierbei mittels \u201eSECPOL\u201c-Transaktion, wobei Sie die M\u00f6glichkeit haben, beliebig viele zu definieren. <\/span><\/p>\n

Die Relation \u201eSecurity Policy Tag\u201c und Systemprofilwerte f\u00fcr Sie im \u00dcberblick:
\n<\/span>\"SAST-Blog_SecurityPolicies_Tabelle_1801\"
\n<\/span><\/span><\/p>\n

Weisen Sie anschlie\u00dfend mittels Transaktion SU01 die Policies den Benutzern zu:<\/span><\/p>\n


\n\"SAST-Blog_SecurityPolicies_Abb1_1801\"
\n<\/span><\/p>\n

Aber Vorsicht: Es gibt eine gro\u00dfe Falle!<\/strong><\/span><\/p>\n

Security Policies \u00fcberschreiben nicht<\/span> einzelne Profilwerte sondern ersetzen ALLE<\/span> Werte.<\/span><\/p>\n

Das bedeutet, dass Werte, die Sie in einer Security Policy nicht definieren nicht auf die sicheren Werte<\/span> (lt. RZ10-Parametern), sondern auf unsichere<\/span> Kernelwerte im Benutzerkontext gesetzt werden.<\/span><\/p>\n

Hierdurch k\u00f6nnen Sie also ungewollt sichere Werte, wie Anmeldebeschr\u00e4nkung und Kennwortkomplexit\u00e4t, abschw\u00e4chen. Folgendes Beispiel zeigt diese Verhalten auf:<\/span>
\n\"SAST-Blog_SecurityPolicies_Abb2_1801\"<\/p>\n

Unsere Erfahrungen bei Projekten hat gezeigt, dass viele Kunden mit diesem Verhalten nicht rechnen. Die allgemeine Erwartungshaltung ist, dass Parameter abweichend vom Standard gesetzt werden k\u00f6nnen. Aber das ist nicht der Fall!<\/span><\/p>\n

Unsere Tipps f\u00fcr Sie:
\n1.\u00a0 <\/span>Nutzen Sie Security Policies nur, wenn Sie ALLE Werte komplett analog den RZ10-Parametern definieren und nur einige wenige Werte abweichend h\u00e4rter oder schw\u00e4cher auspr\u00e4gen.
\n2.\u00a0 <\/span>Denken Sie daran, dass Sie alle Security Policies anpassen, wenn Sie korrespondierende RZ10-Systemparameter versch\u00e4rfen.<\/span><\/p>\n

F\u00fcr die Absicherung Ihrer SAP-Systeme bietet Ihnen unsere SAST SUITE<\/a><\/span> speziell f\u00fcr diesen Fall umfangreiche Pr\u00fcfungen im Kontext der Security Policies und zeigt Ihnen umgehend entsprechende Fehlkonfigurationen, Schw\u00e4chen sowie Zuweisungen unsicherer Werte an Benutzer auf.<\/span><\/p>\n

Sprechen Sie uns gerne an: sast@akquinet.de<\/a><\/span><\/span><\/p>\n

\"ralfkempf_akquinet\"
\nRalf Kempf (CTO <\/span>SAST SOLUTIONS)<\/span><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Wissen Sie, dass Sie durch die benutzerabh\u00e4ngige Definition von SAP-Sicherheitsparametern ungewollt sichere Werte, wie Anmeldebeschr\u00e4nkung und Kennwortkomplexit\u00e4t, abschw\u00e4chen k\u00f6nnen?\u00a0Unser SAST Blog zeigt Ihnen, wie Sie das wirkungsvoll verhindern.<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[86],"class_list":["post-817","post","type-post","status-publish","format-standard","hentry","category-sap-sicherheit","tag-sap-sicherheit"],"yoast_head":"\nSecurity Policies schaffen meistens nicht mehr Sicherheit.<\/title>\n<meta name=\"description\" content=\"Die SAST SUITE bietet umfangreiche Pr\u00fcfungen im Kontext der Security Policies und zeigt umgehend Fehlkonfigurationen und Schw\u00e4chen auf.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Security Policies schaffen meistens nicht mehr Sicherheit.\" \/>\n<meta property=\"og:description\" content=\"Die SAST SUITE bietet umfangreiche Pr\u00fcfungen im Kontext der Security Policies und zeigt umgehend Fehlkonfigurationen und Schw\u00e4chen auf.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/\" \/>\n<meta property=\"og:site_name\" content=\"SAST BLOG\" \/>\n<meta property=\"article:published_time\" content=\"2018-01-30T07:00:02+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-05-10T11:06:39+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png\" \/>\n<meta name=\"author\" content=\"securityblog\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"securityblog\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"3\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/\"},\"author\":{\"name\":\"securityblog\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/person\/12cc68b63cec7f80f43ac445af9c5a78\"},\"headline\":\"Schaffen SAP Security Policies mehr Sicherheit? Meistens nicht\u2026\",\"datePublished\":\"2018-01-30T07:00:02+00:00\",\"dateModified\":\"2021-05-10T11:06:39+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/\"},\"wordCount\":326,\"publisher\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#organization\"},\"image\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png\",\"keywords\":[\"SAP-Sicherheit\"],\"articleSection\":[\"SAP Sicherheit\"],\"inLanguage\":\"de\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/\",\"url\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/\",\"name\":\"Security Policies schaffen meistens nicht mehr Sicherheit.\",\"isPartOf\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png\",\"datePublished\":\"2018-01-30T07:00:02+00:00\",\"dateModified\":\"2021-05-10T11:06:39+00:00\",\"description\":\"Die SAST SUITE bietet umfangreiche Pr\u00fcfungen im Kontext der Security Policies und zeigt umgehend Fehlkonfigurationen und Schw\u00e4chen auf.\",\"breadcrumb\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#primaryimage\",\"url\":\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png\",\"contentUrl\":\"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\/\/sast-solutions.de\/blog-de\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Schaffen SAP Security Policies mehr Sicherheit? Meistens nicht\u2026\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#website\",\"url\":\"https:\/\/sast-solutions.de\/blog-de\/\",\"name\":\"SAST BLOG\",\"description\":\"SAP Application Security & Access Governance\",\"publisher\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/sast-solutions.de\/blog-de\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#organization\",\"name\":\"SAST BLOG\",\"url\":\"https:\/\/sast-solutions.de\/blog-de\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/06\/cropped-Logo_SAST-PLG_2205.png\",\"contentUrl\":\"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/06\/cropped-Logo_SAST-PLG_2205.png\",\"width\":232,\"height\":232,\"caption\":\"SAST BLOG\"},\"image\":{\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/person\/12cc68b63cec7f80f43ac445af9c5a78\",\"name\":\"securityblog\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Security Policies schaffen meistens nicht mehr Sicherheit.","description":"Die SAST SUITE bietet umfangreiche Pr\u00fcfungen im Kontext der Security Policies und zeigt umgehend Fehlkonfigurationen und Schw\u00e4chen auf.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/","og_locale":"de_DE","og_type":"article","og_title":"Security Policies schaffen meistens nicht mehr Sicherheit.","og_description":"Die SAST SUITE bietet umfangreiche Pr\u00fcfungen im Kontext der Security Policies und zeigt umgehend Fehlkonfigurationen und Schw\u00e4chen auf.","og_url":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/","og_site_name":"SAST BLOG","article_published_time":"2018-01-30T07:00:02+00:00","article_modified_time":"2021-05-10T11:06:39+00:00","og_image":[{"url":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png","type":"","width":"","height":""}],"author":"securityblog","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"securityblog","Gesch\u00e4tzte Lesezeit":"3\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#article","isPartOf":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/"},"author":{"name":"securityblog","@id":"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/person\/12cc68b63cec7f80f43ac445af9c5a78"},"headline":"Schaffen SAP Security Policies mehr Sicherheit? Meistens nicht\u2026","datePublished":"2018-01-30T07:00:02+00:00","dateModified":"2021-05-10T11:06:39+00:00","mainEntityOfPage":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/"},"wordCount":326,"publisher":{"@id":"https:\/\/sast-solutions.de\/blog-de\/#organization"},"image":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#primaryimage"},"thumbnailUrl":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png","keywords":["SAP-Sicherheit"],"articleSection":["SAP Sicherheit"],"inLanguage":"de"},{"@type":"WebPage","@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/","url":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/","name":"Security Policies schaffen meistens nicht mehr Sicherheit.","isPartOf":{"@id":"https:\/\/sast-solutions.de\/blog-de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#primaryimage"},"image":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#primaryimage"},"thumbnailUrl":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png","datePublished":"2018-01-30T07:00:02+00:00","dateModified":"2021-05-10T11:06:39+00:00","description":"Die SAST SUITE bietet umfangreiche Pr\u00fcfungen im Kontext der Security Policies und zeigt umgehend Fehlkonfigurationen und Schw\u00e4chen auf.","breadcrumb":{"@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#primaryimage","url":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png","contentUrl":"https:\/\/securityblog.akquinet.de\/wp-content\/uploads\/2018\/01\/motiv_sast-security_bild03_150dpi_1701-e1516883690315.png"},{"@type":"BreadcrumbList","@id":"https:\/\/sast-solutions.de\/blog-de\/2018\/01\/30\/sap-security-policies-schaffen-nicht-mehr-sicherheit\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/sast-solutions.de\/blog-de\/"},{"@type":"ListItem","position":2,"name":"Schaffen SAP Security Policies mehr Sicherheit? Meistens nicht\u2026"}]},{"@type":"WebSite","@id":"https:\/\/sast-solutions.de\/blog-de\/#website","url":"https:\/\/sast-solutions.de\/blog-de\/","name":"SAST BLOG","description":"SAP Application Security & Access Governance","publisher":{"@id":"https:\/\/sast-solutions.de\/blog-de\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/sast-solutions.de\/blog-de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/sast-solutions.de\/blog-de\/#organization","name":"SAST BLOG","url":"https:\/\/sast-solutions.de\/blog-de\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/logo\/image\/","url":"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/06\/cropped-Logo_SAST-PLG_2205.png","contentUrl":"https:\/\/sast-solutions.de\/blog-de\/wp-content\/uploads\/2022\/06\/cropped-Logo_SAST-PLG_2205.png","width":232,"height":232,"caption":"SAST BLOG"},"image":{"@id":"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/sast-solutions.de\/blog-de\/#\/schema\/person\/12cc68b63cec7f80f43ac445af9c5a78","name":"securityblog"}]}},"_links":{"self":[{"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/posts\/817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/comments?post=817"}],"version-history":[{"count":5,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/posts\/817\/revisions"}],"predecessor-version":[{"id":2871,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/posts\/817\/revisions\/2871"}],"wp:attachment":[{"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/media?parent=817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/categories?post=817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sast-solutions.de\/blog-de\/wp-json\/wp\/v2\/tags?post=817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}