- 14. Januar 2013

Überprüfung der SAP Standardbenutzer auf Initialkennwort

SAP GRC 10 Access Control

Häufig wird die Gefahr, welche von SAP Standardbenutzern ausgeht unterschätzt. Dabei haben die Benutzer DDIC, SAP*, SAPCPIC und TMSADM teilweise weitreichende Berechtigungen und können nach einer kurzen Recherche im Internet auch von weniger IT-affinen Anwendern für den Zugriff auf geschäftskritische Systeme verwendet werden. Dabei kann in besonders kritischen Fällen ein hoher materieller und immaterieller Schaden der Preis für die Verwendung von Standardkennwörtern sein.

Unbefugte Systemzugriffe können durch einfache Sicherheitsmechanismen enorm erschwert und sogar gänzlich verhindert werden. Werden die SAP Standardbenutzer DDIC, SAP*, SAPCPIC und TMSADM betrachtet, dann ist es bereits ausreichend, zunächst die Kennwörter der Benutzer zu ändern. Des Weiteren sollten nicht benötigte SAP-Standardbenutzerkonten selbstverständlich gesperrt sein. Als Teil einer Serie werde ich in diesem Blog-Beitrag zunächst erläutern, wie Sie prüfen können, ob die systemweit existierenden SAP-Standardbenutzer noch über die Standardkennwörter verwendet werden können.

Abzusichernde Standardbenutzer in SAP-Systemen

Benutzer

Bemerkungen

Standardkennwort

DDIC

Der Benutzer wird im Standard in den Mandanten 000 und 001 erstellt. Er wird üblicherweise z.B. für Installationen und Aktualisierungen verwendet.

19920706

SAP*

Der Benutzer wird im Rahmen der System-Installation in allen Mandanten erstellt. Ihm ist das SAP_ALL-Profil zugewiesen. Wenn der Benutzer gelöscht wird, ist ggf. noch ein Zugriff mit dem Standardkennwort „PASS“ möglich.

06071992

bzw. PASS

SAPCPIC

Der SAPCPIC-Benutzer wird während der System-Installation erstellt. Ihm ist das Profil S_A.CPIC zugewiesen, welches die Verwendung von RFC-Verbindungen erlaubt.

ADMIN

TMSADM

Dieser Benutzer wird erstellt, wenn das Change and Transport Management (CTS) eingerichtet wird. Ihm ist das Profil S_A.TMSADM zugewiesen. Der Benutzertyp dieses Benutzers ist „Kommunikation“.

PASSWORD

EARLYWATCH

Der EARLYWATCH-Benutzer wird im Mandanten 066 während der System-Installation erstellt und kann von der SAP für Remotezugriffe verwendet werden.

SUPPORT

Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail harmes@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Überprüfung der SAP Standardbenutzer

Transaktion: SA38 bzw. SE38
Programm:
RSUSR003

Schritt 1. Rufen Sie zunächst entweder die Transaktion SA38 (ABAP: Programmausführung) oder die Transaktion SE38 (ABAP Editor: Einstieg). Führen Sie dort das Programm RSUSR003 aus.

Initialkennwort Prüfung: Ausführen von RSUSR003

Abbildung 1: Oberfläche der Transaktion SE38

Schritt 2. Je nachdem, wie aktuell Ihre System-Installation ist, werden Sie gebeten Parameter für die Listaufbereitung einzugeben. Deselektieren Sie hier bitte das Auswahlfeld „Profilparameter anzeigen“. Die übrigen Parameter sind optional. Klicken Sie nun auf die Ausführen-Schaltfläche (F8).

Initialkennwort Prüfung: Ausführen von RSUSR003 Optionen

Abbildung 2: Auswahloptionen des Reports RSUSR003

Ergebnis der SAP Standardbenutzer-Analyse

In der unten dargestellten Tabelle wird nun das Ergebnis des Programms RSUSR003 aufgelistet. In der Liste finden Sie Informationen zum Kennwortstatus sowie den Status und den Grund einer möglichen Benutzersperre.

Im Idealfall sieht Ihr Ergebnis aus, wie in dem ersten der beiden unten dargestellten Screenshots. Sollten jedoch einzelne Felder rot dargestellt werden (siehe zweiter Screenshot unten), dann besteht möglicherweise Handlungsbedarf.

Initialkennwort Prüfung: Ausführen von RSUSR003 Ergebnis

Abbildung 3: Ergebnis des Reports RSUSR003 – Idealfall

sap standardbenutzer

Abbildung 4: Ergebnis des Reports RSUSR003 – Offene Punkte

Bitte zögern Sie nicht Fragen und Feedback in den Kommentarbereich zu schreiben.

Kostenloses E-Book zum Thema SAP GRC als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




11 Kommentare zu "Überprüfung der SAP Standardbenutzer auf Initialkennwort"

Sven - 28. Januar 2013 | 17:32

Sehr geehrter Herr Tenbuss,

da Mandant 0 nur Auslieferungsmandant ist, gibt es zwingende Gründe die Standardpasswörter zu ändern? Speziell stelle ich mir die Frage für den Benutzer TMSADM.

Vielen Dank und freundliche Grüße
Sven Uhlig

Antworten
Andre Tenbuss - 28. Januar 2013 | 22:10

Sehr geehrter Herr Uhlig,
vielen Dank für Ihre Frage. Grundsätzlich gibt es keine zwingenden Gründe, welche eine Kennwortänderung des TMSADM-Benutzers erforderlich machen. Zunächst hat der Benutzer keine sicherheitskritischen Berechtigungen. Eine Änderung des Kennwortes ist notwendig, wenn die Sicherheitsrichtlinie des Unternehmens die Verwendung von Standardkennwörtern untersagt. Sollten die Berechtigungen des Benutzers in den SAP-Systemen über den Standard hinaus erweitert werden, dann empfehle ich dringend auch die Änderung der Kennwörter.

Unabhängig davon, ob es sich um den 000er-Mandanten handelt, ist es in jedem Fall sehr wichtig mindestens die Kennwörter der Benutzer SAP*, DDIC und EARLYWATCH zu ändern. Die Berechtigungen dieser Benutzer sind üblicherweise so weitreichend, dass auch mandantenübergreifend Schaden angerichtet werden kann bzw. Daten ausgelesen werden können.

Ich hoffe, dass ich Ihnen weiterhelfen konnte.

Viele Grüße
Andre Tenbuß

Antworten
Pierre - 4. November 2014 | 14:53

Hallo,

wenn ich diese Sperre bei den Standartbenutzer habe, wie bekomme ich diese denn wieder raus. Ich komme sinst nicht auf den Mandanten.

gruß und Danke vorab

Antworten
Andre Tenbuss - 26. November 2014 | 11:06

Hallo,
die Sperre lässt sich nur über ein SQL-Kommando entfernen. Den Weg dazu habe ich in einem Kommentar zu einer anderen Frage von Ihnen beschrieben.

Viele Grüße
Andre Tenbuß

Antworten
Pierre - 5. November 2014 | 10:53

Hallo,

Wie kann ich denn die Passwörter dieser SAP User zurücksetzen ohne das ich auf dem Mandanten bin (da ich ja nicht drauf komme)?

mfg

Antworten
Andre Tenbuss - 26. November 2014 | 10:52

Hallo, ein Zurücksetzen der Kennwörter, wie es über die Transaktion SU01 z.B. möglich wäre, funktioniert über die Datenbank nicht. Mein Kollege Herr Busse hat mir hier freundlicherweise eine Anleitung zur Verfügung gestellt, mit der Sie die Benutzersperre über die Datenbankwerkzeuge entfernen können. Wir werden diesen Beitrag voraussichtlich auch in Kürze als Artikel veröffentlichen:

Der Standardbenutzer SAP* ist im Programmcode des Systems definiert und verfügt über uneingeschränkte Zugriffsberechtigungen. Das Standardkennwort des Benutzers lautet PASS. Dieser Kernel-Benutzer kann über ein Profilparameter aktiviert werden. Bei der Installation eines Systems wird automatisch in jedem Mandanten ein Benutzerstamm für SAP* angelegt.

Es gibt zwei Schutzmechanismen:
1. Der Benutzer kann über Profilparameter aktiviert werden.
2. Über einen gleichnamigen Benutzerstamm für SAP* kann dieser überlagert werden.

Profilparameter
Um den Benutzer zu aktivieren muss der Profilparameter login/no_automatic_user_sapstar auf den Wert 0 gesetzt werden. Die kann bspw. via Transaktion RZ10 geschehen. Das System muss anschließend neugestartet werden.

Benutzerstamm
Damit eine Anmeldung am System möglich ist, muss sichergestellt werden, dass der Notfallbenutzer nicht von einem gleichnamigen Benutzer SAP* überlagert wird. Falls das so ist, muss der gleichnamige Benutzer via SU01 umbenannt werden.

Falls eine Anmeldung am System jedoch nicht möglich ist, kann dies auch direkt per SQL in der Datenbank geändert werden. Mit folgenden Befehl kann für einen bestimmten Mandanten der Name des Benutzers SAP* aus dem Benutzerstamm geändert werden:

update [SCHEMA].usr02
set BNAME=“SAP*_old“
where BNAME=“SAP*“ and MANDT=“[ZIELMANDANT]“

Für das Schema der Tabelle USR02 muss die System-ID eingetragen werden. Alternativ kann der existierende Benutzerstamm auch gelöscht werden. Sobald der Notfallbenutzer aktiviert ist, kann man sich mit dem Standardkennwort PASS anmelden. Dieses Password ist im Programmcode festgesetzt und kann nicht geändert werden.

Nach der Reparatur muss der Profilparameter wieder auf einen Wert größer 0 gesetzt werden und ggf. ein Benutzerstamm SAP* angelegt werden. Dieser sollte der Benutzergruppe SUPER angehören.

Ich hoffe, dass wir Ihnen damit weiterhelfen konnten.

Viele Grüße, Andre Tenbuß

Antworten
OA - 25. September 2015 | 11:51

Hallo Herr Tenbuss,

der TMSADM-Benutzer ist als Systemuser hinterlegt.
Wieso muss man hier das PW ändern?
Wie kann sich ein normaler User(Dialog), dem das PW bekannt ist, mit dem User sich anmelden?
Meines Wissens, kann man sich nur als Dialogbenutzer anmelden.

VG OA

Antworten
Andre Tenbuss - 26. Februar 2016 | 11:11

Hallo,
eine direkte Anmeldung über die SAP GUI mit einem Benutzer des Typs SYSTEM ist nicht möglich, da haben Sie recht. Es besteht allerdings die Möglichkeit aus einem anderen SAP-System (oder einer beliebigen Anwendung) entsprechende Funktionsbausteine über RFC-Verbindungen in Ihrem System aufzurufen, die Änderungen ausführen können. Sie sehen also: Selbst, wenn sich ein Benutzer nicht direkt am System anmelden kann, besteht dennoch die Gefahr eines Einbruchs. Dieser muss dabei nicht von außerhalb kommen, sondern könnte z.B. aus Ihrem Entwicklungssystem heraus durchgeführt werden.

Die klare Empfehlung ist daher: Grundsätzlich keine Standardkennwörter zu verwenden.

Viele Grüße
Andre Tenbuß

Antworten
SB - 15. Februar 2016 | 13:43

Hallo,

momentan ist SAP* im Produktivsystem nicht angelegt.
Ich möchte mir hierzu gerne die Historie anzeigen lassen.
Mit dem Report RSUSR100 wird mir dieser Benutzer nicht angezeigt. Das Einzige was mir das System anzeigt ist, dass der Benutzer 2004 angelegt wurde.
Der Parameter rec/client war 2012 auf „off“ und ist seit 2015 auf „all“ eingestellt.
Der Parameter login/no_automatic_user_sapstar war 2012 auf „0“, 2014 auf „1“ und ist seit 2015 auf „0“ gesetzt.
Können die Parametereinstellungen damit zusammenhängen, das ich keine Historie finde? Welche Möglichkeiten gibt es noch, sich die Historie von SAP* anzeigen zu lassen?

VG SB

Antworten
Andre Tenbuss - 26. Februar 2016 | 11:22

Hallo und vielen Dank für die Frage. Wenn Sie „Historie“ schreiben, meinen Sie die Änderungsbelege des Benutzerstammsatzes vom Benutzer SAP* oder sind Änderungsbelege im gesamten SAP-System gemeint?

Zu Änderungsbelegen für Benutzer (im Benutzerstammsatz): Wenn Sie sich diese Belege anzeigen lassen wollen, dann müssen Sie zunächst über die SU01 den Benutzer SAP* wieder anlegen. Denn – obwohl der Benutzer möglicherweise irgendwann mal gelöscht wurde – sind die Änderungsbelege zu diesem Stammdatensatz noch vorhanden.

Der Parameter rec/client steuert die Protokollierung von Tabellen (im jeweiligen Mandanten), für welche die Protokollierung in den Tabelleneigenschaften aktiviert ist. Protokolle stehen also leider nur für den Zeitraum zur Verfügung, in dem rec/client auf „all“ (oder den entsprechenden Mandanten) gesetzt ist.

Sollten Sie noch eine andere Historie gemeint haben, stehe ich natürlich gerne für Fragen zur Verfügung!

VG Andre Tenbuß

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.