Überprüfung der SAP Standardbenutzer auf Initialkennwort

Autor: Andre Tenbuss | 14. Januar 2013

11 | 30 | #DDIC, #Initialkennwort, #RSUSR003, #SAPCPIC, #TMSADM

Häufig wird die Gefahr, welche von SAP Standardbenutzern ausgeht unterschätzt. Dabei haben die Benutzer DDIC, SAP*, SAPCPIC und TMSADM teilweise weitreichende Berechtigungen und können nach einer kurzen Recherche im Internet auch von weniger IT-affinen Anwendern für den Zugriff auf geschäftskritische Systeme verwendet werden. Dabei kann in besonders kritischen Fällen ein hoher materieller und immaterieller Schaden der Preis für die Verwendung von Standardkennwörtern sein.

Demo im System

Unbefugte Systemzugriffe können durch einfache Sicherheitsmechanismen enorm erschwert und sogar gänzlich verhindert werden. Werden die SAP Standardbenutzer DDIC, SAP*, SAPCPIC und TMSADM betrachtet, dann ist es bereits ausreichend, zunächst die Kennwörter der Benutzer zu ändern. Des Weiteren sollten nicht benötigte SAP-Standardbenutzerkonten selbstverständlich gesperrt sein. Als Teil einer Serie werde ich in diesem Blog-Beitrag zunächst erläutern, wie Sie prüfen können, ob die systemweit existierenden SAP-Standardbenutzer noch über die Standardkennwörter verwendet werden können.

Unser E-Book zu SAP GRC

E-Book SAP GRC

Roadmap zur Einführung Ihrer individuellen SAP GRC-Lösung - warum GRC mehr als nur lästige Pflicht ist.

Abzusichernde Standardbenutzer in SAP-Systemen

Benutzer Standardkennwort Beschreibung
DDIC 19920706 Der Benutzer wird im Standard in den Mandanten 000 und 001 erstellt. Er wird üblicherweise z.B. für Installationen und Aktualisierungen verwendet.
SAP* 06071992
bzw. PASS
Der Benutzer wird im Rahmen der System-Installation in allen Mandanten erstellt. Ihm ist das SAP_ALL-Profil zugewiesen. Wenn der Benutzer gelöscht wird, ist ggf. noch ein Zugriff mit dem Standardkennwort “PASS” möglich.
SAPCPIC ADMIN Der SAPCPIC-Benutzer wird während der System-Installation erstellt. Ihm ist das Profil S_A.CPIC zugewiesen, welches die Verwendung von RFC-Verbindungen erlaubt.
TMSADM PASSWORD Dieser Benutzer wird erstellt, wenn das Change and Transport Management (CTS) eingerichtet wird. Ihm ist das Profil S_A.TMSADM zugewiesen. Der Benutzertyp dieses Benutzers ist “Kommunikation”.
EARLYWATCH SUPPORT Der EARLYWATCH-Benutzer wird im Mandanten 066 während der System-Installation erstellt und kann von der SAP für Remotezugriffe verwendet werden.

Überprüfung der SAP Standardbenutzer

Transaktion: SA38 bzw. SE38
Programm:
RSUSR003

Schritt 1. Rufen Sie zunächst entweder die Transaktion SA38 (ABAP: Programmausführung) oder die Transaktion SE38 (ABAP Editor: Einstieg). Führen Sie dort das Programm RSUSR003 aus.

Abbildung 1: Oberfläche der Transaktion SE38

Abbildung 1: Oberfläche der Transaktion SE38

Schritt 2. Je nachdem, wie aktuell Ihre System-Installation ist, werden Sie gebeten Parameter für die Listaufbereitung einzugeben. Deselektieren Sie hier bitte das Auswahlfeld “Profilparameter anzeigen”. Die übrigen Parameter sind optional. Klicken Sie nun auf die Ausführen-Schaltfläche (F8).

Abbildung 2: Auswahloptionen des Reports RSUSR003

Abbildung 2: Auswahloptionen des Reports RSUSR003

Ergebnis der SAP Standardbenutzer-Analyse

In der unten dargestellten Tabelle wird nun das Ergebnis des Programms RSUSR003 aufgelistet. In der Liste finden Sie Informationen zum Kennwortstatus sowie den Status und den Grund einer möglichen Benutzersperre.

Im Idealfall sieht Ihr Ergebnis aus, wie in dem ersten der beiden unten dargestellten Screenshots. Sollten jedoch einzelne Felder rot dargestellt werden (siehe zweiter Screenshot unten), dann besteht möglicherweise Handlungsbedarf.

Abbildung 3: Ergebnis des Reports RSUSR003 - Idealfall

Abbildung 3: Ergebnis des Reports RSUSR003 – Idealfall

Abbildung 4: Ergebnis des Reports RSUSR003 - Offene Punkte

Abbildung 4: Ergebnis des Reports RSUSR003 – Offene Punkte

Bitte zögern Sie nicht, Fragen und Feedback in den Kommentarbereich zu schreiben.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Andre Tenbuss

Autor

Andre Tenbuss

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

11 Kommentare zu "Überprüfung der SAP Standardbenutzer auf Initialkennwort"

Sehr geehrter Herr Tenbuss,

da Mandant 0 nur Auslieferungsmandant ist, gibt es zwingende Gründe die Standardpasswörter zu ändern? Speziell stelle ich mir die Frage für den Benutzer TMSADM.

Vielen Dank und freundliche Grüße
Sven Uhlig

Sehr geehrter Herr Uhlig,
vielen Dank für Ihre Frage. Grundsätzlich gibt es keine zwingenden Gründe, welche eine Kennwortänderung des TMSADM-Benutzers erforderlich machen. Zunächst hat der Benutzer keine sicherheitskritischen Berechtigungen. Eine Änderung des Kennwortes ist notwendig, wenn die Sicherheitsrichtlinie des Unternehmens die Verwendung von Standardkennwörtern untersagt. Sollten die Berechtigungen des Benutzers in den SAP-Systemen über den Standard hinaus erweitert werden, dann empfehle ich dringend auch die Änderung der Kennwörter.

Unabhängig davon, ob es sich um den 000er-Mandanten handelt, ist es in jedem Fall sehr wichtig mindestens die Kennwörter der Benutzer SAP*, DDIC und EARLYWATCH zu ändern. Die Berechtigungen dieser Benutzer sind üblicherweise so weitreichend, dass auch mandantenübergreifend Schaden angerichtet werden kann bzw. Daten ausgelesen werden können.

Ich hoffe, dass ich Ihnen weiterhelfen konnte.

Viele Grüße
Andre Tenbuß

Hallo,

wenn ich diese Sperre bei den Standartbenutzer habe, wie bekomme ich diese denn wieder raus. Ich komme sinst nicht auf den Mandanten.

gruß und Danke vorab

Hallo,
die Sperre lässt sich nur über ein SQL-Kommando entfernen. Den Weg dazu habe ich in einem Kommentar zu einer anderen Frage von Ihnen beschrieben.

Viele Grüße
Andre Tenbuß

Hallo,

Wie kann ich denn die Passwörter dieser SAP User zurücksetzen ohne das ich auf dem Mandanten bin (da ich ja nicht drauf komme)?

mfg

Hallo, ein Zurücksetzen der Kennwörter, wie es über die Transaktion SU01 z.B. möglich wäre, funktioniert über die Datenbank nicht. Mein Kollege Herr Busse hat mir hier freundlicherweise eine Anleitung zur Verfügung gestellt, mit der Sie die Benutzersperre über die Datenbankwerkzeuge entfernen können. Wir werden diesen Beitrag voraussichtlich auch in Kürze als Artikel veröffentlichen:

Der Standardbenutzer SAP* ist im Programmcode des Systems definiert und verfügt über uneingeschränkte Zugriffsberechtigungen. Das Standardkennwort des Benutzers lautet PASS. Dieser Kernel-Benutzer kann über ein Profilparameter aktiviert werden. Bei der Installation eines Systems wird automatisch in jedem Mandanten ein Benutzerstamm für SAP* angelegt.

Es gibt zwei Schutzmechanismen:
1. Der Benutzer kann über Profilparameter aktiviert werden.
2. Über einen gleichnamigen Benutzerstamm für SAP* kann dieser überlagert werden.

Profilparameter
Um den Benutzer zu aktivieren muss der Profilparameter login/no_automatic_user_sapstar auf den Wert 0 gesetzt werden. Die kann bspw. via Transaktion RZ10 geschehen. Das System muss anschließend neugestartet werden.

Benutzerstamm
Damit eine Anmeldung am System möglich ist, muss sichergestellt werden, dass der Notfallbenutzer nicht von einem gleichnamigen Benutzer SAP* überlagert wird. Falls das so ist, muss der gleichnamige Benutzer via SU01 umbenannt werden.

Falls eine Anmeldung am System jedoch nicht möglich ist, kann dies auch direkt per SQL in der Datenbank geändert werden. Mit folgenden Befehl kann für einen bestimmten Mandanten der Name des Benutzers SAP* aus dem Benutzerstamm geändert werden:

update [SCHEMA].usr02
set BNAME=”SAP*_old”
where BNAME=”SAP*” and MANDT=”[ZIELMANDANT]”

Für das Schema der Tabelle USR02 muss die System-ID eingetragen werden. Alternativ kann der existierende Benutzerstamm auch gelöscht werden. Sobald der Notfallbenutzer aktiviert ist, kann man sich mit dem Standardkennwort PASS anmelden. Dieses Password ist im Programmcode festgesetzt und kann nicht geändert werden.

Nach der Reparatur muss der Profilparameter wieder auf einen Wert größer 0 gesetzt werden und ggf. ein Benutzerstamm SAP* angelegt werden. Dieser sollte der Benutzergruppe SUPER angehören.

Ich hoffe, dass wir Ihnen damit weiterhelfen konnten.

Viele Grüße, Andre Tenbuß

Hallo Herr Tenbuss,

der TMSADM-Benutzer ist als Systemuser hinterlegt.
Wieso muss man hier das PW ändern?
Wie kann sich ein normaler User(Dialog), dem das PW bekannt ist, mit dem User sich anmelden?
Meines Wissens, kann man sich nur als Dialogbenutzer anmelden.

VG OA

Hallo,
eine direkte Anmeldung über die SAP GUI mit einem Benutzer des Typs SYSTEM ist nicht möglich, da haben Sie recht. Es besteht allerdings die Möglichkeit aus einem anderen SAP-System (oder einer beliebigen Anwendung) entsprechende Funktionsbausteine über RFC-Verbindungen in Ihrem System aufzurufen, die Änderungen ausführen können. Sie sehen also: Selbst, wenn sich ein Benutzer nicht direkt am System anmelden kann, besteht dennoch die Gefahr eines Einbruchs. Dieser muss dabei nicht von außerhalb kommen, sondern könnte z.B. aus Ihrem Entwicklungssystem heraus durchgeführt werden.

Die klare Empfehlung ist daher: Grundsätzlich keine Standardkennwörter zu verwenden.

Viele Grüße
Andre Tenbuß

Hallo,

momentan ist SAP* im Produktivsystem nicht angelegt.
Ich möchte mir hierzu gerne die Historie anzeigen lassen.
Mit dem Report RSUSR100 wird mir dieser Benutzer nicht angezeigt. Das Einzige was mir das System anzeigt ist, dass der Benutzer 2004 angelegt wurde.
Der Parameter rec/client war 2012 auf “off” und ist seit 2015 auf “all” eingestellt.
Der Parameter login/no_automatic_user_sapstar war 2012 auf “0”, 2014 auf “1” und ist seit 2015 auf “0” gesetzt.
Können die Parametereinstellungen damit zusammenhängen, das ich keine Historie finde? Welche Möglichkeiten gibt es noch, sich die Historie von SAP* anzeigen zu lassen?

VG SB

Hallo und vielen Dank für die Frage. Wenn Sie “Historie” schreiben, meinen Sie die Änderungsbelege des Benutzerstammsatzes vom Benutzer SAP* oder sind Änderungsbelege im gesamten SAP-System gemeint?

Zu Änderungsbelegen für Benutzer (im Benutzerstammsatz): Wenn Sie sich diese Belege anzeigen lassen wollen, dann müssen Sie zunächst über die SU01 den Benutzer SAP* wieder anlegen. Denn – obwohl der Benutzer möglicherweise irgendwann mal gelöscht wurde – sind die Änderungsbelege zu diesem Stammdatensatz noch vorhanden.

Der Parameter rec/client steuert die Protokollierung von Tabellen (im jeweiligen Mandanten), für welche die Protokollierung in den Tabelleneigenschaften aktiviert ist. Protokolle stehen also leider nur für den Zeitraum zur Verfügung, in dem rec/client auf “all” (oder den entsprechenden Mandanten) gesetzt ist.

Sollten Sie noch eine andere Historie gemeint haben, stehe ich natürlich gerne für Fragen zur Verfügung!

VG Andre Tenbuß

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice