- 24. Oktober 2017

Benutzername im SAP System einschränken

Secure data processing concept with motherboard and virtual processor. Ein Benutzername ohne eingeschränkten Zeichenvorrat kann ein Sicherheitsrisiko darstellen. Deshalb ist es ratsam, dass Sie den Zeichenvorrat der Benutzer-ID einschränken. Wo die Gefahren liegen, sollten sie keine derartige Begrenzung vornehmen, erfahren Sie in diesem Beitrag. Außerdem erläutere ich, wie sie dieses Sicherheitsrisiko eliminieren.

Benutzername ohne Einschränkungen – kritisch?

Je nachdem, welches Release die SAP_BASIS-Komponente in Ihrem System hat, können nicht sichtbare Sonderzeichen im Benutzernamen landen. Das ist insbesondere dann kritisch, wenn beim Anlegen eines neuen Benutzers für den Benutzernamen ausschließlich Leerzeichen oder alternative Leerzeichen verwendet werden. In Unicode-Systemen können neben dem normalen Leerzeichen (Hexadezimalwert 20) auch „alternative“ Leerzeichen, so genannte „wide spaces“ verwendet werden. So können zum Beispiel mithilfe der Tastenkombination „ALT+0160″ non-breaking spaces eingefügt werden. Wenn jetzt ein Benutzer angelegt wird, dessen Benutzername ausschließlich aus solchen alternativen Leerzeichen besteht, dann kann das verwirrend sein. Denn in Änderungsbelegen tauchen zwar Einträge zu dieser Benutzer-ID auf, allerdings entsteht der Eindruck, als sei der Eintrag durch einen nicht-vorhandenen / gelöschten Benutzer erzeugt worden. Dieser Umstand kann zu Verwirrungen führen.

Außerdem können bestimmte Sonderzeichen im Benutzernamen auch zu Fehlern, bspw. im Change and Transport System (CTS), führen. Denn der Benutzername wird im CTS-ORG auch dazu verwendet, eine gleichnamige Datei im Transportverzeichnis anzulegen.

Darüberhinaus gibt es Buchstaben / Zeichen, die in unterschiedlichen Alphabeten identisch aussehen, aber im Zeichensatz einen anderen Hexadezimalwert besitzen. Dadurch können Verwechslungen bei Benutzernamen nicht vollständig ausgeschlossen werden. Scheinbar gleiche Benutzernamen stehen dann für unterschiedliche Benutzer.

Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Benutzername mit Einschränkungen – wie?

Wenn Ihr System bereits über SAP NetWeaver-Release 7.0 liegt, dann müssen Sie entweder den SAP Hinweis 1731549 oder ein entsprechendes Support Package einspielen. Anschließend können bei der Neuanlage von Benutzern keine Benutzernamen mehr vergeben werden, die nur aus Varianten von Leerzeichen oder anderen nicht sichtbaren Sonderzeichen zusammengesetzt sind.

Wichtig: Änderungen an bereits bestehenden Benutzern mit diesen Namen oder deren Löschungsmöglichkeit sind davon nicht betroffen!

Durch den SAP Hinweis wird außerdem der Customizing-Schalter BNAME_RESTRICT eingebaut, woraufhin Sie selbst steuern können, ob alternative Leerzeichen an bestimmten Stellen im Benutzernamen vorkommen dürfen. Hierfür müssen in der Customizing-Tabelle PRGN_CUST folgende Werte gesetzt werden:

  • NO = Die alternativen Leerzeichen sind weiterhin im Benutzernamen erlaubt.
  • ALL = Der Zeichenvorrat wird auf einen definierten Bereich reduziert, wobei gewisse Sonderzeichen ausgeklammert werden, da diese in bestimmten Betriebssystemen oder Datenbanken bestimmte Bedeutungen haben. Dieser vordefinierte Zeichenvorrat ist: ABCDEFGHIJKLNMOPQRSTUVWXYZ_0123456789,;-§&()={[]}+#.
  • FME = Die Buchstaben F, M und E stehen für Front, Middle und End. Mit einem ‚X‘ in diesem dreistelligen Schalterwert können Sie nun also explizit festlegen, an welcher Position im Benutzernamen keine wide spaces und Steuerzeichen auftreten dürfen. Es sind alle Kombinationen möglich, also z.B.:
    • XME = Im Benutzernamen darf am ANFANG keines dieser Sonderzeichen vorkommen.
    • XMX = Im Benutzernamen darf am ANFANG und am ENDE keines dieser Sonderzeichen vorkommen.
    • FME = Im Benutzernamen darf an jeder Stelle eines dieser Sonderzeichen vorkommen (Das entspricht der Standardeinstellung, also als sei für den Schalter kein Eintrag in der PRGN_CUST gepflegt!).

SAP empfiehlt übrigens die Verwendung vom Wert ALL.

Wie sieht es bei Ihnen auf dem System aus? Nutzen Sie den Customizingschalter BNAME_RESTRICT? Ich freue mich auf Ihre Kommentare!

Hier noch der Link zum SAP Hinweis 1731549:
Einschränkungen des Zeichenvorrates für Benutzernamen.

Mein Name ist Dominik Busse und ich bin zertifizierter Managing Consultant bei mindsquare. Mein fachlicher Schwerpunkt sind SAP Berechtigungen.

Sie haben Fragen? Kontaktieren Sie mich!


SHARE



Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.