rz10.de - die SAP Basis und Security Experten https://rz10.de Das Team vom Fachbereich SAP Basis und Security bietet KnowHow und Erfahrungen rund um SAP Basis und Sicherheit. Thu, 19 Oct 2017 07:26:54 +0000 de-DE hourly 1 http://wordpress.org/?v=4.2.6 Systemänderbarkeit und Mandantensteuerung in einem SAP-System https://rz10.de/blog/systemaenderbarkeit/ https://rz10.de/blog/systemaenderbarkeit/#comments Mon, 09 Oct 2017 06:00:17 +0000 https://rz10.de/?p=11967 Im Bereich der SAP Basis-Administration gibt es viele Aufgaben, welche in langen aber unregelmäßigen Abständen anfallen, wie beispielsweise das Anpassen der Systemänderbarkeit. Dadurch fehlt häufig das Know-How und es wird schnell zur nächsten Suchmaschine gegriffen, wo lange und teilweise unvollständige Foreneinträge die Suche nach dem richtigen Vorgehen noch mehr erschweren. Aus diesem Grund werde ich […]

The post Systemänderbarkeit und Mandantensteuerung in einem SAP-System appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Im Bereich der SAP Basis-Administration gibt es viele Aufgaben, welche in langen aber unregelmäßigen Abständen anfallen, wie beispielsweise das Anpassen der Systemänderbarkeit. Dadurch fehlt häufig das Know-How und es wird schnell zur nächsten Suchmaschine gegriffen, wo lange und teilweise unvollständige Foreneinträge die Suche nach dem richtigen Vorgehen noch mehr erschweren. Aus diesem Grund werde ich zukünftig regelmäßig wiederkehrende Aufgaben aus der SAP Basis-Administration für Sie in einfachen Tutorials festhalten. Den Start wird dieser Blogbeitrag zum Thema Systemänderbarkeit und Mandantensteuerung machen. Falls Sie direkt zu einer Schritt-für-Schritt-Anleitung springen wollen, scrollen Sie einfach nach ganz unten, dort habe ich alles einmal zusammengefasst.

Systemänderbarkeit – Was ist das?

Mit der Systemänderbarkeit lässt sich einstellen, welche Objekte des Repositories und des mandantenunabhängigen Customizings änderbar sind oder nicht. Repository-Objekte können zusätzlich noch weiter angepasst werden, und zwar in Bezug auf die Software-Komponente und den Namensraum. Sie können jeweils einstellen, ob ein Objekt änderbar, eingeschränkt änderbar oder nicht änderbar sein soll. Eingeschränkt änderbar heißt in diesem Zusammenhang, dass Repository-Objekte nur als nicht-Originale angelegt werden können (kleiner Hinweis: für Pakete ist die Einstellung „eingeschränkt änderbar“ und „änderbar“ identisch in der Funktion). Kommen wir nun zum direkten Vorgehen zur Umstellung der Systemänderbarkeit.

Systemänderbarkeit ändern

Als Vorbereitung sollten Sie abklären, wie lange die Änderbarkeit in Ihrem System stattfinden soll. Ich habe bei meinen Kunden die Erfahrung gemacht, dass es häufig gewünscht ist, das System für bestimmte Aufgaben aus den Fachbereichen nur zeitweise auf „änderbar“ zu stellen. Sofern Sie dies organisiert haben, rufen Sie im 000-Mandanten die Transaktion SE06 auf und klicken Sie auf den Button „Systemänderbarkeit“. Sollten Sie keine Berechtigungen für diese Transaktion haben, können Sie es alternativ entweder mit der Transaktion SE03 –> Systemänderbarkeit oder über die Transaktion SE09 -> Springen -> Transport Organizer Tools -> Systemänderbarkeit (unter „Administration“) versuchen. Folgender Screenshot zeigt den Weg über die SE03:

Systemänderbarkeit1

Hier können Sie je nach Anfrage die gewünschten Namensräume und Softwarekomponenten umstellen. Als kleiner Tipp: Über den Menü-Reiter „Springen“ können Sie alle Namensräume oder Softwarekomponenten gleichzeitig auf „änderbar“ oder „nicht änderbar“ setzen. Bevor Sie allerdings die Namensräume und Softwarekomponenten umstellen können, müssen Sie die globale Einstellung auch entsprechend anpassen. Unter Speichern oder mit STRG+S können nun noch Ihre neuen Einstellungen sichern und schon haben Sie die Systemänderbarkeit eingestellt.

Die Mandantensteuerung

Die Systemänderbarkeit hat allerdings keinen Einfluss auf mandantenabhängige Customizing-Änderungen. Falls Sie die Änderbarkeit von mandantenabhängigen Customizing-Änderungen einstellen wollen, müssen Sie die Mandantensteuerung aufsuchen. Diese erreichen Sie entweder bei der Systemänderbarkeit über den Button „Mandantensteuerung“ oder indem Sie die Tabelle T000 über die Transaktion SM30 aufrufen.

Systemänderbarkeit2

Wenn Sie sich nun in der Auflistung der Mandanten befinden, können Sie mit einem Doppelklick auf die jeweilige Zeile in die Einstellungen des jeweiligen Mandanten springen. Hier können Sie auch die jeweilig gewünschten Einstellungen vornehmen und anschließend speichern.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch
Fachbereichsleiter Tobias Harmes

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Schritt-für-Schritt Anleitungen

Systemänderbarkeit (mandantenunabhängige Customizing-Einstellungen und Repository-Objekte)

  1. Rufen Sie die SE06 auf und klicken Sie auf „Systemänderbarkeit“.
  2. Stellen Sie die gewünschten Objekte und die globale Einstellung je nach Anforderung ein.
  3. Speichern Sie die Änderungen.

Mandantensteuerung (mandantenabhängige Customizing-Einstellungen)

  1. Rufen Sie die Tabelle T000 in der SM30 auf.
  2. Machen Sie einen Doppelklick auf den gewünschten Mandanten.
  3. Ändern Sie hier die Einstellungen je nach Anforderung.
  4. Speichern Sie Ihre Änderungen.

Ich hoffe, ich konnte Ihnen mit diesem kleinen Tutorial weiterhelfen. Zukünftig plane ich noch mehr Tasks aus dem SAP Basis-Bereich hier näher zu erläutern. Gibt es aus Ihrer Sicht Themen, über die Sie gerne eine Anleitung bei uns lesen würden? Lassen Sie es mich in den Kommentaren wissen!

The post Systemänderbarkeit und Mandantensteuerung in einem SAP-System appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/systemaenderbarkeit/feed/ 0
SAP Passwort in weniger als 24 Stunden entschlüsseln https://rz10.de/blog/sap-passwort-entschluesseln/ https://rz10.de/blog/sap-passwort-entschluesseln/#comments Fri, 06 Oct 2017 11:58:09 +0000 https://rz10.de/?p=11933 Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und […]

The post SAP Passwort in weniger als 24 Stunden entschlüsseln appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und wie Sie dies verhindern können, erfahren Sie in diesem Beitrag.

Altlasten des SAP Systems

Die Anmeldedaten eines Benutzers, inklusive Passwort, werden in der Datenbanktabelle USR02 gesichert. Das Passwort liegt jedoch nicht im Klartext, sondern verschlüsselt als Hashwert vor. Für jeden Benutzer gibt es jedoch nicht nur einen, sondern bis zu drei erzeugte Passwort-Hashes. Zur Berechnung dieser Werte werden verschiedene Algorithmen verwendet, von denen jedoch nur der Salted SHA1 als ausreichend sicher angesehen werden kann.

Tabellenabzug Passwort-Hashes USR02

Tabellenabzug USR02

Der sichere Passwort-Hash befindet sich in der fünften Spalte des abgebildeten Tabellenabzugs mit der Überschrift Kennwort-Hashwert. Das zugehörige Datenfeld der Spalte heißt PWDSALTEDHASH.

Risiken durch schwache Passwort-Hashes

Sie verfügen über ein gutes und funktionierendes Berechtigungskonzept, welches sicherstellt, dass keine Prozesse oder Daten manipuliert oder gestohlen werden können. Ein potenzieller Angreifer verfügt nun über die Möglichkeit Ihre Datenbank mit den Passwort-Hashes auszulesen. Die Hashwerte werden über Passwort-Cracker, die im Internet zuhauf erhältlich sind, zurückgerechnet und der Angreifer verfügt nun über eine lange Liste mit user credentials. Um Ihrem System Schaden zuzufügen sucht sich dieser nun den Benutzer mit den passenden Berechtigungen aus und führt seinen Angriff unter falscher Identität aus. Den tatsächlichen Angreifer nun zu ermitteln ist quasi unmöglich.

Prüfen Sie, ob auch Ihr System angreifbar ist

Ihr System generiert die schwachen Hashwerte, wenn der Profilparameter login/password_downwards_compatibility einen Wert ungleich 0 besitzt.

Profilparameter login/password_downwards_compatibility

Profilparameter login/password_downwards_compatibility

Der Standardwert des Profilparameters ist 1, sodass die schwachen Hashes für jeden Benutzer generiert werden.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch
Fachbereichsleiter Tobias Harmes

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Erzeugung schwacher Passwort-Hashes verhindern

Die Generierung der unsicheren Hashwerte kann unterbunden werden, indem der Profilparameter login/password_downwards_compatibility auf den Wert 0 gesetzt wird.
Beachten Sie, dass eine Änderung erst durch einen Neustart der Instanz wirksam wird!

Schwache Passwort-Hashes aus dem System entfernen

Lediglich den Profilparameter zu aktualisieren bringt Ihnen noch nicht die nötige Sicherheit. In Ihrer Datenbank befinden sich immer noch zahlreiche schwache Hashwerte, die zum Angriff auf Ihr System verwendet werden können. Diese müssen vollständig aus der Datenbank entfernt werden. Dazu verwenden Sie den Report CLEANUP_PASSWORD_HASH_VALUES.

Rufen Sie dazu die Transaktion SA38 auf und geben den Namen des Reports in das Eingabefeld ein. Durch den Ausführen-Button oder F8 wird das Programm ausgeführt und Ihre Datenbank bereinigt

Report CLEANUP_PASSWORD_HASH_VALUES

Report CLEANUP_PASSWORD_HASH_VALUES

Dieses Programm entfernt Mandanten-übergreifend die veralteten Hashwerte.

Haben Sie bereits Erfahrungen mit dieser Angriffsmethode gemacht oder weitere Anmerkungen zu diesem Thema? Teilen Sie uns Ihre Erfahrungen in Form eines Kommentars unter diesem Artikel mit.

The post SAP Passwort in weniger als 24 Stunden entschlüsseln appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/sap-passwort-entschluesseln/feed/ 0
Transporte von Kopien https://rz10.de/blog/transporte-von-kopien/ https://rz10.de/blog/transporte-von-kopien/#comments Fri, 29 Sep 2017 17:40:37 +0000 https://rz10.de/?p=11863 Der Test von Eigenentwicklungen findet sehr häufig im Qualitätssicherungssystem statt. Daher müssen die Customizing-/Workbench-Entwicklungen ins entsprechende System transportiert werden. Sehr empfehlenswert ist hierbei die Nutzung der Auftragsart „Transporte von Kopien“. Warum Sie diese Auftragsart nutzen sollten und was Sie dabei beachten müssen, erfahren Sie in diesem Beitrag. Transporte von Kopien – Warum? Dabei bleiben alle […]

The post Transporte von Kopien appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Der Test von Eigenentwicklungen findet sehr häufig im Qualitätssicherungssystem statt. Daher müssen die Customizing-/Workbench-Entwicklungen ins entsprechende System transportiert werden. Sehr empfehlenswert ist hierbei die Nutzung der Auftragsart „Transporte von Kopien“. Warum Sie diese Auftragsart nutzen sollten und was Sie dabei beachten müssen, erfahren Sie in diesem Beitrag.

Transporte von Kopien – Warum?

Dabei bleiben alle Objekte auf dem ursprünglichen Transportauftrag gesperrt. Nur die Kopien der Objekte werden in das nächste SAP-System transportiert. Falls beim Transport etwas schiefgeht, können Objekte ganz einfach neu gesammelt oder hinzugefügt werden. Darüber hinaus wird bei einem Transport von Kopien ins Testsystem kein Import im Produktivsystem angelegt. Die Importqueue bleibt sauber und übersichtlich. Das Problem mit „Überholer“-Transporten entfällt.

Transporte von Kopien – Erstellung

Um einen Transport von Kopien zu erstellen, rufen Sie den Transport Organizer über die Transaktion SE01 auf. Setzen Sie ein Häkchen beim Auftragstyp „Transporte von Kopien“ und klicken Sie auf Anzeigen

Transporte von Kopien - Anzeigen

Legen Sie einen neuen Auftrag an (über das Dokument-Icon oder die F6-Taste).

Transporte von Kopien - Auftrag anlegen

Wählen Sie anschließend den Auftragstyp „Transport von Kopien“ aus.

Transporte von Kopien - Auftragstyp

Definieren Sie anschließend eine Beschreibung und das Zielsystem des Transports.

Transporte von Kopien - Beschreibung

Transporte von Kopien – Objekte hinzufügen

Der Transportauftrag des Typs „Transporte von Kopien“ wurde angelegt. Nun wollen wir diesem die zu transportierenden Objekte des Originals hinzufügen. Leider können nicht direkt alle Objekte eines Auftrags kopiert werden. Daher ist es wichtig, die Objekte Aufgabe für Aufgabe zu übernehmen. Ein Transportauftrag kann mehrere Aufgaben enthalten.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch
Fachbereichsleiter Tobias Harmes

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Markieren Sie mit der Tastenkombination STRG+Y die ID der Aufgabe und kopieren Sie diese anschließend mit STRG+C.

Transporte von Kopien - Aufgabe kopieren

Führen Sie einen Rechtsklick auf Ihren Auftrag von der Art „Transport von Kopien“ aus und wählen Sie die Option Objekte aufnehmen aus.

Transporte von Kopien - Objekte aufnehmen

Wählen Sie den Radiobutton Objektliste eines Auftrags aus und kopieren Sie die ID der Aufgabe hinein, welche die zu transportierenden Objekte enthält. Bestätigen Sie Ihre Eingabe.

Transporte von Kopien - Objektliste

Alle Objekte des Auftrags werden in den Transport von Kopien übernommen.

Transporte von Kopien - Übernahme

Anschließend können Sie die Objekte mit der normalen Transportprozedur ins Testsystem transportieren.

Haben Sie bereits Erfahrungen mit Transporten von Kopien gemacht oder weitere Tipps zur Nutzung? Ich freue mich über Ihren Kommentsr!

The post Transporte von Kopien appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/transporte-von-kopien/feed/ 0
SAP Business Objects: Berechtigungen mittels CMC-Registerkartenkonfiguration https://rz10.de/blog/berechtigungen-cmc-registerkartenkonfiguration/ https://rz10.de/blog/berechtigungen-cmc-registerkartenkonfiguration/#comments Fri, 15 Sep 2017 18:00:00 +0000 https://rz10.de/?p=11809 Im SAP Business Objects Umfeld gibt es die Möglichkeit, die Steuerung von Berechtigungen mit der CMC-Registerkartenkonfiguration zu erweitern. Die Registerkartenkonfiguration erlaubt es Ihnen, bestimmte Registerkarten für Nutzer oder Gruppen einfach ein- bzw. auszublenden. CMC-Registerkartenkonfiguration aktivieren Standardmäßig ist die Funktion der CMC-Registerkartenkonfiguration auf „Nicht einschränken“ gesetzt und damit deaktiviert. Damit Sie überhaupt die Möglichkeit haben, die […]

The post SAP Business Objects: Berechtigungen mittels CMC-Registerkartenkonfiguration appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Im SAP Business Objects Umfeld gibt es die Möglichkeit, die Steuerung von Berechtigungen mit der CMC-Registerkartenkonfiguration zu erweitern.

Die Registerkartenkonfiguration erlaubt es Ihnen, bestimmte Registerkarten für Nutzer oder Gruppen einfach ein- bzw. auszublenden.

CMC-Registerkartenkonfiguration aktivieren

Standardmäßig ist die Funktion der CMC-Registerkartenkonfiguration auf „Nicht einschränken“ gesetzt und damit deaktiviert. Damit Sie überhaupt die Möglichkeit haben, die Registerkartenkonfiguration zu nutzen, müssen Sie diese daher vorerst aktivieren.

Hinweis: Wenn Sie die Registerkartenkonfiguration aktivieren, sehen alle Nutzer, die sich nicht unterhalb der Standardgruppe „Administratoren“ befinden, vorerst keine Registerkarten mehr. Dies liegt daran, dass standardmäßig über die CMC-Registerkartenkonfiguration der Zugriff verweigert wird. Sie müssen daher nach dem Aktivieren einmal für alle vorhandenen Gruppen pflegen, welche Registerkarten zu sehen sind. Stellen Sie daher sicher, dass Sie über einen Account verfügen, der der Administratoren Gruppe zugeordnet ist!

Rufen Sie dazu Anwendungen auf, machen Sie einen Rechtsklick auf Central Management Console und wählen Sie Konfiguration des Zugriffs auf die CMC-Registerkarte:

Anwendungen --> Central Management Console --> Rechtsklick

Die CMC kann unter Anwendungen gefunden werden.

Aktivieren Sie die Konfiguration nun, indem Sie die Option Einschränken auswählen.

"Eingeschränkt" auswählen

Über Einschränken aktivieren Sie die Option.

Registerkarten ein- / ausblenden

Wenn Sie sich jetzt mit einem Benutzer anmelden, der sich nicht in der Standard Administratoren-Gruppe befindet, sehen Sie auf der CMC-Startseite keine Anwendungen / Registerkarten.

CMC-Startseite ohne Anwendungen / Registerkarten

Anfangs sind keine Anwendungen / Registerkarten sichtbar

Um die gewünschten Registerkarten für die Gruppen wieder einzublenden, wechseln Sie mit Ihrem Administratoren-Konto auf Benutzer und Gruppen, machen einen Rechtsklick auf die gewünschte Gruppe und wählen CMC-Registerkartenkonfiguration aus.

Rechtsklick auf die gewünschte Gruppe --> CMC-Registerkartenkonfiguration

Rufen Sie die Registerkartenkonfiguration auf.

In dem nun erscheinenden Dialog sehen Sie, dass standardmäßig der Zugriff auf sämtliche Registerkarten verweigert wird. Aus diesem Grund können Sie als ein Benutzer der Gruppe auch keine Registerkarten sehen. Wählen Sie nun die Anwendungen / Registerkarten aus, auf die die Gruppe Zugriff erhalten soll (mit STRG können Sie mehrere markieren) und wählen Sie den Button Gewähren.

Hinweis: Wählen Sie über den Button und nicht das Dropdown-Menü Gewähren aus! Über das Dropdown-Menü regeln Sie, ob und wie weit Benutzer der Gruppe, die Sie aktuell bearbeiten, selbst CMC-Registerkartenkonfigurationen an anderen Gruppen / Benutzern vornehmen können!

Für die gewünschten Registerkarten "Gewähren" auswählen.

Für die gewünschten Registerkarten „Gewähren“ auswählen.

Falls Sie danach noch immer keine Anwendungen / Registerkarten sehen, liegt es daran, dass der Gruppe / dem Benutzer das allgemeine Anzeigenrecht auf der obersten Ebene der jeweiligen Registerkarte fehlt. Wechseln Sie dazu auf die gewünschte Registerkarte (im Beispiel ist das Universen), wählen Sie Verwalten –> Sicherheit auf oberster Ebene –> Alle Universen (je nach Registerkarte unterscheidet sich der letzte Punkt).

Verwalten --> Sicherheit auf oberster Ebene --> Alle Universen

Bestätigen Sie den auftauchenden Hinweis und vergeben Sie für die gewünschten Gruppen zumindest das folgende Recht: Allgemein –> Allgemein –> Objekte Anzeigen. Sobald dieses Recht vergeben wurde, taucht die Registerkarte auch auf der CMC-Startseite wieder auf.

CMC-Startseite mit Registerkarten

Sie können anschließend die Registerkarten auf der CMC-Startseite sehen.

Vorteil von CMC-Registerkarten

Feinere Rechte können Sie wie gewohnt über die Zugriffsrechte regeln. Der große Vorteil der CMC-Registerkartenkonfiguration ist, dass Sie ganz leicht den Zugriff von Gruppen auf bestimmte Registerkarten gewähren oder entziehen können. So haben Sie die Möglichkeiten, Zugriffsberechtigungen im Hintergrund vorzubereiten und anschließend mit einem Klick über die CMC-Registerkartenkonfiguration sämtliche Berechtigungen freizuschalten. Andererseits können so Zugriffe kurzerhand entzogen werden, ohne dass vorhandene Zugriffsberechtigungen bearbeitet werden müssen.

Wir helfen Ihnen, die IT-Sicherheit zu verbessern
Fachbereichsleiter Tobias Harmes

Für Rat und Hilfe bei der Entwicklung Ihrer IT-Sicherheitsstrategie bieten wir Ihnen unsere kompetenten Berater an: Security-Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Haben Sie bereits Erfahrungen mit der CMC-Registerkartenkonfiguration gemacht oder haben Fragen zur Anwendung? Ich freue mich über jegliche Anregung, die Sie mir als Kommentar hinterlassen.

The post SAP Business Objects: Berechtigungen mittels CMC-Registerkartenkonfiguration appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/berechtigungen-cmc-registerkartenkonfiguration/feed/ 0
So transportieren Sie abgelehnte Transportaufträge im SAP-System https://rz10.de/blog/abgelehnte-transportauftraege-freigeben/ https://rz10.de/blog/abgelehnte-transportauftraege-freigeben/#comments Mon, 11 Sep 2017 16:00:09 +0000 https://rz10.de/?p=11758 Sie wollten eilig einen Transportauftrag im Qualitätssicherungssystem Ihrer SAP-Landschaft freigeben und haben dabei versehentlich auf „Ablehnen“ anstatt „Genehmigen“ geklickt? Nun lässt sich der Auftrag nicht weiter transportieren und wird bald per Job aus der Queue bereinigt? Nicht verzweifeln: In diesem Blog-Beitrag schildere ich Ihnen eine einfache Methode, wie Sie abgelehnte Transportaufträge trotzdem in das Produktivsystem […]

The post So transportieren Sie abgelehnte Transportaufträge im SAP-System appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Sie wollten eilig einen Transportauftrag im Qualitätssicherungssystem Ihrer SAP-Landschaft freigeben und haben dabei versehentlich auf „Ablehnen“ anstatt „Genehmigen“ geklickt? Nun lässt sich der Auftrag nicht weiter transportieren und wird bald per Job aus der Queue bereinigt? Nicht verzweifeln: In diesem Blog-Beitrag schildere ich Ihnen eine einfache Methode, wie Sie abgelehnte Transportaufträge trotzdem in das Produktivsystem transportieren können.

Als Leser unseres RZ10 Blogs interessieren Sie sich sicher für Tricks und Kniffe, die Ihnen die Handhabe Ihres SAP-Systems erleichtern. Vielleicht kennen Sie die Situation, dass Sie nach erfolgter Prüfung einen Transportauftrag schnell genehmigen wollen und sich bei der Freigabe im System verklickt haben. Problem ist nun, dass der Transportauftrag im System nun den Status „abgelehnt“ innehat und daher nicht mehr transportiert werden kann. Insgesamt erhält ein Transportauftrag unter Umständen wichtige Änderungen, die Sie gerne ins Produktivsystem transportiert hätten.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch
Fachbereichsleiter Tobias Harmes

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Vorgehensweise um abgelehnte Transportaufträge freizugeben

Der nachfolgende Screenshot zeigt die Situation in der Transaktion STMS, bei der ein Transportauftrag im Qualitätssicherungsbereich ablehnt wurde. Somit ist ein Import in das Produktivsystem nicht mehr möglich. Der Transportauftrag kann entweder manuell oder durch einen Job entfernt werden. Die Frage an dieser Stelle ist jedoch, wie die Änderungen, die fälschlicherweise abgelehnt wurden, in das nachfolgende System transportiert werden können.

Ablehnter Transportauftrag

Ablehnter Transportauftrag

Tipp: Lassen Sie den Status auf „abgelehnt“ stehen, entfernen sie ggf. den abgelehnten Transportauftrag aus der Importqueue und befolgen Sie die nächsten Schritte. Wechseln sie in Ihrem Qualitätssicherungssystem auf die Importqueue. Gehen Sie dort über Zusätze -> Weitere Aufträge -> Anhängen zum modalen Fenster, in dem Sie weitere Schritte durchführen können.

Transportaufträge anhängen

Transportaufträge anhängen

Wählen Sie den Transportauftrag aus dem Entwicklungssystem aus, der im Qualitätssicherungssystem abgelehnt wurde. Dieser wird technisch erneut in das Q-System in einem neuen Auftrag verpackt und in das Qualitätssicherungssystem transportiert. An dieser Stelle haben sie erneut die Möglichkeit den Genehmigungsschritt durchzuführen, den Sie wirklich durchführen möchten.

Transportauftrag an die Queue anhängen

Transportauftrag an die Queue anhängen

Haben Sie ähnliche Erfahrungen mit abgelehnten Transportaufträgen gemacht oder kennen einen alternativen, noch einfacheren Weg? Ich freue mich auf Ihr Feedback und lade Sie herzlich dazu ein diesen Beitrag zu kommentieren.

The post So transportieren Sie abgelehnte Transportaufträge im SAP-System appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/abgelehnte-transportauftraege-freigeben/feed/ 0
Identity Management System: Tipps zur Einführung https://rz10.de/blog/identity-management-system-tipps-zur-einfuehrung/ https://rz10.de/blog/identity-management-system-tipps-zur-einfuehrung/#comments Fri, 08 Sep 2017 16:36:28 +0000 https://rz10.de/?p=11684 Das SAP Identity Management System (IdM) ermöglicht eine zentrale Benutzer- und Berechtigungsverwaltung in einer heterogenen Systemlandschaft. Durch die Verwendung eines IdM-Systems können manuelle Prozesse durch automatisierte Workflows ersetzt werden, die zentral abgebildet und administriert werden. Beispielhafte Szenarien: Benutzer- und Berechtigungsverwaltung ESS/MSS zur Verwaltung von Personaldaten Audit und Monitoring zur Überprüfbarkeit auf die Einhaltung gesetzlicher Vorschriften […]

The post Identity Management System: Tipps zur Einführung appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Das SAP Identity Management System (IdM) ermöglicht eine zentrale Benutzer- und Berechtigungsverwaltung in einer heterogenen Systemlandschaft. Durch die Verwendung eines IdM-Systems können manuelle Prozesse durch automatisierte Workflows ersetzt werden, die zentral abgebildet und administriert werden.

Beispielhafte Szenarien:

  1. Benutzer- und Berechtigungsverwaltung
  2. ESS/MSS zur Verwaltung von Personaldaten
  3. Audit und Monitoring zur Überprüfbarkeit auf die Einhaltung gesetzlicher Vorschriften

Was ist jedoch zu beachten, wenn sie ein Identity Management System einführen möchten? In diesem Beitrag möchte ich auf grundlegende Punkte eingehen, die vor der Einführung geklärt sein müssen.

Aufgaben und Systeme definieren

Vor Projektbeginn muss geklärt sein, welche Systeme an das IdM angebunden werden und welche Dienste das System erbringen soll. Dies erfordert eine enge Zusammenarbeit zwischen der Fachabteilung und der IT, da spätere Anpassungen oder zusätzliche Systeme die Einführung verlängern und das Budget übersteigen.

Vorhandene Daten analysieren

Zur erfolgreichen Einführung eines Identity Management Systems ist eine hohe Qualität der Daten unverzichtbar. Die Stammdaten der Benutzer müssen überprüft, aktualisiert oder auch nachgepflegt werden. Eine Automatisierung mit lückenhaften oder gar falschen Daten ist ansonsten nicht denkbar.

Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Berechtigungskonzept überdenken

Mit der Einführung eines Identity Management Systems und eines Workflows zur Berechtigungsvergabe sollten die vorhandenen Rollen noch einmal genau unter die Lupe genommen werden. Sie sollten sich fragen, ob der Anwender weiß, welche Rolle er aus dem vorliegenden Katalog auswählt und ob diese ausreichend für seine Aufgabe ist.

Rollen-Owner festlegen

Nicht nur der Anwender muss wissen, welche Rolle er auswählt. Es muss auch einen Verantwortlichen für die Rolle geben, der die Rolle bei Bedarf anpasst bzw. anpassen lässt oder bei Bedarf als Ansprechpartner fungiert.

Verwenden Sie bereits ein Identity Management System oder stehen Sie vor der Einführung? Lassen Sie mir gerne Ihre Erfahrungen oder Fragen in Form eines Kommentars unter dem Artikel zukommen.

The post Identity Management System: Tipps zur Einführung appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/identity-management-system-tipps-zur-einfuehrung/feed/ 0
SAP Security Tage im September – bald in Würzburg https://rz10.de/blog/sap-tagesseminar-sap-security-2017-demnaechst-in-wuerzburg/ https://rz10.de/blog/sap-tagesseminar-sap-security-2017-demnaechst-in-wuerzburg/#comments Thu, 27 Jul 2017 13:04:03 +0000 https://rz10.de/?p=11653 Sicherheit und Berechtigungen im SAP-System. Oftmals wird hier zu wenig investiert, um das eigene SAP-Systeme so zu schützen, wie das eigene Zuhause. Bei unseren SAP Security Tagen wir zeigen auf, wie Sie Sicherheit und Datenschutz in Ihrem SAP-System automatisieren warum Ihre Daten in der Cloud sicherer sind als auf Ihrem SAP-System und ob es Siri […]

The post SAP Security Tage im September – bald in Würzburg appeared first on rz10.de - die SAP Basis und Security Experten.

]]>

Sicherheit und Berechtigungen im SAP-System. Oftmals wird hier zu wenig investiert, um das eigene SAP-Systeme so zu schützen, wie das eigene Zuhause. Bei unseren SAP Security Tagen wir zeigen auf,

  • wie Sie Sicherheit und Datenschutz in Ihrem SAP-System automatisieren
  • warum Ihre Daten in der Cloud sicherer sind als auf Ihrem SAP-System
  • und ob es Siri bald auch schon für SAP geben wird.

Die SAP Security Tage richten sich an IT-Leiter, -Verantwortliche und -Anwender, die sich mit strategischen Fragen rund um Berechtigungen im SAP-System beschäftigen und die Ihr Unternehmen optimal auf die Zukunft vorbereiten wollen.

Neben unserem Tagesseminar werden wir diesmal auch die Ergebnisse unserer Marktstudie zum Thema „Tools für Berechtigungen in SAP“ vorstellen. Hier erwarten Sie nicht nur die Ergebnisse der Studie, sondern auch eine spannende Podiumsdiskussion und Mini-Messe der Toolhersteller.

Bei Fragen können Sie sich gerne an Denise Trabandt (Ansprechpartnerin für das Tagesseminar) wenden. Sie erreichen sie per E-Mail an trabandt@mindsquare.de oder telefonisch unter 0211 175 403-31.

Die Eckdaten auf einen Blick:
Seminar „SAP Security Tage“ – 2 Tage
Mittwoch, 20.09. – Donnerstag, 21.09.2017
12:00 – 17:30 Uhr & 09:00 – 17:30 Uhr
NOVUM Conference & Events Würzburg
Weitere Informationen und Agenda: mindsquare.de/security-tage-in-wuerzburg/

Anmeldung: mindsquare.de/anmeldung-security-tage-in-wuerzburg/

 

Das sagen unsere Kunden zur Veranstaltung:
„Interessanter Themenmix – erfrischend präsentiert mit „Speedcoaching“ als Highlight.“
(Jürgen Brandl, Paul Hartmann AG)

 „Eine sehr gute Gelegenheit zum Austausch!“
(Thomas Kötter, Coca Cola European Partners Deutschland)

„Ich habe viele Denkanstöße erhalten: Sowohl aus den Vorträgen als auch aus der Diskussion mit den Teilnehmern.“
(Birte Nedelcev, Schuler Pressen GmbH)

Weitere Kundenreferenzen finden Sie hier.

 

Vor Ort begrüßen Sie neben unseren Fachbereichsleitern auch Gründer Ferdinando Piumelli, der Ihnen das mindsquare Modell zur digitalen Transformation näher erklären wird.

Sichern Sie sich jetzt Ihren Platz. Wir freuen uns auf Sie!

 

Über mindsquare:

mindsquare ist ein IT-Beratungsunternehmen, das sich auf individuelle Softwareentwicklung und Technologieberatung im SAP- und Salesforce-Umfeld spezialisiert hat. Das Unternehmen mit Hauptsitz in Seelze (Niedersachsen) wurde 2007 von Dipl.-Ing. Ferdinando Piumelli und Dipl.-Ing. Patrick Höfer gegründet. Mittlerweile gibt es Standorte in Bielefeld (Ausbildungszentrum), Hamburg, Berlin und Düsseldorf. mindsquare wächst jährlich um 40% in Umsatz und Mitarbeitern. Aktuell arbeiten 130 Mitarbeiter für mindsquare. 2015 erreichte das Unternehmen einen Umsatz von 10,9 Millionen Euro.

 

Pressekontakt:

Beatrix Reißig
Redaktion/PR
presse@mindsquare.de 0521 9345 939-90

The post SAP Security Tage im September – bald in Würzburg appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/sap-tagesseminar-sap-security-2017-demnaechst-in-wuerzburg/feed/ 0
Benutzerabgleich als Job einplanen https://rz10.de/blog/benutzerabgleich-als-job-einplanen/ https://rz10.de/blog/benutzerabgleich-als-job-einplanen/#comments Tue, 25 Jul 2017 13:40:40 +0000 https://rz10.de/?p=11686 Obwohl Sie beim Administrieren von Berechtigungsrollen stets darauf achten, dass diese auch generiert sind, kommt es immer wieder vor, dass in den Produktivsystemen rote Ampeln in der Benutzerzuordnung zu finden sind. Haben Sie den Benutzerabgleich bedacht? Problem: Benutzerabgleich nicht durchgeführt Wann immer Sie eine rote Ampel auf der Registerkarte Rollen im Benutzerstamm in der SU01 finden – oder […]

The post Benutzerabgleich als Job einplanen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Obwohl Sie beim Administrieren von Berechtigungsrollen stets darauf achten, dass diese auch generiert sind, kommt es immer wieder vor, dass in den Produktivsystemen rote Ampeln in der Benutzerzuordnung zu finden sind. Haben Sie den Benutzerabgleich bedacht?

Problem: Benutzerabgleich nicht durchgeführt

Wann immer Sie eine rote Ampel auf der Registerkarte Rollen im Benutzerstamm in der SU01 finden – oder aber eine gelbe Ampel auf der Registerkarte Benutzer in der PFCG, können Sie das Problem für gewöhnlich mit einem einfachen Benutzerabgleich lösen. Dass ein solcher Benutzerabgleich notwendig ist, kann mehrere Ursachen haben. Unter anderem:

  • nach einem Rollentransport
  • nach / beim Zuweisen von Benutzer zu Rollen über die PFCG
  • nach dem Einschränken der Gültigkeit von Rollen zu Benutzern
  • wenn Rollen indirekt über das Organisationsmanagement vergeben werden.

Die Problematik eines nicht durchgeführten Benutzerabgleichs spüren die Anwender meistens recht zügig: Es fehlen Berechtigungen, obwohl diese auf den ersten Blick in den zugeordneten Berechtigungsrollen vorhanden sind. Denn dann ist einem Benutzer zwar die korrekte Berechtigungsrolle zugeordnet – das zur Rolle gehörende Profil ist jedoch nicht auf dem aktuellen Stand.

Wie das möglich ist? Rein technisch gesehen enthält jede generierte Berechtigungsrolle ein Profil, aus welchem ein User die tatsächlichen Berechtigungsobjekte und Berechtigungsausprägungen erhält. Wenn dieses Profil veraltet oder aber gar nicht erst zugewiesen ist, besitzt der User auch nicht alle in der Berechtigungsrolle enthaltenen Berechtigungsobjekte.

Besonders häufig entsteht das Problem übrigens nach Rollentransporten: Wenn eine Berechtigungsrolle im Entwicklungssystem verändert und anschließend in das Produktivsystem transportiert wird, wird nicht automatisch das aktuelle Profil an die User mit der jeweiligen Rolle vergeben. Hier muss also ein Benutzerabgleich durchgeführt werden.

Wir helfen Ihnen die SAP Sicherheit zu verbessern
Fachbereichsleiter Tobias Harmes

Für Rat und Hilfe bei der Konfiguration Ihrer SAP Systemlandschaft bieten wir Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail harmes@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Lösung: Benutzerabgleich durchführen

In diesen Fällen werden Sie das Problem mit einem manuellen Benutzerabgleich zügig unter Kontrolle bringen. Denn der Benutzerabgleich prüft, welche Rollen einem Benutzer zugeordnet sind und weist anschließend das aktuelle, passende Profil zu. Diesen Benutzerabgleich können Sie entweder manuell oder aber (meine Empfehlung!) automatisiert als Hintergrundjob ausführen:

1.) Benutzerabgleich manuell mit Transaktion PFUD durchführen

benutzerabgleich-als-job-einplanen

In der Transaktion PFUD (siehe Bild oben) können Sie den Benutzerabgleich manuell für alle Rollen (oder ausgewählte Rollen) durchführen. Sie können zwischen den Abgleicharten Profilabgleich, Abgleich indirekter Zuordnungen aus Sammelrollen und Abgleich HR-Organisationsmanagement wählen. Die Abgleiche unterscheiden sich laut SAP Dokumentation wie folgt:

  • Profilabgleich: „Das Programm vergleicht die aktuell gültigen Benutzerzuordnungen der ausgewählten Einzelrollen mit den Zuordnungen der zugehörigen generierten Profile und führt notwendige Anpassungen der Profilzuordnungen durch.“
  • Abgleich indirekter Zuordnungen aus Sammelrollen: „Benutzerzuordnungen zu Sammelrollen führen zu indirekten Zuordnungen für die in der Sammelrolle enthaltenen Einzelrollen. Diese Abgleichart passt die indirekten Zuordnungen der ausgewählten Einzelrollen an die Benutzerzuordnungen aller Sammelrollen an, in denen die Einzelrollen enthalten sind. Enthält die Selektionsmenge Sammelrollen, findet der Abgleich für alle darin enthaltenen Einzelrollen statt.“
  • Abgleich HR-Organisationsmanagement: „Diese Abgleichart aktualisiert die indirekten Zuordnungen aller ausgewählten Einzel- und Sammelrollen, die mit Elementen des HR-Organisationsmanagements verknüpft sind. Der HR-Abgleich ist inaktiv und nicht selektierbar, wenn keine aktive Planvariante existiert oder durch Einstellung des Customizing-Schalters HR_ORG_ACTIVE = NO in Tabelle PRGN_CUST eine globale Deaktivierung vorgenommen wurde.“

Weiterhin ist die Option „Bereinigung durchführen“ interessant, die unabhängig von den drei Abgleicharten ausgewählt werden kann und sich nicht auf die Rollenselektion bezieht. Mit der Funktion Bereinigung durchführen können Datenreste beseitigt werden, die durch unvollständige Löschung von Rollen und den zugehörigen generierten Profilen entstanden sind. Die zwei Hauptaufgaben dieser Funktion sind:

  • Löschen von Profilen samt Benutzerzuordnung, wenn keine passende Rolle existiert.
  • Löschen von Zuordnungen zwischen Benutzern und Rollen, wenn entweder der Benutzer oder die Rolle nicht existieren.

2.) Benutzerabgleich als Hintergrundjob einplanen

Ich empfehle Ihnen, dass Sie den Hintergrundjob PFCG_TIME_DEPENDENCY mit dem Report RHAUTUPD_NEW einplanen. Als Best Practice hat sich das Einplanen des Reports RHAUTUPD_NEW mit zwei Varianten bewiesen:

  1. Einmal täglich vor der ersten Anmeldung der Anwender (z.B. Mitternacht oder sehr früh am Morgen). Hierdurch werden die Benutzer einmal täglich abgeglichen.
  2. Einmal im Monat (oder auch einmal pro Woche) mit der Option „Bereinigung durchführen“, sodass regelmäßig obsolete Profile und Benutzerzuordnungen bereinigt werden.

Ebenfalls praktisch: Wenn es die Namenskonventionen Ihrer Rollen zulassen, können Sie den Report auch nach verschiedenen Zeitzonen ausrichten. Ich habe bspw. einen Kunden, der den Benutzerabgleich für seine Anwender in den USA und Asien zu verschiedenen Zeitpunkten laufen lässt, damit das Tagesgeschäft der jeweiligen Anwender nicht gestört wird.

Ich hoffe, ich konnte Ihnen die Funktion des Benutzerabgleiches näher bringen und – falls noch nicht geschehen – Sie dazu motivieren, diesen auch regelmäßig in Ihrem System einzuplanen. Wie sind Ihre Erfahrungen mit dem (fehlenden) Benutzerabgleich? Ich freue mich auf Ihre Kommentare gleich unterhalb dieser Zeilen!

The post Benutzerabgleich als Job einplanen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/benutzerabgleich-als-job-einplanen/feed/ 0
ABAP Code Security – SAP Code Vulnerability Analyzer / Virtual Forge CodeProfiler for ABAP https://rz10.de/blog/abap-code-security-codeprofiler-vulnerability-analyzer/ https://rz10.de/blog/abap-code-security-codeprofiler-vulnerability-analyzer/#comments Fri, 21 Jul 2017 16:47:38 +0000 https://rz10.de/?p=11566 Ein wichtiger Bereich der SAP Security ist die Analyse der kundeneigenen SAP-Programme, die klassisch in der proprietären SAP-Sprache ABAP geschrieben werden. Auch hier können, wie in allen Programmiersprachen, Sicherheitslücken programmiert werden – sei es nun bewusst oder unbewusst. Die Muster der Sicherheitslücken im ABAP-Code unterscheiden sich dabei allerdings von denen in Java-Stacks oder Windows-Programmen. Das […]

The post ABAP Code Security – SAP Code Vulnerability Analyzer / Virtual Forge CodeProfiler for ABAP appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Ein wichtiger Bereich der SAP Security ist die Analyse der kundeneigenen SAP-Programme, die klassisch in der proprietären SAP-Sprache ABAP geschrieben werden. Auch hier können, wie in allen Programmiersprachen, Sicherheitslücken programmiert werden – sei es nun bewusst oder unbewusst. Die Muster der Sicherheitslücken im ABAP-Code unterscheiden sich dabei allerdings von denen in Java-Stacks oder Windows-Programmen. Das Ziel bei diesen herkömmlichen Programmen ist es meistens, durch gezielte Falscheingaben das Programm entweder zum Absturz zu bringen (Buffer Overflow) oder künstlich eigenen Code zur Ausführung zu bringen (Code Injection).

Beides ist in ABAP nicht möglich, da ein Absturz eines Prozesses nichts anderes bewirkt als das Erzeugen eines Eintrages in der Log-Datenbank (Dump ST22) und ein anschließendes Beenden des Reports mit Rückkehr an den Menüstartpunkt. Eine direkte Manipulation wie in anderen Hochsprachen oder Servern ist also nicht möglich. Allerdings gibt es andere Manipulationsmöglichkeiten. Beispielsweise arbeiten viele kundeneigene ABAP-Programme mit dem Uploaden oder Downloaden von Daten. Hier sind potentiell große Sicherheitslücken vorhanden, die Zugriff auf Serverdaten ermöglichen. Darüber hinaus ist der weit verbreitete direkte Aufruf von Betriebssystemkommandos, die nicht durch eine selbst programmierte Berechtigungsprüfung abgedeckt sind, ein großes Problem.

Auch wenn die klassische SQL-Injection, also die Eingabe erweiterter SQL-Befehle, eine mögliche Sicherheitslücke ist, kommt sie in SAP-Systemen eher selten vor. Weiter verbreitet ist die ungewollte Dynamisierung von SQL-Aufrufen, weil Eingangsparameter nicht ausreichend geprüft werden. Die Notwendigkeit, alle Eigenentwicklungen auch intern auf solche Sicherheitslücken zu überprüfen bevor sie in den SAP-eigenen Code zur Auslieferung kommen, hat zur Entwicklung des Werkzeugs SAP Code Vulnerability Analyzer geführt.

Durch den Einsatz eines Code-Scanners besteht die Möglichkeit, dass jeder Entwickler bei der erweiterten Prüfung seines Programms nun auch nach komplexen Sicherheitsmustern scannen kann, die ihm sagen, ob er Schwachstellen in sein Programm eingebaut hat. Diese Schwachstellen werden erkannt und können nun in einem Workflow-gesteuerten Prozess bearbeitet werden.

Aktuell gibt es zwei Produkte, die im Bereich der Überprüfung der kundeneigenen SAP-Programme den Kunden unterstützen können.

SAP NetWeaver Application Server Add-on für Code Vulnerability Analyse

Vulnerability

Das Tool SAP NetWeaver Application Server Add-on für Code Vulnerability Analyse oder auch als Code Vulnearability Analyzer (CVA) bekannt ist ein Tool, das eine statische Analyse des benutzerdefinierten ABAP-Quellcodes durchführt, um mögliche Sicherheitsrisiken aufzudecken.

Das Tool ist im NetWeaver ABAP Stack verfügbar und basiert auf den Versionen ab:

  • 7.0 NetWeaver: in EHP2 SP 14 oder höher
  • 7.0 NetWeaver: in EHP3 SP 09 oder höher
  • 7.3 NetWeaver: in EHP1 SP 09 oder höher
  • 7.4 NetWeaver: in SP05 oder höher

Um das CVA-Tool nutzen zu können, muss die Ausführung von systemweiten Sicherheitskontrollen mit dem Report RSLIN_SEC_LICENSE_SETUP aktiviert werden. Anschließend sind die Sicherheitskontrollen in Standard-APAB-Code-Checking-Tools wie ABAP Test Cockpit (ATC) oder Code Inspector (SCI) verfügbar. Die Option dieser Prüfungen wird üblicherweise als „Sicherheitsanalyse im erweiterten Programmcheck“ bezeichnet.

Beachten Sie, dass die Verwendung der Sicherheitscheck-Funktion für benutzerdefinierten Code separat lizenziert wird und zusätzliche Kosten entstehen.

Das ältere und seit Jahren eingeführte Programm ist der „Code Profiler“ von Virtual Forge. Es ist eines der ersten Produkte in diesem Segment der SAP Sicherheit und wurde lange Jahre von der SAP selbst eingesetzt. Es ist sehr umfangreich und ist in der Lage, auch einzelne Variablen über den gesamten Kontrollfluss zu verfolgen. Dies führt zu sehr präzisen Aussagen und einer Reduzierung von Fehlalarmen, den „False Positives“

Wir helfen Ihnen, die IT-Sicherheit zu verbessern
Fachbereichsleiter Tobias Harmes

Für Rat und Hilfe bei der Entwicklung Ihrer IT-Sicherheitsstrategie bieten wir Ihnen unsere kompetenten Berater an: Security-Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Virtual Forge CodeProfiler for ABAP

Mit dem Virtual CodeProfiler können Sie automatisch Risiken im ABAP-Code identifizieren und Fehler korrigieren. Der CodeProfiler für ABAP ist vollständig in SAP integriert und basiert auf der von Virtual Forge entwickelten und patentierten globalen Daten- und Kontrollflussanalyse. Diese Lösung hilft dabei sicherzustellen, dass in ABAP geschriebene Anwendungen keine Sicherheits-, Compliance- oder Qualitätslücken aufweisen. Damit sind SAP-Systeme vor unerlaubtem Zugriff geschützt und erfüllen die Anforderungen interner und externer Prüfer. Zugleich steigert der CodeProfiler die Leistung der SAP-Systeme und senkt Kosten.

Funktionsweise des CodeProfilers for ABAP

Der CodeProfiler verhindert, dass qualitativ schlechter Code oder Programme mit Sicherheitslücken überhaupt in eine produktive SAP-Systemlandschaft gelangen. Deshalb ist es wichtig, den CodeProfiler über den gesamten Lebenszyklus einer Software einzusetzen. Bereits bei der Programmierung hilft der CodeProfiler dem Entwickler bei der Identifikation und Korrektur von Fehlern und Schwachstellen in der SAP-Landschaft.

Der CodeProfiler sorgt automatisch dafür, dass nur „sauberer“ Code in das jeweils nächste Level (Entwicklungssystem -> Testsystem -> Qualitätssicherungssystem -> Produktivsystem) transportiert wird. Dabei kann der CodeProfiler auch für regelmäßige Review-Zyklen eingesetzt werden.

Analyse der Unternehmensrisiken

CodeProfiler Analyse

Lösungsansatz

Schützen: CodeProfiler for ABAP schützt ab dem ersten Tag des Einsatzes das SAP-System vor Angriffen von innen und außen. Die ABAP-Firewall kann innerhalb kürzester Zeit eingerichtet werden und kontrolliert ab sofort jeden neuen Transportauftrag bei der Freigabe.

Optimieren: Die Auditfunktion von CodeProfiler for ABAP ermittelt zielgerichtet, welche Programme am stärksten bedroht sind und somit zuerst bereinigt werden sollten. Langfristig unterstützt CodeProfiler for ABAP die automatisierte Korrektur aller Findings und ermöglicht somit eine zeitnahe Schließung der Sicherheitslücken in allen Programmen.

Nutzen für Ihr Unternehmen

Kosten: 75% Ersparnis bei nachträglichen Korrekturen

  • Erhebliche Reduzierung der Entwicklungs- und Wartungskosten

ABAP-Code: 84% schnellere und ausfallsichere Programme

  • Verbesserte Performance verringert Laufzeit und Hardware-Auslastung
  • Gezielte Korrekturen minimieren Systemfehler und Ausfallzeiten
  • Mit HANA-Optimierung werden Ihre eigenen Programme erst richtig schnell

ABAP-Firewall: 92% weniger Aufwand, 98% weniger Kosten

  • Qualitätsstandards bei internen und externen Entwicklungen setzen
  • Treffsichere und Ressourcen sparende Analyse und Auswertung

Sicherheits- und Compliance-Risiken: signifikant reduziert

  • Schutz vor Cyber-Angriffen, Spionage und Systemausfällen

Neben dem Scan und dem Aufzeigen der jeweiligen Sicherheitslücken eines Programms besteht auch die Möglichkeit, Aufgaben, die mit Sicherheitslücken in andere SAP-Systeme transportiert werden sollen, im weiteren Transportprozess anzuhalten Dies betrifft beispielsweise den auf dem SAP Solution Manager basierten CHARM-Prozess. Dadurch wird ein Programmierer gezwungen, die von ihm betreuten Programme nach gleichen Sicherheitskriterien sicher zu prüfen.

Sollte ein Programm dann noch Sicherheitsprobleme haben, kann es entweder über das Vier-Augen-Prinzip freigegeben oder zur weiteren Bearbeitung zurückgegeben werden.

Kennen Sie weitere Lösung zur Verbesserung der ABAP Code Security oder haben bereits Erfahrungen mit den oben genannten Produkten gesammelt? Ich freue mich auf Ihre Kommentare!

The post ABAP Code Security – SAP Code Vulnerability Analyzer / Virtual Forge CodeProfiler for ABAP appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/abap-code-security-codeprofiler-vulnerability-analyzer/feed/ 0
Unser Udemy-Kurs – Vorstellung und Rabatt-Aktion https://rz10.de/blog/udemy-kurs/ https://rz10.de/blog/udemy-kurs/#comments Fri, 30 Jun 2017 16:56:36 +0000 https://rz10.de/?p=11713 In meinem letzten Blogbeitrag habe ich Ihnen das Optimierungspotential durch das Thema E-Learning (z.B. mittels Udemy-Kurs) vorgestellt. Zusätzlich dazu möchte ich hiermit die Gelegenheit nutzen, Ihnen kurz unseren eigenen E-Learning-Kurs im Bereich der SAP Berechtigungen vorzustellen. Wir haben diesen Kurs erstellt, um eine Grundlage unseres Wissens zur Verfügung zu stellen. Im Folgenden werde ich Ihnen […]

The post Unser Udemy-Kurs – Vorstellung und Rabatt-Aktion appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
In meinem letzten Blogbeitrag habe ich Ihnen das Optimierungspotential durch das Thema E-Learning (z.B. mittels Udemy-Kurs) vorgestellt. Zusätzlich dazu möchte ich hiermit die Gelegenheit nutzen, Ihnen kurz unseren eigenen E-Learning-Kurs im Bereich der SAP Berechtigungen vorzustellen. Wir haben diesen Kurs erstellt, um eine Grundlage unseres Wissens zur Verfügung zu stellen. Im Folgenden werde ich Ihnen kurz erläutern, was für Themen enthalten sind und was Sie nach dem Durcharbeiten des Kurses können.

Was bieten wir Ihnen mit dem Udemy-Kurs?

Generell soll der Udemy-Kurs dafür dienen, die Grundlagen zu vermitteln, welche für die Arbeit im SAP Berechtigungsumfeld benötigt werden. Damit wendet sich der Kurs an alle, die gerade neu in das Thema einsteigen wollen, aber auch an erfahrene Berechtigungsadministratoren, welche ihr Grundwissen auffrischen wollen oder eine Möglichkeit suchen, regelmäßig einzelne Punkte des Themas nachzuschauen.

Die Themen gliedern sich in folgende Schwerpunkte:

  • Umgang mit aktuellen Techniken im SAP Berechtigungsumfeld
  • Analyse und Traces von SAP Berechtigungen
  • Sichere Verwendung der Benutzer- sowie Rollenpflege

Was können Sie nach dem Udemy-Kurs?

Nachdem Sie diesen Kurs durchgearbeitet haben, haben sie ein Grundverständnis im Bereich der SAP Berechtigungen und können einen Großteil der täglich aufkommenden Aufgaben eines Berechtigungsadministrators in einem Unternehmen übernehmen.

Zusätzlich lernen Sie die organisatorische Einordnung in SAP Berechtigungen und warum diese so wichtig für ein Unternehmen sind. Mit anschaulichen Beispielen erklärt der Dozent Tobias Harmes, wie die Herangehensweise eines Unternehmens an das Thema strukturiert werden kann und bietet damit auch Stoff zum Nachdenken für Mitarbeiter, welche sich auch über das Daily Doing hinaus Gedanken machen.

Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Rabatt-Aktion

Falls Sie Interesse an unserem E-Learning-Kurs auf der Plattform Udemy haben, habe ich gute Nachrichten für Sie: Für unsere Leser haben wir eine Rabatt-Aktion gestartet, welche Ihnen den Kurs für 10% Rabatt zur Verfügung stellt. Dazu klicken Sie am besten einfach auf den folgenden Link:

Hier geht es zur Rabatt-Aktion.

Haben Sie bereits Erfahrungen mit unserem Udemy-Kurs oder anderen E-Learning-Angeboten im Bereich der SAP-Berechtigungen gemacht? Ich freue mich sehr über Ihr Feedback oder Ihre Anregungen.

The post Unser Udemy-Kurs – Vorstellung und Rabatt-Aktion appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/udemy-kurs/feed/ 1