SAP Transportstatus zurücknehmen – die Nebenwirkungen
Autor: Tobias Harmes | 26. Februar 2020
Schnell einen freigegebenen Transportauftrag mit einem Report zurücksetzen ist verlockend. Unsere Leserin Heide Hustede hat sich zu Recht bei uns wegen der Sicherheitsrisiken beim Zurücknehmen eines Transportauftrags gemeldet. Denn als Nebenwirkungen könnten unbemerkt größere Schiefstände entstehen.
SAP Basis Admins kennen das Problem: Ein Transportauftrag wurde freigeben, aber man muss doch noch schnell etwas ändern. Oder kurz vor einem Upgrade kommen Sperrnachrichten von Transporten, die nur halb freigegeben sind. Durch den Report RDDIT076 kann man den Transportstatus zurücksetzen. Wie das funktioniert, haben wir in einem Artikel erklärt.
Update: auch wegen mangelhafter Berechtigungsprüfung wird mit dem Sicherheitshinweis 3097887 aus dem Oktober 2021 dieser Report funktionslos gemacht und gemäß Hinweis auch in zukünftigen Versionen von SAP nicht mehr enthalten sein.
Zurückgenommen und dennoch transportiert
Der Tipp birgt jedoch einige Sicherheitsrisiken. Es kann nach der Anwendung des Tipps zu Inkonsistenzen in den Folgesystemen führen. Gerade wenn auch Entwickler das Verfahren mit ihren Berechtigungen nutzen können.
Verwendet das Unternehmen nämlich einen automatischen, trigger-gesteuerten oder periodischen Import ins Folgesystem, können Transportaufträge fälschlicherweise als importiert markiert sein:
- Ein Transportauftrag wird freigegeben und per Trigger oder periodisch läuft der Import in das Testsystem
- Der Transportauftrag wird jetzt auf dem Entwicklungssystem nachträglich geöffnet. Dort wird die gewünschte Änderung durchgeführt.
- Da dieser Transport aber bereits ins Folgesystem importiert wurde, wird er nicht mehr als neuer bzw. geänderter Transport erkannt, da für dieses System der Transport bereits importiert ist und die nachträgliche Änderung wird somit nicht in das Folgesystem übertragen.
Die nachträgliche Änderung kommt also nicht im Folgesystem an, sondern ist nur auf dem Entwicklungssystem vorhanden. Das ist besonders unsicher, wenn es nur eine Zwei-System-Landschaft gibt. Sehr kritisch ist dabei auch, dass alle Änderungen in diesem nachträglich geöffneten Transport nicht mehr vom SAP-System mitprotokolliert werden. Die Änderungshistorie dieses Transportes wird somit komplett ausgehebelt.
Mit Vorsicht zu genießen
Aus Sicherheitsgründen ist das Verfahren zum Zurücksetzen des Transportstatus mit Vorsicht zu genießen. Wenn man nicht äußerst sorgfältig damit umgeht, können Schiefstände entstehen – auch solche, die man vorher nicht auf dem Schirm hat. Somit empfiehlt sich auch, den Report in die Audit-Log Überwachung aufzunehmen. Oder man folgt dem Rat eines anderen Lesers: den Report gleich sperren.