Bad Practices: Das SAP System gegen die Wand fahren – mit Jonas Krüger

Beitrag

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

Feedback? harmes@rz10.de

#badpractice1 – Fehlende Protokollierung

Jonas erster Bad Practice ist die fehlende Protokollierung, die in einigen Systemen immer wieder vorkommt. Dann ist beispielsweise der Security Audit Log nicht aktiviert. Falls es im System zu Ungereimtheiten und Problemen kommt, kann man nicht nachvollziehen, seit wann eine Störung besteht oder wie hoch das Ausmaß eines Sicherheitsvorfalles ist. Wenn Protokollierung nicht genutzt wird – und SAP bietet ja eigentlich genug Möglichkeiten zur Protokollierung an, ist es sehr schwierig Probleme nachzuvollziehen.

Nun können einige Betriebsräte die Ansicht vertreten: „Protokoll? Nein, danke, damit werden ja die Mitarbeiter überwacht!“. Dafür ist das Protokoll zwar nicht gedacht, aber trotzdem machen Regeln im Unternehmen Sinn: Wer kann das Protokoll auslesen und zu welchem Zweck? Das sollte klar definiert und abgegrenzt sein. Trotzdem: Es kann eben auch nicht im Sinne des Betriebsrates sein, dass Daten ungehindert aus dem System fließen können. Die Ausrede, dass Protokolle unnötig Performance oder Speicherplatz nutzen, zieht leider auch nicht. Die Auslastung ist bei dem Security Audit Log sehr gering.

#badpractice2 – Kein Backup? Kein Mitleid!

Immer noch häufig anzutreffen ist folgendes Problem: Es gibt zwar Backups für das Betriebssystem und die Datenbank, aber die wurden nicht getestet. Das fällt aus Zeit- oder Komplexitätsgründen oft hinten rüber. Es wird jedoch nicht mal die Gelegenheit genutzt, zu testen, wenn Systemkopien gemacht werden, um ein Refresh vom Q-System zu machen. Wenn dann mal ein Backup benötigt wird, herrscht großes Chaos und Uneinigkeit darüber, welche Schritte folgen, um das Backup herzustellen. Unternehmen verlassen sich dabei oft auf die Sicherheitsfunktionalitäten der Virtualisierer. VMware ermöglicht es, zwei Knoten zu fahren, die sich parallel up to date halten. Das ist aber noch lange kein Schutz gegen Cryptotrojaner. Die SAP-Systeme an sich können sicher konfiguriert sein, aber das Betriebssystem wird plattgemacht. Auch 2019 waren wieder einige Unternehmen Opfer solcher Angriffe.

#badpractice3 – Userchaos im SAP

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Jetzt anfordern

E-Book SAP Security und Berechtigungen

×

Eine mangelhafte Benutzerpflege im SAP kann ebenfalls zu Problemen führen. Der User DDIC bleibt beispielsweise häufig liegen und wird nicht nach den Vorgaben verwaltet. Auch alte User, meist die Benutzer von Ex-Mitarbeitern, liegen noch lange im System. Es gibt zwar Kontrollprozesse, bei denen HR der IT mitteilt, dass ein bestimmter Mitarbeiter das Unternehmen verlassen hat. Diese Prozesse greifen aber nur in 80 Prozent der Fälle. Diese liegengebliebenen User sind besonders gefährlich. Nimmt die jemand hoch, bewegt sich ein SAP User im System, den jeder kennt, da möglicherweise nicht bekannt ist, dass der Mitarbeiter das Unternehmen verlassen hat. Diese fehlende Abgrenzung erhöht das Sicherheitsrisiko. Zusätzlich ist da noch der Kostenfaktor. Die Lizenzkosten für die noch bestehenden, aber alten User fallen trotzdem an.
Zusätzliche Probleme können durch eine nicht einheitliche Beantragungsstrategie entstehen. Dann werden zum Beispiel User doppelt angelegt und es entstehen Phantomuser.

#badpractice4 – Never change a running System

Eine sehr effiziente Methode, um das SAP-System gegen die Wand zu fahren, ist die Verweigerung von Sicherheitsupdates. Und das obwohl SAP bei den Patches eigentlich sehr auf Zack ist. Das hat man zuletzt auch bei DEM Security-Gau des Jahres 2019 gesehen: den 10KBLAZE Exploits. Das war eigentlich kein neues Problem und diese Lücke wurde bereits vor 10 Jahren gepatcht.

Obwohl Updates nervig sein können und es auch kurzfristig mal Probleme geben kann: Sicherheitslücken sind wesentlich nerviger, wenn dann mal wirklich was passiert.

#badpractice5 – Rollenchaos im SAP

Jonas berichtet, dass viele Unternehmen jeweils eigene Rollen pro Abteilung bauen. Ein zuständiger Mitarbeiter, der Zugriff auf die PFCG hatte und selbst Rollen mit eigenen Namenskonventionen hat. Dabei geht schnell der Überblick verloren, wenn jeder sein eigenes Ding macht. Gerade auch unter dem Aspekt, wenn der zuständige Mitarbeiter das Unternehmen wieder verlässt. Die Anzahl der Rollen wird dabei unübersichtlich, aber auch der Aufbau der Rollen ist unterschiedlich. Das Chaos wird dann dadurch noch erhöht, dass immer neue Rollen für jede benötigte Berechtigungen erstellt werden, ohne, dass die alten Rollen gelöscht werden. Dann gibt es irgendwann mehr Rollen als User.

#badpractice6 – Standard Profilparameter behalten

Das SAP-System funktioniert, also alles gut. Viele SAP-Anwender schauen sich die sicherheitsrelevanten und auch perfomancerelevanten Parameter nicht an. Das kann zu Problemen führen, wenn das SAP System beispielsweise auf eine neuere Hardware umzieht. Die Profilparameter wurden aber nicht entsprechend angepasst und es gibt Einschnitte bei der Performance. Dann wird nach dem Problemverursacher gesucht und oft fällt erst spät auf, dass es an den Parametern liegen könnten. Nicht zu vergessen ist da auch der Sicherheitsaspekt: User wie SAP* mit dem allbekannten Passwort „pass“ sind automatisch angelegt und werden nicht entfernt. Hat man so eine Lücke gefunden, gibt es fast keinen schnelleren Weg ins SAP-System.

Weitere Empfehlung

Wer wissen möchte, wie man mit dem SAP_All relativ schnell an Geld kommen kann, dem empfehlen wir unseren Artikel “Danke für’s Geschenk – mit SAP_ALL bezahlen”: https://rz10.de/sap-berechtigungen/danke-fuers-geschenk-mit-sap_all-bezahlen/