Entwicklerschlüssel fällt weg in SAP S/4HANA – ein Sicherheitsrisiko?
Autor: Tobias Harmes | 23. August 2022
Der Entwicklerschlüssel in SAP fällt in S/4HANA On-Premise und in BW/4HANA weg. Was heißt das für die Anwender und den Schutz des Systems?
Was ist der SAP Entwicklerschlüssel?
Um Objekte im SAP-System anlegen zu können, muss in SAP Versionen vor S/4HANA eine Registrierung als Entwickler vorliegen. Dazu wird der sogenannte Entwicklerschlüssel (Developer Key) benötigt.
Der zuständige Systemadmin kann dafür bei SAP einen individuellen Entwicklerschlüssel beantragen, der dann im Support-Portal abgerufen werden kann. Wenn ein User dann erstmalig Entwicklungs-Objekte im SAP-System anlegen will, wird diese Registriernummer abgefragt. Gespeichert wurde diese Information dann in der Tabelle DEVACCESS.
Damit war der SAP Entwicklerschlüssel manchmal auch aus Sicherheitsgründen relevant. Die Argumentation war: Wer keinen Entwicklerschlüssel auf dem Produktivsystem hat, der kann auch nichts ändern. Das war allerdings auch schon immer entgegen der Empfehlung vom Hersteller selbst, der auf die dafür gedachten Funktionen “Nicht-Änderbarkeit des Mandanten” und entsprechen Berechtigungsobjekte verwiesen hat.
Kein Entwicklerschlüssel in S/4HANA
Das sogenannte SSCR-Lizenzschlüsselverfahren ist in SAP S/4HANA (seit Release 1511) und SAP BW/4HANA nicht mehr implementiert.
Das ist nur konsequent, denn SAP sieht den Entwicklerschlüssel eben nicht als Schutzfunktion, um sicher zu stellen, dass nicht jeder im System entwickeln kann, sondern lediglich als „Lizenzierungsfunktion für einige ältere Produkte, aber nicht für SAP S/4HANA“.
Ohne Entwicklerschlüssel = Sicherheitsrisiko? Nein.
Der Schutz, dass nicht jeder im System entwickeln kann, erfolgt deshalb ab S/4HANA nur noch über folgende drei Ebenen:
Generelle Änderbarkeit des SAP-Systems (Transaktion SE06)
Sie definieren die Änderbarkeit des SAP-Systems mithilfe der Transaktion SE06. Sie finden diese Einstellung über die Drucktaste für die “Systemänderbarkeit” in der Drucktastenleiste der Transaktion SE06.
Änderbarkeit des Mandanten (Transaktion SCC4)
Mithilfe der Transaktion SCC4 (Mandanten: Übersicht) definieren Sie ein mandantenabhängiges Verhalten für die Entwicklung.
Entwicklerberechtigungen (Berechtigungsobjekte S_TRANSPRT und S_DEVELOP)
Mit den Berechtigungsobjekte S_TRANSPRT und S_DEVELOP können die Entwicklerberechtigungen feinjustiert werden. Diese sollte mit Bedacht zugewiesen werden, und die Berechtigungsfelder DEVCLASS, OBJTYPE, OBJNAME, P_GROUP und ACTVT je nach Entwickler- und Projektorganisation ausgesteuert werden. So wird gesteuert, wer zukünftig wo entwickeln darf.
Fazit
Der Wegfall des Entwicklerschlüssels ist kein Sicherheitsrisiko, sondern ein längst fälliger Schritt. Er vermeidet auch eine typische Sicherheitsfeststellung für frisch eingeführte SAP-Linien, weil dann doch noch Entwicklerschlüssel sich auf die Produktion geschlichen haben. Wichtig ist, die Nicht-Änderbarkeit des Produktivmandanten zu schützen und Entwicklerberechtigungen in der gesamten Systemlinie einzuschränken bzw. nur an protokollierte Ausnahmebenutzer zu vergeben.
Weitere Infos zu dem Thema finden Sie auch in der zugehörigen SAP Note:
2309060 – SSCR-Lizenzschlüsselverfahren in SAP S/4HANA nicht unterstützt
Wenn Sie Unterstützung suchen für Entwicklerberechtigungen (sei es Entwicklungsrichtlinien oder Berechtigungskonzepte), melden Sie sich gerne bei uns.
2 Kommentare zu "Entwicklerschlüssel fällt weg in SAP S/4HANA – ein Sicherheitsrisiko?"
Der Entwicklerschlüssel ist halt das gewesen, was NAT für IPv4 war: Nie dazu gedacht, das zu tun, wofür es von vielen verwendet wurde (Anm. NAT als Firewall Ersatz).
Ja, der Vergleich ist wirklich treffend 🙂