Mandantenunabhängige Transaktionen

Autor: Alexander Depold | 9. Februar 2017

16

Das Mandantenkonzept von SAP ermöglicht es, ein SAP-System in mehrere logische Subsysteme - Mandanten - zu unterteilen. Diese Subsysteme können wie eigene Systeme betriebswirtschaftlich voneinander unabhängig und isoliert genutzt werden. Aber wie sind mandantenunabhängige Transaktionen zu behandeln? Wie können Sie verhindern, dass ein Mandant auf den anderen zugreifen kann und warum sollten Sie das verhindern wollen? In diesem Blog-Beitrag werde ich Ihnen diese Fragen beantworten und dabei einige Negativ-Beispiele diskutieren.

Warum ist es wichtig mandantenunabhängige Transaktionen gesondert zu betrachten?

Stellen Sie sich vor, dass jeder Ihrer Mitarbeiter einen Mandanten im Produktivsystem anlegen oder ändern darf, oder noch schlimmer – beides. Das Anlegen und Ändern eines Mandanten im Produktivsystem erfolgt autorisiert und dokumentiert – Sie fragen sich, was dabei schon schiefgehen könnte? Das Risiko in diesem Fall ist ein Verlust der Integrität von System und Daten, der Verlust der Vertraulichkeit: Mit jedem neu angelegten Mandanten lebt der Superuser SAP* mit seinen umfassenden, auch mandantenübergreifenden Rechten und dem vergebenen Standardpasswort auf. Mandantenübergreifende Tabellen können geändert werden. Das Kontrollsystem eines anderen, produktiven Mandanten kann damit ausgehebelt und unterlaufen werden. Ganz schön viel Macht!

Wussten Sie zudem, dass das SAP-System eine Funktion bereitstellt, die Tabellenänderungsprotokolle (Tabelle DBTA BLOG) löscht und diese mandantenübergreifend wirksam ist? Wenn die Tabellenänderungsprotokolle nicht zusätzlich über das Archivierungsobjekt BC_DBLOGS archiviert worden sind, ist eine Nachvollziehbarkeit nicht mehr gegeben. Genau so lässt sich jede kriminelle Tat innerhalb Ihres Unternehmens wunderbar vertuschen. Ähnliches ermöglicht der Vollzugriff auf die Batch-Verwaltung mit der Berechtigung alle Hintergrundjobs in allen Mandanten zu verwalten. So können alte Hintergrundjobs gelöscht werden, die unbefugt gelaufen sind.

Einige Punkte gibt es auch bei der Verwaltung von Druckaufträgen zu bedenken. In der Regel sind die folgenden beiden SAP Zugriffsberechtigungen zum Schutz von Druckaufträgen zu aktivieren:

  • S_SPO_DEV (Spooler-Geräteberechtigungen)
  • S_SPO_ACT (Spooler-Aktionen).

Warum? Vertrauliche Informationen in Druckaufträgen sind nicht gegen unbefugte Kenntnisnahme geschützt. (Streng) vertrauliche Druckaufträge können unbefugt gelesen oder auf fremde Drucker umgeleitet und ausgedruckt werden. Druckaufträge sind ungeschützt, sofern keine zusätzlichen SAP-Zugriffsberechtigungen für den Schutz der Druckausgaben aktiviert sind. Die Druckaufträge sind mandantenübergreifend, das heißt, die Berechtigungsvergabe sollte an der Stelle ebenfalls gut durchgedacht werden.

Ihr Plan für bessere SAP Berechtigungen

In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.

Noch ein wichtiges Beispiel ist die Leseberechtigung für TemSe-Objekte. Die temporären Dateien werden oft vergessen, denn häufig wird nicht bedacht, dass zwischengespeicherte (streng) vertrauliche Daten, die nur für einen Benutzer bestimmt sind (Eigentümer), unbefugt von einem anderen Benutzer eingesehen werden können – und das mandantenübergreifend.

Die erwähnten Beispiele zeigen uns, wie wichtig es ist die Berechtigungen für mandantenunabhängige Transaktionen mit Bedacht zu vergeben.

Download Transaktionstabellen

Die Transaktionen, welche die Beispiele von oben ermöglichen, inkl. bestimmter Ausprägungen der zugehörigen Berechtigungsobjekte und unsere Empfehlungen dazu finden Sie in der Datei „Kritische mandantenübergreifende Berechtigungen“ zum Download.

Weitere mandantenunabhängige Transaktionen befinden sich in der Datei „Cross Clients TCODES“. Die Kritikalität dieser Transaktionen sollte je nach Kontext bewertet werden. Ich empfehle, stets vorsichtig damit umzugehen und diese Transaktionen im Hinterkopf zu behalten.

Mandantenunabhängige Transaktionen

Tabelle: Mandantenunabhängige Transaktionen

Wie Sie mandantenunabhängige Transaktionen durchführen, erfahren Sie hier.

Ich hoffe, ich konnte Sie für den verantwortungsvollen Umgang mit Berechtigungen für mandantenunabhängige Transaktionen sensibilisieren und freue mich auf ihre Fragen und Kommentare.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Alexander Depold

Autor

Alexander Depold

B. Sc. Applied Computing

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice