SAP absichern – Jenseits von Berechtigungen
Autor: Jonas Krüger | 29. November 2018
Bei der Absicherung von SAP Systemen beschäftigen wir uns oft hauptsächlich mit Berechtigungen. In diesem Artikel möchte ich anhand einiger Beispiele aufzeigen, welche Ansatzpunkte es jenseits von Berechtigungen gibt, um die Sicherheit eines SAP Systems zu steigern.
In diesem Zusammenhang möchte ich zwei Aspekte beleuchten, die nach meiner Erfahrung häufig vernachlässigt werden:
- Sichere Prozesse in der Benutzer- und Berechtigungsverwaltung
- Sicherheitskritische Systemparameter
Sicherheitskritische Prozesse in der Benutzer- und Berechtigungsverwaltung
Wie sehen in Ihrem Unternehmen die Prozesse für die Neuanlage von Benutzern, für die Vergabe von Rollen oder das Zurücksetzen von Kennwörtern und die Benutzerentsperrung aus? Wie gehen Sie mit Benutzern um, die sich länger nicht am System angemeldet haben?
Wenn Sie auf diese Fragen mit einem Verweis auf Ihr SAP Sicherheitskonzept antworten können, haben Sie vieles richtig gemacht. In den meisten Fällen erlebe ich aber, dass diese Prozesse zwar existieren und mehr oder weniger streng gelebt werden, aber nirgends niedergeschrieben wurden. Dies lässt keinen Review dieser Prozesse zur Erkennung potenzieller Sicherheitslücken zu. Wie kann beispielsweise die wahre Identität eines Anfragestellers zuverlässig verifiziert werden?
Wenn Unternehmen wachsen kennt nicht mehr jeder jeden, schon gar nicht an der Stimme am Telefon. Rufnummern und E-Mail-Absender können von Hackern schnell gefälscht werden. Dies stellt IT-Mitarbeiter vor eine Herausforderung und eröffnet Angriffspunkte. Auf die Herausforderungen im Zusammenhang mit der Benutzerentsperrung und dem Passwort-Reset bin ich in einem früheren Beitrag schon eingegangen und habe technische Lösungen aufgezeigt.
Hinterfragen Sie die kritischen Prozesse in Ihrer Systemlandschaft? Wie haben Sie diese Herausforderung gelöst? Teilen Sie Ihre Erkenntnisse gern in den Kommentaren.
Sicherheitsrelevante Systemparameter
Die Auswirkungen solcher Einstellungen kennen die meisten SAP User: beispielsweise Vorgaben zur regelmäßigen Kennwortänderung. Über die Vor- und Nachteile hiervon kann gestritten werden, jedoch ist diese Einstellung ohne Frage sicherheitsrelevant.
SAP Access Control SPM - Installation und Migration - RZ10.de Partner
Sie möchten gerne Umsteigen auf SAP GRC 12 Access Control Firefighter? Profitieren Sie von unsere langjährigen Projekterfahrung und Expertise.
Darüber hinaus gibt es jedoch noch eine Vielzahl weiterer Einstellungsmöglichkeiten im SAP System, die die Sicherheit betreffen. So können bestimmte Zeichenkombinationen im Passwort verboten werden, indem sie in der Tabelle USR40 erfasst werden. Hier ist meine Empfehlung, leicht zu erratende Zeichenfolgen wie *passwor*, *h*llo*, *123* oder den Namen der Firma oder des bekanntesten Produktes zu erfassen.
Auch die Einstellung zu maximalen Loginversuchen bevor der Benutzer wegen Fascheingabe des Passwortes gesperrt wird (login/fails_to_user_lock), oder die automatische Entsperrung dieser Nutzer um Mitternacht (login/failed_user_auto_unlock) sind sicherheitskritische Parameter.
Wie gehen Sie das Thema an? Setzen Sie auf Security jenseits von Berechtigungen und konnten Sie hierdurch bereits einen Schaden verhindern? Ich freue mich über Ihre Kommentare und Fragen rund um das Thema SAP absichern.