Bernhard Reiter
 - 26. Februar 2019

SAP-Passwortregeln: Profilparameter und Security Policies via SECPOL

Passwortregeln für das SAP werden seit jeher über Profilparameter gesetzt. Ab EHP 6 für das ECC sind die so genannten "Security Policies" verfügbar. Damit können Sicherheitsrichtlinien auch benutzerabhängig umgesetzt werden. Nachfolgend erfahren Sie, wie Sie diese Nutzen und was das für Sie bei der Prüfung der Security-Einstellungen einer SAP-Installation bedeutet.

Profilparameter und Security Policies

Gute Passwörter sind essentiell für einen adäquaten Zugriffsschutz auf Computersysteme. Deshalb können im SAP die Regeln für ein Passwort systemseitig eingestellt werden und sind für den Anwender verpflichtend. Traditionell geschieht das im SAP-Umfeld über die Pflege der Profilparameter zu den Passwortvorgaben und können über die SAP-Transaktion RZ10 eingestellt werden.  Die Profilparameter hinsichtlich der Passwortregeln haben einen entscheidenden Nachteil: sie gelten systemweit bzw. mandantenübergreifend und sind unabhängig von den Berechtigungen eines Benutzers. Somit lassen sich Benutzerkennungen mit weitreichenden Berechtigungen, wie sie beispielsweise in der Systemadministration oder bei Firefighter-Kennungen vergeben werden, nicht verpflichtend mit komplexeren Passwortvorgaben als der Standard belegen. Zum Beispiel, dass das Passwort anstelle von 90 bereits nach 30 Tagen geändert werden muss.  Aus diesem Grund hat SAP eine zusätzliche Möglichkeit geschaffen, einzelnen Benutzern strengere Passwortregeln vorzugeben – die Security Policies.

Sicherheitsrichtlinie in Transaktion SECPOL anlegen

Dazu wird über die Transaktion SECPOL (Alternativ: IMG > SAP NetWeaver > Application Server > Benutzer und Berechtigungen > Sicherheitsrichtlinien > Sicherheitsrichtlinien anlegen) zunächst eine Sicherheitsrichtlinie angelegt und die entsprechenden Passwortvorgaben als Attribute spezifiziert. Anschließend können die Security Policies über den jeweiligen Benutzerstammsatz Benutzern zugewiesen werden (Transaktion SU01 > Benutzer auswählen > Tab: Logondaten > Feld: Sich.-Richtlinie). Wichtig sind in diesem Zusammenhang zwei Dinge: erstens, die Sicherheitsrichtlinien sind additiv. Das heißt, die Passwort-Profilparamter gelten weiterhin für alle Benutzer. Die strengeren Attribute der Security Policy gelten im Gegensatz dazu nur für Benutzer, bei denen sie über die Security Policy im Stammsatz hinterlegt wurden und sind folglich auch ausschließlich für diese verbindlich. Und zweitens, sie unterscheiden sich marginal in der Bezeichnung gegenüber den entsprechenden Instanzparametern. Unter dem unten angegebenen Link zur SAP-Hilfe finden Sie eine Auflistung der Einstellmöglichkeiten zu den einzelnen Passwortvorgaben nebst einer Referenz auf die entsprechenden Profilparameter.

Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Passwort-Profilparameter für den jeweiligen Benutzer.

Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Passwort-Profilparameter für den jeweiligen Benutzer.

Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Profilparameter für den jeweiligen Benutzer.

Über die Transaktion SU01 können Sie die erstellten Sicherheitsrichtlinien Benutzern zuweisen. Diese übersteuern die allgemeinen Profilparameter für den jeweiligen Benutzer.

Auswirkungen auf die SAP-Security-Einstellungen

Welchen Konsequenzen hat das nun für die Prüfung der SAP-Security-Einstellungen? Der Check der Passwortregeln ausschließlich über die Profilparameter (Standard-Report RSPARAM) kann ab EHP 6 zu falsch-positiven Ergebnissen führen. Denn über den Benutzerstammsatz können die Sicherheitsrichtlinien auf Ebene der Benutzer die zu prüfenden Vorgaben gewährleisten, auch wenn die Instanzparameter ungenügend sind. Sofern Sie kein Audit-Tool im Einsatz haben, sollten Sie zunächst über den IMG prüfen, ob Sicherheitsrichtlinien angelegt wurden und welche Parameter bzw. Attribute jeweils vergeben wurden. Anschließend prüfen Sie über die Tabelle “USR02” in der Spalte “Security_Policy”, welchen Benutzern Sicherheitsrichtlinien zugewiesen wurde. Im letzten Schritt verifizieren Sie über die Transaktion SECPOL_CHANGES, wann zuletzt Änderungen an den Sicherheitsrichtlinien vorgenommen wurden. Auditoren prüfen so, ob die  Sicherheitsrichtlinien nicht erst kurz vor dem Audit scharf geschaltet wurden.

Über Doppelklick auf "Attribute" in der Sicherheitsrichtlinie werden Ihnen die verfügbaren Passwort-Vorgaben angezeigt und können an dieser Stelle angepasst werden.

Über Doppelklick auf “Attribute” in der Sicherheitsrichtlinie werden Ihnen die verfügbaren Passwort-Vorgaben angezeigt und können an dieser Stelle angepasst werden.

SAP-Hilfe: Security-Policy-Attribute inkl. Gegenüberstellung der Profilparameter:  https://help.sap.com/saphelp_nw73ehp1/helpdata/en/e9/c15fb4c06340558898fda99d98cb0d/content.html

SAP-Hilfe: Security Policy bzw. Sicherheitsrichtlinie einrichten:  https://help.sap.com/saphelp_nw73ehp1/helpdata/en/41/019a4dba8d4afcb9e6a12003e40a2a/frameset.html

 

Bernhard Reiter

Bernhard Reiter ist Geschäftsführer der ISPICIO GmbH, die sich auf Softwareprodukte zum Thema Compliance spezialisiert hat. Als Product Owner für das SAP®-Audit-Tool ISPICIO_S beschäftigt sich Herr Reiter intensiv mit Fragestellungen rund um die automatisierte Auswertung von SAP®-ERPs.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support