SAP Tabellenzugriffe sicher lösen
Autor: Yannick Rech | 1. Februar 2021
Zugriffe auf Tabellen gehören zu den Kerntätigkeiten vieler Mitarbeiter Ihres Unternehmens? Aus Sicherheitsaspekten ist der Zugriff auf die Transaktion SE16 (auch: SE16N) für die meisten Mitarbeiter sehr bedenklich. Warum das so ist und wie sie diese Thematik ohne größere Mehraufwände lösen können, möchten wir in diesem Beitrag erläutern.
Warum ist der großflächige Zugriff auf die Transaktion SE16 gefährlich?
Als IT-System, welches gänzlich auf Tabellen basiert, hat jeder Mitarbeiter im SAP-Umfeld Kontakt mit Tabellen. Der Zugriff auf Tabellen ist über die Transaktion SE16 jedoch mit einigen datenschutzrechtlichen Problemen verbunden. Die Entscheidung so einen Zugriff zu vergeben, sollte also gut überlegt sein.
Durch das Erteilen der Berechtigung, um die Transaktion zu nutzen (Berechtigungsobjekt: S_TCODE, Ausprägung: SE16N) und darüber bestimmte Tabellen anzusehen (Berechtigungsobjekte: S_TABU_NAM, S_TABU_DIS), ist es nicht mehr möglich, die Tabellen weiter einzuschränken. Das bedeutet konkret, dass der User mit Berechtigung die Tabellen zu öffnen, immer die vollständigen Tabellen öffnen und ansehen kann. Die Organisationsstruktur Ihres SAP-Systems, die Sie womöglich aus datenschutzrechtlichen Gründen verwenden, kann hier nicht mehr greifen.
Sie brauchen Hilfe bei der Umsetzung ihrer Tabellenzugriffe?
Unser Workshop Security-Check wird dieses und viele weitere Themen mit dem IST-Stand Ihres Systems abgleichen und Verbesserungspotenziale identifizieren.
Wie Sie das Problem lösen können?
Die Alternative zu dieser Art des Tabellenzugriffs ist das Verwenden von Querys und Parametertransaktionen:
- Querys sind im SAP Standard vorgesehen, um recht unkompliziert Zugriff auf Berichte zu erhalten. Diese beziehen ihre Inhalte aus Tabellen, wobei hier Einschränkungen wie das Anonymisieren gewisser Daten oder die Unterteilung nach Org.-Level möglich und konfigurierbar sind.
- Parametertransaktionen ermöglichen den Zugriff auf einzelne Tabellen, ohne die Berechtigung für die Transaktion SE16 selbst. Hier werden neue Transaktionen erstellt, die einen direkten Zugriff auf die Tabelle bieten und dabei Einschränkungen erlauben.
Unsere Empfehlung
Grundsätzlich empfehlen wir die Verwendung von alternativen Zugriffsmethoden auf Tabellen. Der Zugriff über die mächtigen Transaktion SE16 (auch: SE16N) sollte nur in Ausnahmefällen erlaubt sein.
Das konsistente Verwenden Ihrer Organisationsstruktur gehört zu den wichtigsten und relevantesten Aufgaben aus Sicht der SAP-Berechtigungsadministration und sollte nicht durch die großflächige Verwendung der Transaktion SE16 riskiert werden.
Mögliche Ausnahmen – bei denen die Verwendung der Transaktion nicht verhindert werden kann, könnten beispielsweise mit dem Konzept der Notfallbenutzer (“Firefighter”) gelöst werden.
