Sicherheitsrisiko Report-Nutzung?

Autor: Simon Soltow | 9. August 2024

1

Die Nutzung von Reports bietet viele Vorteile, doch sie birgt auch erhebliche Sicherheitsrisiken. In diesem Beitrag beleuchten wir diese Risiken, zeigen sichere Vorgehensweisen zur Berechtigung von Reports und geben Empfehlungen, wie Unternehmen mit Reports umgehen sollten.

Sicherheitsrisiken bei Reports 

Reports können zum Aufruf vertraulicher Daten genutzt werden und können bei unsachgemäßer Handhabung ein Sicherheitsrisiko darstellen. Unbefugte Zugriffe, Datenlecks und Manipulationen gehören zu den häufigsten Gefahren. Besonders kritisch wird es, wenn sensible Informationen wie Kunden- oder Finanzdaten betroffen sind. Solche Sicherheitslücken können nicht nur finanzielle Schäden verursachen, sondern auch das Vertrauen der Kunden nachhaltig beeinträchtigen. Auch existieren hochkritische Reports, welche es beispielsweise erlauben, über die SAP GUI auf Betriebssystemkommandos zuzugreifen. 

Ungepflegte Berechtigungsgruppen: Im SAP Standard existiert eine Vielzahl an Reports ohne gepflegte Berechtigungsgruppe. Diese lassen sich dann über die SE38/SA38 ohne weitere Berechtigungsprüfungen ausführen. Dies führt zu unklaren Berechtigungen und potenziellen Datenlecks. Wenn man Berechtigungsgruppen nicht regelmäßig überprüft und aktualisiert, haben Mitarbeiter Zugriffe auf Reports, die sie für ihre Arbeit nicht benötigen. Dies erhöht das Risiko, dass sensible Informationen in falsche Hände geraten. 

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Jetzt anfordern

Allgemeine Berechtigungen für Transaktionen wie SE38 und SA38 ermöglichen unkontrollierten Report-Zugriff auf Reports ohne gepflegte Berechtigungsgruppe. Mit diesen allgemeinen Berechtigungen können Benutzer potenziell auf eine Vielzahl von Reports zugreifen, unabhängig davon, ob sie explizit für diese Reports berechtigt wurden. Dies stellt ein erhebliches Sicherheitsrisiko dar, da es keine Kontrolle darüber gibt, wer welche Daten einsieht oder welche kritischen Aktionen durchführt. 

Vereinzelte Reports stellen bei Benutzung ein massives Sicherheitsrisiko für die SAP-Systemlandschaft dar. Einige Reports enthalten besonders sensible oder kritische Daten. Nutzt jemand diese ohne entsprechende Sicherheitsmaßnahmen, führt dies potentiell zu Sicherheitslücken.

Fehlende SU24-Pflege: Für Reports lassen sich keine Berechtigungsvorschlagswerte in der SU24 hinterlegen. Dies führt zu unübersichtlichen und unsicheren Berechtigungsstrukturen. SU24-Vorschlagswerte sind entscheidend für die Definition und Pflege von Berechtigungen in SAP-Systemen. Überprüft und – pflegt man diese nicht regelmäßig, entstehen unklare und unsichere Berechtigungsstrukturen, die das Risiko von Sicherheitsvorfällen erhöhen. 

Vorgehensweisen zur sicheren Berechtigung von Reports 

Die empfohlene Vorgehensweise besteht darin, den Zugang zu Reports strikt zu kontrollieren und regelmäßige Sicherheitsüberprüfungen durchzuführen. Ein mehrstufiges Sicherheitskonzept umzusetzen hilft dabei, den Zugriff auf die notwendigen Personen zu beschränken und Sicherheitslücken frühzeitig zu schließen. Das Minimalprinzip sollte angewendet werden, um Überberechtigungen zu vermeiden und die Sicherheit zu erhöhen. 

  1. Zugriffssteuerung: Nur autorisierte Personen sollten Zugang zu Reports erhalten. Eine detaillierte Rollen- und Rechteverteilung ist essenziell. Der strikte Entzug allgemeiner Report-Berechtigungen für Dialoguser ist notwendig.
  2. Berechtigungsgruppenpflege: Pflege von Berechtigungsgruppen für alle Reports verhindert, dass Reports allgemein zugänglich werden.
  3. Hinzuschalten weiterer Berechtigungsprüfungen: Es ist auch möglich, zusätzlich zum Berechtigungsobjekt S_PROGRAM (Prüfung auf Berechtigungsgruppen) auch das Berechtigungsobjekt S_PROGNAM (Prüfung auf den Namen des Reports) hinzuzuschalten, um die Sicherheit der Reportausführung zu verbessern.
  4. Entzug allgemeiner Berechtigungen: Allgemeine Berechtigungen für Transaktionen wie SE38 und SA38 sollten entzogen werden, um unkontrollierten Zugriff zu verhindern. 
  5. Kapselung von Z-Reports: Z-Reports sollten in spezifischen Transaktionen gekapselt werden, um ihre Nutzung zu kontrollieren und zu sichern. Für Transaktionen ist es auch möglich, Berechtigungsvorschlagswerte in der SU24 zu hinterlegen, um die Sicherheit weiter zu erhöhen. 
  6. Überwachung der Report-Nutzung: Tools wie ST03N oder das SAP Security Audit Log sollten eingesetzt werden, um die Nutzung von Reports zu überwachen und unautorisierte Zugriffe frühzeitig zu erkennen. 

Begründung der empfohlenen Vorgehensweise 

Die vorgestellte Vorgehensweise minimiert das Risiko von Datenlecks und unbefugten Zugriffen. Eine klare Zugriffssteuerung stellt sicher, dass nur befugte Personen auf sensible Daten zugreifen können. Protokollierung und regelmäßige Überprüfungen helfen, Sicherheitslücken zu identifizieren und zu beheben.

Webinar: Bessere SAP Berechtigungen ohne Ärger

SAP Berechtigungen helfen dabei, den Zugriff auf sensible Unternehmensdaten zu kontrollieren und tragen damit erheblich zur Compliance bei. Ein richtiges Konzept ist dabei ein Muss, denn ein gut durchdachtes Berechtigungskonzept ermöglicht es, Benutzerrollen und -berechtigungen effizient zu verwalten. Die Sicherheit, das Risikomanagement und die Transparenz wird dabei erhöht und gewährleistet die Integrität des Systems.
Jetzt anmelden

Die Pflege von Berechtigungsgruppen sorgt zudem für klare und nachvollziehbare Berechtigungsstrukturen. Diese Maßnahmen vereinfachen die Handhabung für Endnutzer und erhöhen die Akzeptanz. Zudem unterstützen sie die Einhaltung von Sicherheits- und Compliance-Anforderungen. 

Durch den Entzug allgemeiner Berechtigungen und die Kapselung von Z-Reports in spezifischen Transaktionen wird außerdem der unkontrollierte Zugriff verhindert, was die Sicherheit erhöht. Die Überwachung der Report-Nutzung ermöglicht es, unautorisierte Zugriffe zu erkennen und zu verhindern. 

Ein striktes Sicherheitskonzept bietet also den besten Schutz vor den vielfältigen Risiken, die mit der Nutzung von Reports einhergehen. Unternehmen sollten diese Empfehlungen ernst nehmen, um die Integrität und Sicherheit ihrer Daten zu gewährleisten. 


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Simon Soltow

Autor

Simon Soltow

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Berechtigungen

HowTo: Abgelaufene Berechtigungsrollen aufräumen

Doppelte und abgelaufene Berechtigungsrollen aufräumen kann sehr mühselig werden. Mit dem folgenden Report können Sie diese Tätigkeit zukünftig
7 #PFCG
Artikel lesen
SAP Berechtigungen

Pflege von SAP Berechtigungs-Vorschlagswerten mit der SU24

Mit Hilfe der SAP Transaktion SU24 lassen sich bequem Vorschlagswerte für Berechtigungsobjekte zu eigenen Transaktionen pflegen.
8 #PFCG, #SU24
Artikel lesen
SAP Berechtigungen

Wann bietet sich welches Tool zur Auswertung der ST03N an?

Zur Auswertung der genutzten Transaktionen führt kein Weg an der Transaktion ST03N vorbei. Wann sich welches Tool empfiehlt, erklären wir in diesem Beitrag.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage