Jonas Krueger
 - 29. November 2018

SAP absichern – Jenseits von Berechtigungen

SAP absichern - Jenseits von Berechtigungen

Bei der Absicherung von SAP Systemen beschäftigen wir uns oft hauptsächlich mit Berechtigungen. In diesem Artikel möchte ich anhand einiger Beispiele aufzeigen, welche Ansatzpunkte es jenseits von Berechtigungen gibt, um die Sicherheit eines SAP Systems zu steigern.

In diesem Zusammenhang möchte ich zwei Aspekte beleuchten, die nach meiner Erfahrung häufig vernachlässigt werden:

  • Sichere Prozesse in der Benutzer- und Berechtigungsverwaltung
  • Sicherheitskritische Systemparameter

Sicherheitskritische Prozesse in der Benutzer- und Berechtigungsverwaltung

Wie sehen in Ihrem Unternehmen die Prozesse für die Neuanlage von Benutzern, für die Vergabe von Rollen oder das Zurücksetzen von Kennwörtern und die Benutzerentsperrung aus? Wie gehen Sie mit Benutzern um, die sich länger nicht am System angemeldet haben?

Wenn Sie auf diese Fragen mit einem Verweis auf Ihr SAP Sicherheitskonzept antworten können, haben Sie vieles richtig gemacht. In den meisten Fällen erlebe ich aber, dass diese Prozesse zwar existieren und mehr oder weniger streng gelebt werden, aber nirgends niedergeschrieben wurden. Dies lässt keinen Review dieser Prozesse zur Erkennung potenzieller Sicherheitslücken zu. Wie kann beispielsweise die wahre Identität eines Anfragestellers zuverlässig verifiziert werden?

Wenn Unternehmen wachsen kennt nicht mehr jeder jeden, schon gar nicht an der Stimme am Telefon. Rufnummern und E-Mail-Absender können von Hackern schnell gefälscht werden. Dies stellt IT-Mitarbeiter vor eine Herausforderung und eröffnet Angriffspunkte. Auf die Herausforderungen im Zusammenhang mit der Benutzerentsperrung und dem Passwort-Reset bin ich in einem früheren Beitrag schon eingegangen und habe technische Lösungen aufgezeigt.

Hinterfragen Sie die kritischen Prozesse in Ihrer Systemlandschaft? Wie haben Sie diese Herausforderung gelöst? Teilen Sie Ihre Erkenntnisse gern in den Kommentaren.

Sicherheitsrelevante Systemparameter

Die Auswirkungen solcher Einstellungen kennen die meisten SAP User: beispielsweise Vorgaben zur regelmäßigen Kennwortänderung. Über die Vor- und Nachteile hiervon kann gestritten werden, jedoch ist diese Einstellung ohne Frage sicherheitsrelevant.

Tobias Harmes
Möchten Sie Ihr SAP absichern und suchen Sie nach Möglichkeiten über Berechtigungen hinaus?
Fachbereichsleiter Tobias Harmes

Gerne können wir Ihnen im Rahmen eines unverbindlichen Gespräches oder einer SAP Sicherheitsüberprüfung Ansatzpunkte aufzeigen und konkrete Empfehlungen geben.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

Darüber hinaus gibt es jedoch noch eine Vielzahl weiterer Einstellungsmöglichkeiten im SAP System, die die Sicherheit betreffen. So können bestimmte Zeichenkombinationen im Passwort verboten werden, indem sie in der Tabelle USR40 erfasst werden. Hier ist meine Empfehlung, leicht zu erratende Zeichenfolgen wie *passwor*, *h*llo*, *123* oder den Namen der Firma oder des bekanntesten Produktes zu erfassen.

Auch die Einstellung zu maximalen Loginversuchen bevor der Benutzer wegen Fascheingabe des Passwortes gesperrt wird (login/fails_to_user_lock), oder die automatische Entsperrung dieser Nutzer um Mitternacht (login/failed_user_auto_unlock) sind sicherheitskritische Parameter.

Wie gehen Sie das Thema an? Setzen Sie auf Security jenseits von Berechtigungen und konnten Sie hierdurch bereits einen Schaden verhindern? Ich freue mich über Ihre Kommentare und Fragen rund um das Thema SAP absichern.

 

Jonas Krueger

Mein Name ist Jonas Krueger und ich bin SAP Security Consultant bei mindsquare. Mein Spezialgebiet ist sicheres Benutzer- und Berechtigungsmanagement im SAP sowie die Prüfung und Absicherung von SAP Systemen.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




Das könnte Sie auch interessieren


Mehr von unseren Partnern


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support