Gefahren im SAP-Transportmanagement: Teil 2
Lesen Sie unserenBlogbeitrag „Einführung in die Gefahren bei SAP-Transporten“, um mehr über diese Blogreihe und SAP-Transporte zu erfahren.
Im ersten Beitrag dieser Reihe ging es um die globale Deaktivierung von Berechtigungsprüfungen für einzelne Berechtigungsobjekte pro Transport. Ein ähnliches Risiko ergibt sich aus der Möglichkeit, Berechtigungsprüfungen transaktionsspezifisch zu deaktivieren. Bei dieser Methode ist es noch schwieriger, einen Angriff zu erkennen, da die Auswirkungen auf eine einzige Transaktion beschränkt sein können.
Ausgangspunkt dieses Angriffs ist die Transaktion SU24. Mit dieser Transaktion lassen sich Standardwerte für die Berechtigungsobjekte bestimmter Transaktionen festlegen. Wird eine solche Transaktion dann beim Anlegen oder Bearbeiten einer Rolle im Profilgenerator auf der Registerkarte „Menü“ hinzugefügt, werden diese Standardwerte bei der Bearbeitung der Berechtigungen automatisch übernommen. Dies erleichtert die Arbeit des Berechtigungsadministrators, da er sich nicht mit jeder Anwendung im Einzelnen befassen muss.
Die Transaktion SU24 bietet jedoch auch die Möglichkeit, Berechtigungsprüfungen für bestimmte Berechtigungsobjekte zu deaktivieren. Dazu muss der Wert des Profilparameters „auth/no_check_in_some_cases“ auf „Y“ gesetzt sein. Da auch die Verwendung des Profilgenerators diesen Wert erfordert, ist diese Bedingung fast immer erfüllt. Wie bei dem in Teil 1 beschriebenen ähnlichen Deaktivierungsszenario gilt dies nicht für SAP Basis oder SAP HR, doch die Kritikalität dieses Problems bleibt bestehen.
Alle über die Transaktion SU24 vorgenommenen Änderungen werden in Transportaufträgen dokumentiert. Der zugehörige Objekttyp ist R3TR SUSK. Leider lässt sich bei einer manuellen Überprüfung des Transportauftrags und seines Exportprotokolls nicht feststellen, ob mit diesem Objekt lediglich Standardwerte für den Profilgenerator gepflegt wurden oder ob bestimmte oder alle Berechtigungsprüfungen der Transaktion deaktiviert wurden.
Natürlich ist die Transaktion SU24 durch Berechtigungen geschützt, was bedeutet, dass nur Berechtigungsadministratoren Zugriff darauf haben sollten. Da jedoch auf Entwicklungssystemen Berechtigungen in großem Umfang erteilt werden, erweitert sich in der Regel der Kreis der Benutzer, die in der Lage sind, Berechtigungsobjekte zu deaktivieren. So ist es beispielsweise möglich, die für R3TR SUSK hinterlegte Tabelle USOBX_C programmgesteuert zu manipulieren und den entsprechenden Tabelleneintrag oder das entsprechende R3TR-SUSK-Objekt der jeweiligen Transaktion in einen Transportauftrag aufzunehmen. Wenn die Tabelle USOBX_C dann zusätzlich in einer Pflegesicht oder einem Sichtcluster „versteckt“ wird, erfordert es große Sorgfalt und Fachkenntnis, einen Angriff zu erkennen.
Aus der Prüfung des Antrags lässt sich Folgendes schließen:
- R3TR SUSK
- Möglicher Angriffsversuch
- Wird allerdings in der Regel zur Verwaltung von Standardwerten verwendet
- R3TR TABU USOBX_X
- Ein eindeutiger Angriffsversuch!
- Die Objektliste wurde manuell gepflegt.
Um einen Angriff noch besser zu verschleiern, können Einträge in der Tabelle USOBX_C in einem übergeordneten Objekt verborgen werden. Dazu gehören:
- View Cluster (R3TR CDAT <random object name>)
- Maintenance View (R3TR VDAT <random object name>)
- Customizing Data (R3TR TDAT <random object name>)
In diesen Fällen muss ein Eintrag ebenfalls als eindeutiger Angriffsversuch gewertet werden! Nur die Überprüfung aller Transportanfragen, wie oben beschrieben, bietet Schutz vor einem solchen Angriff.
Dieser Test sowie über 100 weitere werden in der Platform automatisch Platform interne und externe Transportobjekte durchgeführt. Weitere Informationen zur Funktionsweise der Technologie und dazu, wie sie mit der Platform in Ihre Geschäftsprozesse integriert werden kann, finden Sie im Anwendungshinweis zur SAP-Transportprüfung (PDF).
In Teil 3 werden wir uns mit der Bearbeitung der Auftragsverwaltung und den damit verbundenen Risiken für SAP-Transporte befassen .