Ich weiß, was du letzten Sommer gelesen hast: Wie die Protokollierung von Lesezugriffen bei SAP dabei helfen kann, Datendiebstahl aufzudecken

Von:

1. Juli 2022

Wenn man an Datendiebstahl denkt, kommen einem oft große Datenlecks und Angreifer in den Sinn, die Millionen sensibler Datensätze abgreifen. Was vielen jedoch nicht bewusst ist: Unabhängig vom Umfang oder der Größe des Datenabzugs dauert es oft mehrere Monate, bis man bemerkt, dass Daten kompromittiert wurden. Tatsächlich werden viele Datenlecks nicht vom betroffenen Unternehmen selbst entdeckt, sondern von externen Organisationen, die ungewöhnliche Aktivitäten melden, wie beispielsweise Kreditkartenabwickler.

Da es schwierig ist, groß angelegte Datenlecks mit Millionen von Datensätzen aufzudecken, ist es für Unternehmen noch schwieriger, das Abziehen ihrer kritischen Daten in kleinerem Umfang zu erkennen. Geschäftskritische Anwendungen wie SAP enthalten sensible Daten, die für den täglichen Geschäftsbetrieb eines Unternehmens verantwortlich sind. Da SAP von mehr als 400.000 Unternehmen genutzt wird, laufen 77 % der weltweiten Transaktionsumsätze über ein SAP-System. Angesichts der weit verbreiteten Nutzung von SAP und des wachsenden Wissens von Angreifern über diese geschäftskritischen Anwendungen sollten Unternehmen dem Schutz dieser Anwendungen höchste Priorität einräumen. SAP-Systeme sind zudem über eine Vielzahl unterschiedlicher Schnittstellen und Technologien mit anderen internen und externen Anwendungssystemen und Subsystemen vernetzt. Aus diesem Grund müssen alle Datenkanäle und UI-Infrastrukturen berücksichtigt werden, um den Zugriff auf alle sensiblen Daten vollständig zu überwachen.

SAP-Lesezugriffsprotokollierung (RAL)

Der Schutz kritischer Daten vor diesem vernetzten Risiko war für SAP der Hauptgrund für die Einführung von Read Access Logging (RAL). Damit sollten Kunden in der Lage sein, gesetzliche Vorschriften in Anwendungen im Bankwesen oder im Gesundheitswesen comply . Beim Datenschutz geht es hauptsächlich um den Schutz und die Beschränkung des Zugriffs auf personenbezogene Daten. In einigen Ländern verlangen Datenschutzvorschriften wie die DSGVO jedoch, dass der Zugriff auf bestimmte personenbezogene Daten gemeldet wird. Unternehmen und öffentliche Einrichtungen können die Funktionen der RAL-Infrastruktur nutzen, um den Zugriff auf vertrauliche oder sensible Daten nachzuverfolgen und so die für etwaige Datenlecks verantwortlichen Personen zu identifizieren.

Das RAL wurde ursprünglich von SAP mit SAP NetWeaver 7.40 veröffentlicht. In der Folge wurden zusätzliche Support-Pakete für frühere NetWeaver-Versionen bis hinunter zu 7.01 veröffentlicht, um denselben Funktionsumfang wie in Version 7.40 bereitzustellen.

Die Support-Pakete für Versionen vor 7.40 führten keine zusätzlichen Funktionen ein, die über den Funktionsumfang von SAP 7.40 hinausgingen. Mit jedem SAP-Support-Paket für Versionen vor 7.40 wurden Teile der 7.40-Funktionalität in diese früheren Releases integriert, bis sie denselben Funktionsumfang wie 7.40 aufwiesen.

Ab SAP NetWeaver 7.01 SP15 werden die folgenden Kanäle unterstützt: 

  • RFC-Kanal
  • Webservice-Kanal
  • Web Dynpro-Kanal
  • Dynpro-Kanal

Diese Liste wurde in höheren Versionen von SAP NetWeaver schrittweise um folgende Punkte erweitert:

  • SAP Gateway (OData v. 2.0 und OData v. 4.0)   
  • ALE/IDoc-Kommunikation
        Es werden die folgenden Standard-IDoc-Ausgangsprotokolle unterstützt:
    • tRFC 3.0/3.1, 4.x
    • qRFC
    • Datei, XML-Datei
    • HTTP, SOAP
  • SAP BW
        Daten, auf die über
    • Abfrageanfragen
    • Abfrageergebnisse oder Ausgaben
    • Hilfe zu Werten
    • Stammdatenpflege
    • Datenvorschau von InfoProvidern
  • KPro
    • Die Protokollierung kann je nach PHIO-Klasse aktiviert werden
  • Ausgabeformulare (DDIC-Schnittstelle)
    • Die Protokollierung kann sowohl für den Namen des Ausgabeformulars als auch für dessen Felder konfiguriert werden
  • Elektronische Dokumente
    • Daten aus elektronischen Verwaltungsdokumenten
    • Daten aus administrativen elektronischen Dokumenten
      • Dokumenttyp-spezifische Felder
    • Inhalt der eDocument-Datei:
  • Geografisches Aktivierungs-Framework (GEF)

So konfigurieren Sie die Protokollierung des Lesezugriffs (RAL)

Manuelle Konfiguration

Die Konfiguration von RAL erfolgt über die Transaktionen SRALMANAGER oder SRALCONFIG und umfasst mehrere Schritte. Die Berechtigung für jeden einzelnen Schritt wird anhand eines separaten Berechtigungsobjekts geprüft.

Schritt 1: Erstellen Sie einen Protokollierungszweck

Relevantes Berechtigungsobjekt: S_RAL_PURP

Die Protokollierungszwecke gruppieren die protokollierten Ereignisse nach Anwendungsfall und Grund für die Aufzeichnung, z. B.

  • Finanzprüfung zur Erfassung verschiedener Arten des Zugriffs auf Bankkontodaten
  • Datenschutz bei der Protokollierung des Zugriffs auf personenbezogene Daten, wie z. B. die Religionszugehörigkeit

Der Protokollierungszweck kann als Filterkriterium für Archivierungsregeln oder Auswertungen verwendet werden.

Schritt 2: Erstellen Sie eine Protokoll-Domäne

Zugehöriges Berechtigungsobjekt: S_RAL_LDOM

Protokollbereiche definieren die semantische Bedeutung der Datenwerte, die während der Protokollierung erfasst werden, damit ein Prüfer die aufgezeichneten Daten beim Betrachten der Protokollergebnisse nachvollziehen kann.

Beispiel:
Ein Finanzkonto ist häufig in mehr als einer Benutzeroberfläche (UI), einem Webdienst oder einer anderen Schnittstelle vorhanden und kann wie folgt referenziert werden:

  • Eine interne oder externe ID
  • Ein Text
  • Eine ganze Zahl
  • Verschiedene Formate

Schritt 3: Aufzeichnung erstellen und starten (nur für Dynpro und Web Dynpro Channel)

Zuständiges Berechtigungsobjekt: S_RAL_REC

Es ist eine Aufzeichnung erforderlich, um die für die Protokollierung relevanten Dynpro- oder Web-Dynpro-Felder zu erfassen.

Schritt 4: Konfiguration erstellen

Zugehöriges Berechtigungsobjekt: S_RAL_CFG

Während die allgemeine Architektur von RAL einem generischen Ansatz folgt, sind die Konfigurationen in der Regel kanalspezifisch. Die wichtigsten Schritte zur Einrichtung einer Konfiguration sind folgende:

  • Wählen Sie die Felder aus, die protokolliert werden sollen
  • Geben Sie an, ob auch Feldwerte protokolliert werden sollen
  • Weisen Sie den Feldern Protokollbereiche zu 
  • Bedingungen festlegen (optional)

Schritt 5: Benutzer-Ausschlussliste pflegen (optional)

Relevantes Berechtigungsobjekt: S_RAL_BLKL

Bestimmte Benutzer, wie beispielsweise technische Benutzer, die erwartete, geplante Hintergrundjobs ausführen, können ausgeschlossen werden.

Schritt 6: Protokollierung des Lesezugriffs im Client aktivieren

Zugehöriges Berechtigungsobjekt: S_RAL_CLIS

RAL muss für jeden Client separat aktiviert werden.
Wichtig: Für den RFC-Kanal sindKonfigurationen der Profilparameter erforderlich 

sec/ral_enabled_for_rfc 

muss auf 1 gesetzt werden. Andernfalls erfolgt keine Protokollierung für den RFC-Kanal.

SAP liefert Vorlagenrollen für RAL aus. Die RollenSAP_BC_RAL_ADMIN_BIZ und SAP_BC_RAL_CONFIGURATOR enthalten alle Berechtigungen, die für die oben genannten Konfigurationsschritte erforderlich sind.
 

Vordefinierte Inhalte anwenden

SAP stellt für jede Anwendung immer mehr vordefinierte Inhalte bereit. Der Sammel-SAP-Hinweis Nr. 2347271 listet alle Hinweise auf, die vorkonfigurierte RAL-Inhalte enthalten, die nicht über Support-Pakete ausgeliefert werden. Um Konflikte mit kundendefinierten Inhalten in einem Customizing-Mandanten zu vermeiden, werden SAP-Inhalte stets in den Mandanten 000 importiert. Die Transaktion SRALMANAGER bietet Export- und Importfunktionen, mit denen bestehende Konflikte visualisiert werden können, bevor neue Einträge in den Customizing-Mandanten übertragen werden. Ist die automatische Protokollierung von Customizing-Änderungen im Customizing-Mandanten aktiviert, werden alle übertragenen Einträge in einem Transportauftrag protokolliert, der zum Versand der Inhalte an weitere Systeme verwendet werden kann. Weitere Details zum Prozess finden Sie hier.

Auswertung des Lesezugriffsprotokolls

Die protokollierten Lesezugriffsereignisse können mit den Transaktionen SRALMANAGER oder SRALMONITOR analysiert werden. Bevor Filterkriterien auf die Protokolleinträge angewendet werden, muss der Benutzer die Datenbank auswählen, die ihn interessiert.

  • Rohdatenbank
    • Enthält die aktuellsten Daten
    • Ist für schnellen Schreibzugriff optimiert
    • Enthält nur Protokolleinträge des aktuellen Systems und Clients
    • Enthält keine Informationen zum Zweck der Protokollierung und zu den Feldwerten
  • Erweiterte Datenbank
    • Enthält Daten, die mit dem Programm SRAL_REPLICATION aus der Rohdatenbank repliziert wurden => enthält in der Regel nicht die zuletzt protokollierten Ereignisse
    • Ist für Abfragen optimiert
    • Kann Protokolleinträge mehrerer Systeme und Clients enthalten
    • Enthält Informationen zum Zweck der Protokollierung sowie zu Feldwerten (vorausgesetzt, es wurden zumindest einige Konfigurationen definiert, um auch Feldwerte zu protokollieren).
  • Roharchiv
    • Archiv der Rohdatenbank
      Die Rohdatenbank kann in der Transaktion SARA über das Archivierungsobjekt SRAL archiviert werden
  • Erweitertes Archiv
    • Archiv der erweiterten Datenbank
      Die erweiterte Datenbank kann in der Transaktion SARA über das Archivierungsobjekt SRAL_EXP archiviert werden
  • Rohdatenarchiv mit Index
    • Indiziertes Archiv der Raw-Datenbank
      SAP stellt die Informationsstruktur bereit SAP_SRAL für das RAL-Archiv. Diese Struktur enthält die folgenden vier Felder, anhand derer ein RAL-Administrator Protokolleinträge indizieren kann:
      • Erstellt am
      • ID des Protokollierungszwecks
      • Benutzername
      • Softwarekomponente
    • Deutlich schnellere Suchvorgänge möglich 
    • Benötigt deutlich mehr Speicherplatz in der Datenbank

Wie lassen sich RAL-Daten zur Aufdeckung von Datendiebstahl nutzen?

Werfen wir einen Blick auf einige verschiedene Situationen, in denen wir anhand von RAL-Daten feststellen können, ob tatsächlich ein Datendiebstahl stattgefunden hat.

Beispiel 1: Es wurde ein Datendiebstahl gemeldet, und Sie wissen bereits, welche Daten davon betroffen sind.

In diesem Fall können Sie alle bisherigen Zugriffe auf diese Daten nachverfolgen, um genauere Informationen darüber zu erhalten, wer die Daten abgerufen hat und über welchen Kanal dies geschehen ist.

Beispiel 2: Erkennung eines Datendiebstahls in Echtzeit.

In diesem Fall müssen Sie die RAL-Ereignisse ständig überwachen und analysieren. Im Idealfall werden die RAL-Daten zentral in einer SIEM-Software (Security Information and Event Management) erfasst und anschließend auf Anomalien überprüft. Typische Anomalien könnten sein:

  • Ein Benutzer greift auf Daten zu, auf die er normalerweise nicht zugreift
  • Die Daten werden über einen anderen Kanal als üblich gelesen
  • Die Daten werden außerhalb der Geschäftszeiten ausgelesen
  • Die Zahl der RAL-Vorfälle hat in einem bestimmten Zeitraum deutlich zugenommen

Fazit

Mit der Read Access Logging (RAL)-Infrastruktur stellt SAP ein leistungsstarkes und zuverlässiges Framework bereit, das Kunden bei der Einhaltung gesetzlicher und anderer Compliance-Vorgaben unterstützt. Zudem hilft es dabei, alle Anforderungen bei Prüfungen zu erfüllen. Nicht zuletzt ist es ein unverzichtbares Werkzeug zur Aufdeckung und Analyse von Betrug oder Datendiebstahl. Die vorkonfigurierten RAL-Inhalte, die im SAP Help Portal verfügbar sind, bieten einen hervorragenden Ausgangspunkt und minimieren den Konfigurationsaufwand für Ihr Team.

Stichworte,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen