Protokollierung von Tabellenänderungen in SAP: Konfiguration, Sicherheitsrisiken und Überwachung

Von:

22. Februar 2018

Letzte Aktualisierung: 31.12.2025

Die Protokollierung von Tabellenänderungen ist eine wichtige control Ihnen in Echtzeit Einblick in Datenänderungen innerhalb Ihrer SAP-Umgebung gewährt. Sie fungiert als Überwachungsmechanismus und protokolliert Änderungen, die über Tools wie SM30 oder benutzerdefinierte Programme vorgenommen werden und andernfalls möglicherweise unbemerkt bleiben würden.

Während Standardberichte von SAP oft Lücken aufweisen, gewährleistet die Aktivierung dieser Funktion einen lückenlosen Prüfpfad. Dies ist ein grundlegender Bestandteil einer soliden SAP-Sicherheitsstrategie , da sie die für die Compliance erforderliche Systemintegrität schützt und automatisierte Compliance-Prüfung.

Warum die Protokollierung von Tabellenänderungen für die SAP-Sicherheit wichtig ist

Die Konfiguration von SAP zur Protokollierung von Datenänderungen ist für die Aufrechterhaltung einer nachweisbaren Sicherheitslage unerlässlich. Dies bietet:

  • Transparenz: Erstellt einen klaren, unveränderlichen Prüfpfad, aus dem hervorgeht, wer wann welche Änderungen vorgenommen hat.
  • Sicherheit: Erkennt unbefugte oder riskante Änderungen, die auf eine Insider-Bedrohung oder eine Kompromittierung hindeuten könnten.
  • Fehlerbehebung: Ermittelt schnell die Ursache von Dateninkonsistenzen.
  • Compliance: Erfüllt gesetzliche Anforderungen (SOX, DSGVO) zur Nachverfolgung von Datenänderungen.

Durch die Implementierung der Tabellenänderungsprotokollierung können Unternehmen die Integrität ihrer SAP-Systeme gewährleisten, selbst wenn in Produktions- oder Anpassungsumgebungen notwendige direkte Tabellenänderungen vorgenommen werden müssen.

So funktioniert die Protokollierung von Tabellenänderungen in SAP

Die Funktion „Table Change Logging“ zielt auf bestimmte Tabellen ab, die sich auf die Struktur Ihres Systems auswirken. Sie dokumentiert alle Änderungen, unabhängig von der verwendeten Methode (z. B. direkte Tabellenbearbeitung), um unbefugte Änderungen zu erkennen, bevor diese zu Ausfällen führen.

Anstatt lediglich die Anmeldungen der Benutzer zu überwachen, zielt die Tabellenänderungsprotokollierung gezielt auf bestimmte Datenstrukturen ab. Sie basiert auf drei Kernprinzipien:

  • Umfassende Protokollierung: Sie dokumentiert das „Wer, Was und Wann“ jeder Änderung, unabhängig davon, auf welche Weise die Daten geändert wurden.
  • Gezieltes Tracking: Der Schwerpunkt liegt auf bestimmten SAP-Tabellen (definiert durch rec/client), die sich auf die Konfiguration und Integrität Ihres Systems auswirken.
  • Risikominderung: Es erfasst unbefugte oder fehlerhafte Änderungen (z. B. direkte Tabellenbearbeitungen über SM30), bevor diese zu Systemausfällen führen.

Um ihre Effektivität zu maximieren, müssen Sicherheitsteams:

  • Regelmäßige Überprüfungen: Richten Sie einen Prozess ein, um protokollierte Änderungen regelmäßig mithilfe von Tools zur Erkennung von Bedrohungen.
  • Identifizieren Sie wichtige SAP-Tabellen: Erstellen Sie eine Liste der Tabellen, deren Änderungen erhebliche Auswirkungen auf Ihr System haben könnten.
  • Benachrichtigungen einrichten: Konfigurieren Sie Benachrichtigungen für Änderungen an diesen wichtigen Tabellen.

Was sollten Sie erfassen? (Relevante SAP-Hinweise)

Die Entscheidung, welche Tabellen protokolliert werden sollen, ist ein Kompromiss zwischen Transparenz und Leistung. Weitere Informationen finden Sie in den folgenden SAP-Hinweisen:

  • SAP-Hinweis 1916: Bezieht sich auf ältere Releases und gilt allgemein als veraltet.
  • SAP-Hinweis 112388: Enthält die aktuellste Definition der relevanten Protokolltabellen.

Voraussetzungen für die Protokollierung von Tabellenänderungen

Aus technischer Sicht ist die Aktivierungder Tabellenänderungsprotokollierung einfach. Damit Tabellenänderungen protokolliert werden, muss der Systemparameter„rec/client“aktiviert sein. Dieser Parameter dient dazu,die mandantenabhängigeTabellenänderungsprotokollierung zu aktivieren und zu deaktivieren. Je nach Einstellung dieses Parameters werden bestimmte Änderungsoptionen entweder gar nicht, nur in bestimmten Mandanten oder in allen Mandanten protokolliert.

Um den Wert des Parameters„rec/client“zu überprüfen, führen Sie den TransaktionscodeRZ11 aus, geben Sie denParameternamenein und klicken Sie auf„Anzeigen“.

Bild

Dies ist ein sehr wichtiger Schritt, denn wenn der Parameter deaktiviert ist, werden die Datenänderungen an dieser Tabelle nicht protokolliert, selbst wenn Siedie Tabellenänderungsprotokollierungin den technischen Einstellungen für eine beliebige Tabelle aktiviert haben. Stellen Sie außerdem sicher, dass die Werte für„rec/client“auf allen Instanzen eines Systems identisch sind. Nur dann funktioniert die Protokollierung ordnungsgemäß.

Dies sind die möglichen Werte, die der Parameter annehmen kann:

Parameterwert

Bedeutung

rec/client = AUS

Protokollierung von Tabellenänderungen inaktiv

rec/client = ALL

Protokollierung von Tabellenänderungen in allen Clients aktiv*

rec/client = <client 1>…

Protokollierung von Tabellenänderungen in bestimmten Clients aktiv**

*WARNUNG: Aus Sicherheitsgründen ist es wichtig, alle Mandanten im System zu überprüfen. Die Einstellung des Parameters„rec/client“auf „ALL“ kann die Leistung des R/3-Systems erheblich beeinträchtigen.SAP empfiehlt, den Wert „ALL“ nicht zu verwenden.

** <client1>,<client2>,…,<client10>. Caution: Make sure there are no space characters before or after the separator ‘,’.

Falsche Definition:
rec/client=001, 002, 003

Richtige Definition:
rec/client=001,002,003

Die Standardeinstellung ist„AUS“(es werden keine Änderungen protokolliert). Diese Einstellung ist nur in der Installations- und Testphase üblich.

Den Wert von„rec/client“ ändern

Umdie Tabellenänderungsprotokollierung zu aktivieren, setzen Sie den Profilparameterrec/clientaufALLoder geben Sie gemäß den SAP-Empfehlungen zumindest Ihren Produktiv- und Ihren Customizing-Mandanten an. Sie können die SAP-TabelleT000abfragen, um zu überprüfen, welche Mandanten (SpalteMANDT) Produktionsmandanten sind (SpalteCCATEGORYgleich „P“) und welche Customizing-Mandanten sind (SpalteCCATEGORYgleich „C“), wie unten dargestellt:

Bild

Schließlichkann die Änderung mit den folgenden Schritten übernommen werden:
 

  1. Stellen Sie eine SAP-GUI-Verbindung zum SAP-Server her.
  2. Melden Sie sich mit einem Administratorkonto an.
  3. Führen Sie die Transaktion RZ10 aus.
  4. Wählen Sie das passende Profil aus.
  5. Wählen Sie „Erweiterte Wartung“ aus und klicken Sie auf „Ändern“.
  6. Ändern Sie den Wert des betreffenden Parameters auf die empfohlene Einstellung und klicken Sie auf „Kopieren“.
  7. Gehe zurück und wähle „Profil“ > „Speichern“.
  8. Starten Sie Ihre SAP-Instanz neu.

Die Protokollierung von Tabellenänderungenmuss für jede Tabelle einzeln über die TransaktionSE13 (Technische Einstellungen pflegen (Tabellen)) aktiviert werden, indem das Kontrollkästchen„Datenänderungen protokollieren“aktiviert wird. In vielen SAP-Standardtabellen ist dieses Protokollierungsflag bereits gesetzt. Daher werden diese Tabellen in der SAP-TabelleDD09L als aktiviert angezeigt. 

Erweiterung der Tabellenänderungsprotokollierung in der ABAP-Entwicklung

Zwar sind Standardwerkzeuge robust, doch sichere ABAP-Entwicklung die Protokollierungsfunktionen erweitern, um spezifische geschäftliche Anforderungen zu erfüllen.

Gängige ABAP-Erweiterungen für die Tabellenänderungsprotokollierung:

  • Benutzerdefinierte Berichte: Erstellen Sie Berichte, die detaillierte Informationen aus protokollierten Tabellen extrahieren und Einblicke liefern, die über Standardtransaktionen wie SCU3 nicht ohne Weiteres zugänglich sind.
  • Automatisierte Protokollanalyse: Entwickeln Sie Programme zur Analyse von Änderungsprotokollen auf Anomalien, wie beispielsweise unerwartete Änderungen an kritischen Feldern.
  • Erweiterte Filterfunktion: Ermöglichen Sie eine detaillierte Filterung, indem Sie benutzerdefinierte Auswahlmasken erstellen, um relevante Protokolleinträge schnell zu isolieren.
  • Beispiel: Ein einfaches ABAP-Programm kann den Inhalt von CDHDR und CDPOS Tabellen, um benutzerspezifische Änderungen an kritischen Tabellen zu extrahieren, und die Ergebnisse anschließend per E-Mail an die Administratoren zu senden.

Integration von SAP-Tabellenänderungsprotokollen in externe Audit-Tools

Für eine umfassende Sicherheit ermöglicht die Integration von SAP-Protokollen in SIEM-Systeme (wie Splunk, Sentinel oder QRadar) eine zentralisierte Überwachung. Dies erleichtert die Erkennung von Anomalien in Echtzeit und die automatisierte Reaktion auf Vorfälle.

Schritt für Schritt: Extrahieren von Protokollen für die SIEM-Integration:

  • Rufen Sie die Änderungsprotokolle der SAP-Tabellen über den Transaktionscode SCU3 oder das entsprechende Protokollierungsprogramm (RSTBHIST oder RSVTPROT) auf.
  • Exportieren Sie Protokolle in einem mit Ihrem SIEM-Tool kompatiblen Format, beispielsweise als CSV-Datei oder über eine direkte API-Verbindung (sofern unterstützt).
  • Nutzen Sie Tools von Drittanbietern, um die Erfassung von Protokollen in Systemen wie Splunk, ArcSight oder IBM QRadar zu vereinfachen.

Nach der Integration kann Ihr SIEM-System kritische Änderungen verfolgen und Warnmeldungen ausgeben, sobald verdächtige Aktivitäten erkannt werden, wodurch schnellere Reaktionszeiten auf potenzielle Bedrohungen gewährleistet werden.

Automatisierung von Benachrichtigungen und Berichten bei kritischen Tabellenänderungen

Um Ihre SAP-Sicherheit weiter zu verbessern, können Sie Warnmeldungen und Berichte zu kritischen Tabellenänderungen automatisieren. Durch die Nutzung der SAP-Warnmechanismen oder die Integration von Drittanbieter-Tools können Sie Echtzeitbenachrichtigungen einrichten, sobald wichtige Tabellen geändert werden. Dies ist besonders nützlich für Tabellen, die sensible geschäftliche oder personenbezogene Daten enthalten.

So automatisieren Sie Benachrichtigungen:

• Richten Sie E-Mail- oder Systembenachrichtigungen ein, indem Sie den SAP Business Workflow so konfigurieren, dass bei bestimmten Tabellenänderungen Benachrichtigungen ausgelöst werden.

• Verwenden Sie den SAP Solution Manager, um Änderungen in Echtzeit zu überwachen und automatische Benachrichtigungen zu versenden, sobald Abweichungen von Standardprozessen festgestellt werden.

• Erstellen Sie in SAP geplante Berichte, die täglich oder wöchentlich Protokolle über Tabellenänderungen abrufen und diese automatisch zur Überprüfung an wichtige Beteiligte senden.

Sollten die standardmäßigen SAP-Tools zur Generierung von Warnmeldungen den spezifischen Anforderungen Ihres Unternehmens nicht gerecht werden, kann die zuvor erwähnte ABAP-Entwicklung eine maßgeschneiderte Lösung bieten. Es können ABAP-Programme geschrieben werden, die Warnmeldungen oder Workflows auslösen, sobald bestimmte Bedingungen in Änderungsprotokollen erfüllt sind.

Beispiel für einen Anwendungsfall der ABAP-Automatisierung:

Ein benutzerdefiniertes ABAP-Programm, das Änderungen an sensiblen Tabellen (z. B. Kundendaten) überwacht und Sicherheitsadministratoren benachrichtigt, sobald bestimmte Felder außerhalb der Geschäftszeiten geändert werden. Dies ermöglicht eine kontextbezogene Überwachung in Echtzeit, die Standardprotokolle oder -warnungen möglicherweise nicht bieten.

Wie Onapsis bei der Protokollierung von Änderungen an SAP-Tabellen hilft

Die SAP-Cybersicherheitsprodukte von Onapsis unterstützen Sie mit zwei verschiedenen Modulen dabei, die relevanten Tabellen zu ermitteln, die Sie konfigurieren müssen, umdie Tabellenänderungsprotokollierung zu aktivieren:die aktive Protokollierung für kritische technische Tabellenunddie aktive Protokollierung für kritische Geschäftstabellen.

Im Folgenden zeigen wir Ihnen eine Schritt-für-Schritt-Anleitung zur Aktivierung der Protokollierung für jede Tabelle. 

  • Rufen Sie den TransaktionscodeSE13auf und geben Sie im Feld„Tabellen-/View-Name“die Tabelle ein, für die Siedie Tabellenänderungsprotokollierungaktivieren möchten (z. B.BNKA)
Bild
  • Klicken Sie auf die Schaltfläche„Ändern“und aktivieren Sie die Option„Datenänderungen protokollieren“unten im Fenster
Bild
  • Klicken Sie auf„Speichern“

Um die Änderung zu bestätigen, wird ein neuer Eintrag in der SAP-TabelleDD09L angezeigt.

Bild

Wie in der Abbildung oben zu sehen ist, enthält die zweite Zeile ein „X“ für die SpaltePROTOKOLL. Durch Doppelklicken darauf können wir die Details einsehen.

Bild

Wenn diese Voraussetzungen erfüllt sind, verwenden Sie das Programm RSTBHIST (Tabellenänderungsanalyse) oder RSVTPROT , um die an den Tabellen vorgenommenen Änderungen auszuwerten (alternativ können Sie den TransaktionscodeSCU3 verwenden). 

  • Führen Sie den TransaktionscodeSA38 aus
Bild
  • Vervollständigen Sie den Programmnamen RSTBHIST und drücken SieF8
  • Klicken Sie auf die Liste der protokollierten Tabellen, um alle Tabellen anzuzeigen, bei denen das Kontrollkästchen„Datenänderungen protokollieren“aktiviert ist
Bild
  • Wählen Sie abschließend„Protokolle auswerten“, um den entsprechenden Zeitraum und die zu analysierende Tabelle auszuwählen

Das System erstellt für jede Änderung an protokollierten Tabellen einen Protokolleintrag in der Protokolltabelle. Hier ein Beispiel für die Informationen, die in dieser Tabelle angezeigt werden: 

Bild

Fazit:
Es ist wichtig, sich der Risiken bewusst zu sein, die entstehen, wenn dieProtokollierung von Tabellenänderungen nicht aktiviert ist. Es besteht die Gefahr, dass keine Warnmeldungen bei potenziellen unbefugten Änderungen an Tabellendaten ausgegeben werden. Alle Änderungen an den kritischen SAP-ERP-Tabellen sollten vom System protokolliert werden, und die regelmäßige Überprüfung dieser Protokolle sollte Teil der Sicherheitsverfahren des Unternehmens sein.

Führen Sie regelmäßige Überprüfungen bei Ihren Kunden durch, um das Risiko eines unbefugten Zugriffs auszuschließen. OSP kann Sie vor diesem und anderen Angriffen schützen. Unser Tool kann nicht nur feststellen, ob die Protokollierung von Tabellenänderungen aktiviert ist, sondern auch ermitteln, bei welchen kritischen Tabellen die Protokollierung von Änderungen aktiviert werden sollte.

Erfahren Sie mehr darüber, wie die Platform Ihre geschäftskritischen Anwendungen schützen kann.

Häufig gestellte Fragen (FAQ)

Wie aktiviere ich die Protokollierung von Tabellenänderungen in SAP?

Um die Protokollierung von Tabellenänderungen zu aktivieren, müssen Sie den Systemprofilparameter rec/client. Wenn dieser Parameter auf ALL protokolliert Änderungen in jedem Client und ordnet diese dabei einer bestimmten Client-Nummer zu (z. B. 000, 100) beschränkt die Protokollierung auf diesen bestimmten Client.

Welcher SAP-Transaktionscode wird zum Anzeigen von Tabellenprotokollen verwendet?

Der primäre Transaktionscode zum Anzeigen von Tabellenänderungsprotokollen lautet SCU3. Mit dieser Transaktion können Administratoren die Protokolle benutzerdefinierter Tabellen auswerten und bestimmte Änderungen im Zeitverlauf nachverfolgen.

Beeinflusst die Protokollierung von Tabellenänderungen die Leistung des SAP-Systems?

Ja, die Aktivierung der Protokollierung für alle Tabellen kann die Leistung erheblich beeinträchtigen und die Datenbankgröße vergrößern. Es empfiehlt sich daher, die Protokollierung nur für wichtige Anpassungs- und Konfigurationstabellen zu aktivieren und nicht für Transaktionstabellen mit hohem Datenaufkommen.

Welche SAP-Tabellen sollten protokolliert werden?

Sie sollten Tabellen protokollieren, die für die Systemintegrität und -sicherheit von entscheidender Bedeutung sind, wie beispielsweise die in SAP-Hinweis 112388 definierten Tabellen. Dazu gehören in der Regel mandantenunabhängige Systemtabellen und geschäftskritische Konfigurationstabellen, bei denen unbefugte Änderungen ein Risiko darstellen könnten.

Stichworte, , , ,
Über den Autor

Daniel Antonelli

Daniel Antonelli ist ein Experte für Cybersicherheit, der sich auf Sicherheitsforschung und Schwachstellenmanagement spezialisiert hat. Mit seinem Schwerpunkt auf dem Schutz kritischer Unternehmenssysteme wie SAP hat Daniel dazu beigetragen, die Sicherheitslage von Organisationen in verschiedenen Branchen zu verbessern. Seine Fachkenntnisse bei der Erkennung und Abwehr von Cyberbedrohungen, gepaart mit einem tiefgreifenden Verständnis für IT-Umgebungen in Unternehmen, machen ihn zu einer Schlüsselfigur bei der Förderung von Cybersicherheitsmaßnahmen und der Gewährleistung der Widerstandsfähigkeit komplexer Infrastrukturen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen