So verhindern Sie die Ausführung von SAP-Reports zuverlässig.

istock_45277700_large_akqw_jpg

Wussten Sie, dass der Entzug einer SA38-Transaktion die Möglichkeit zum Ausführen von SAP-Reports nicht zuverlässig verhindert?

Lesen Sie in unserem Praxis-Tipp, wie Sie „Workarounds“ bestmöglich vorbeugen.

Für die Nutzungsbeschränkung von SAP-Reports ist es gängige Praxis, die Berechtigung für die Transaktion „SA38“ zu entziehen. Generell korrekt, doch das führt Sie nicht vollständig zum Ziel. Denn es gibt mehrere Wege zum Start von ABAP-Programmen im SAP-System!

1. Endanwender-Reporting mit SA38 und Varianten der SA38.
In dieser Kombination prüft SAP die Berechtigung auf S_TCODE SA38 und ggf. S_REPORT, falls das zu startende Programm über eine Berechtigungsgruppe verfügt. In neueren Systemen wird zusätzlich das Objekt S_REPORT geprüft.

2. Entwickler-Tools SE80, SE84, SE38 und ca. 50 weitere verschiedene Transaktionen
In unserem Security Monitoring Center wird immer wieder festgestellt, dass Benutzer alternative Transaktionen wie SE38, SE80, SE84 etc. verwenden, um Programme als Report zu starten oder schlimmer noch, SE16N über Tricks aufgerufen bekommen. Bei dieser Konstellation wird S_TCODE auf SE84 und Objekt S_DEVELOP ACTVT 03 geprüft. S_PROGRAM wird nie geprüft!
In vielen Berechtigungskonzepten wird insbesondere das Objekt S_DEVELOP ACTVT 03 (Anzeige) als unkritisch eingestuft und daher Usern bedenkenlos zugewiesen. Doch das führt dazu, dass in vielen Kundensystemen solche „Workarounds“ für eine große Benutzeranzahl möglich sind.

Unser Tipp:
Vergeben Sie Transaktionen aus dem Entwicklungsumfeld in Kombination S_DEVELOP ACTVT 03 nur an Notfall-User, damit die Nutzung von SA38 und SE16N über Umwege verhindert wird. Legen Sie für jeden SA38-Report eine Transaktion an und berechtigen Sie Reports nur über Transaktionen. Hierbei sollten Ihre kundeneigenen Programme natürlich noch weitere fachliche Berechtigungsprüfungen ausführen und Sie müssen das Coding entsprechend prüfen und erweitern.

ralfkempf_akquinet
Ralf Kempf
Geschäftsführer, AKQUINET

Kommentar schreiben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s