Trügerische Sicherheit: Security Notes installieren reicht nicht aus!

SAST BLOG: Security Notes installieren reicht nicht aus!Jeden 2. Dienstag im Monat werden neue SAP Security Notes veröffentlicht. Mittlerweile spielen viele SAP-Administratoren diese Patches relativ zeitnah ein und wägen sich damit in einer trügerischen Sicherheit.

Denn die wenigsten Kunden wissen, dass Sicherheitslücken dennoch weiterhin ausgenutzt werden können.

SAP hat mit OSS Note 1908870 – SACF | Workbench für schaltbare Berechtigungsszenarien eine zentrale Lösung für „schaltbare“ Berechtigungsprüfung entwickelt, die es erlaubt, dass Authorization Checks in angepassten Funktionen erst nach Aktivierung durch den Kunden aktiv werden. Hierdurch soll eine Auswirkung auf das bestehende Berechtigungskonzept reduziert werden.

Leider wissen die wenigsten Kunden, dass so ausgestaltete Patches und Verbesserungen nach Implementierung der OSS Note nur inaktiv sind. Das heißt eine erweiterte Berechtigungsprüfung zur Reduzierung des Risikos ist nicht aktiv. Die Lücke kann also weiterhin ausgenutzt werden!

Nutzung in Kundenprogrammen möglich

Szenarien können auch für kundeneigene Programme mit Transaktion SUCC definiert werden. Szenariobasierte Berechtigungsprüfungen ermöglichen es Entwicklern, ausgelieferte Software um alternative Berechtigungsprüfungen für Berechtigungsobjekte in verschiedenen Anwendungsfällen zu erweitern.

Durch die Nutzung von schaltbaren Berechtigungen in Kundenprogrammen ergeben sich interessante Möglichkeiten der getrennten Entwicklung und Produktivsetzung von ABAP-Änderungen sowie Berechtigungsrollen.

Weiterführende Informationen finden Sie hier

Notwendige Schritte: Aktivierung der schaltbaren Berechtigungen!

Transaktion SACF erlaubt eine Aktivierung der vordefinierten Berechtigungsprüfungen inkl. Berechtigungs-Trace und Security Audit Log Integration.

Aus Sicherheitsgründen wird dringend empfohlen, dass alle definierten Szenarien außer „SACF_DEMO_SCENARIO“ auch als produktive Szenarien umgesetzt werden. Als Prüfer muss man hier die Menge der definierten Szenerien gegen die Menge der Produktivszenarien abgleichen und kritisch bewerten.

SAST-Blog_SecNotes_Abb01_1803
SAST-Blog_SecNotes_Abb02_1803

Erst nach Produktivsetzung der definierten Szenarien führt das System eine Berechtigungsprüfung aus und der erweiterte Schutz ist somit aktiv.

Aber Achtung: Beachten Sie, dass sowohl die kopf- als auch objektbasierte Prüfung auf „AKTIV“ stehen muss. Anderenfalls wird ggf. keine Prüfung oder nur ein Logging ausgeführt!

SAST-Blog_SecNotes_Abb03_1803

Notwendige Berechtigungen

Um szenariobasierte Berechtigung verwenden zu können, müssen Sie Entwicklern und Administratoren die entsprechenden Berechtigungen (S_TCODE) zuweisen.

Zunächst das Berechtigungsobjekt „S_TCODE“ mit den folgenden Transaktionen:
SAST-Blog_SecNotes_Tabelle01_1803

Anschließend das Berechtigungsobjekt „S_DEVELOP“ mit den Objekttypen (verfügbare Aktivitäten sind 02 für ändern, 03 für anzeigen und 06 für löschen):
SAST-Blog_SecNotes_Tabelle02_1803
Aufgepasst: Weisen Sie Benutzern in Produktivsystemen nicht die Aktivitäten „ändern“ oder „löschen“ zu!

ralfkempf_akquinet
Ralf Kempf

Technischer Geschäftsführer SAST-Solutions bei AKQUINET

Sie freuen sich über weitere Tipps und Handlungsempfehlungen aus dem Umfeld SAP Security & Compliance? Dann nutzen Sie die Chance zum Austausch mit uns, z.B. in einem unserer Webinare.