Modul
RSRFCCHK
Im Rahmen der Nutzung einer HANA-Datenbank sollten Sie sowohl die Ausführung von HANA-Datenbankfunktionen als auch den lesenden oder ändernden Zugriff auf die in der Datenbank gespeicherten Daten durch passende Berechtigungstechniken schützen. Wesentlich für die Berechtigungstechnik sind Datenbankobjekte wie Tabellen und Views – die den Zugriff auf die gespeicherten Daten ermöglichen – sowie ausführbare Prozeduren und Benutzer. Die einem Benutzer zugeordneten konkreten HANAspezifischen Berechtigungen werden im HANA-Kontext als Privilegien (Privileges) bezeichnet.
Sie setzen neben der SAP-Standardsoftware auch kundeneigene ABAP-Programme ein? Erfahren Sie, wie Sie mithilfe des SAP Code Vulnerability Analyzers Ihren Kundencode auf potenzielle Sicherheitslücken scannen und diese gegebenenfalls bereinigen können. Berechtigungskonzepte, Firewalls, Antiviren- und Verschlüsselungsprogramme reichen alleine nicht aus, um Ihre IT-Infrastruktur und IT-Systeme gegen innere und äußere Angriffe und Missbrauch zu schützen. Ein Teil der Gefahren geht von potenziellen Sicherheitslücken im ABAP-Code hervor, die sich meistens nicht durch nachgelagerte Maßnahmen schließen lassen und daher im Code selbst bereinigt werden müssen. Ferner ist zu erwähnen, dass die eingesetzten Berechtigungskonzepte durch ABAP-Code umgangen werden können, was das Gewicht von Sicherheitslücken im ABAP-Code unterstreicht. Während SAP für die Bereitstellung von Sicherheitshinweisen zum Schließen der Sicherheitslücken im Standardcode zuständig ist, obliegt die Schließung der Sicherheitslücken in kundeneigenen ABAP-Programmen Ihnen. Unternehmen unterliegen einer ganzen Reihe von gesetzlichen Vorgaben zum Thema Datenschutz und Datenintegrität, und Sie können diese mithilfe eines neuen Werkzeugs weitestgehend erfüllen. Der SAP Code Vulnerability Analyzer ist im ABAP Test Cockpit (ATC) integriert und somit in allen ABAP-Editoren wie SE80, SE38, SE24 usw. vorhanden. Entwickler können damit während der Programmierung und vor der Freigabe ihrer Aufgaben ihren Code auf Schwachstellen hin scannen und diese bereinigen. Dadurch sinken die Testaufwände und Kosten.
Die Auswirkung der Benutzertypen auf die Passwortregeln beachten
Wenn Sie nun die Rollen soweit definiert haben, dass die wesentlichen Prozesse abgebildet sind, prüfen Sie technisch, welche Organisationsmerkmale diese enthalten (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.). Das technische Ergebnis vergleichen Sie dann mit dem Ergebnis aus der Betrachtung der Aufbauorganisation und der betriebswirtschaftlichen Rollenbeschreibung. Ein wahrscheinliches Ergebnis ist, dass Sie längst nicht alle technischen Organisationsmerkmale auch zur Differenzierung nutzen müssen. Ein mögliches Ergebnis ist, dass Sie Felder wie die Kostenstelle zur Organisationsebene erheben wollen.
Eine weitere Möglichkeit besteht darin, die Berechtigung SAP_NEW keinem Benutzer zuzuweisen. So werden während der durchzuführenden Tests sowohl im Entwicklungs- als auch im Qualitätssicherungssystem Berechtigungsfehler auftreten. Diese sollten dann entsprechend bewertet und für eine fehlerfreie Abarbeitung der Geschäftsvorfälle in die dazu passenden Berechtigungsrollen aufgenommen werden.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Ein Beispiel ist die Berechtigung “Debugging mit Replace“, zu der das Objekt S_DEVELOP mit den Werten ACTVT = 02 und OBJTYPE = DEBUG legitimiert und worüber sich Daten per Hauptspeicheränderung manipulieren lassen.
Dazu definieren Sie Ihre kundenspezifischen Sicherheitseinstellungen technisch in einem Zielsystem.