Erstellen von Dokumentationen
OPERATOR (OP)
Durch den Einsatz eines Code-Scanners besteht die Möglichkeit, dass jeder Entwickler bei der erweiterten Prüfung seines Programms nun auch nach komplexen Sicherheitsmustern scannen kann, die ihm sagen, ob er Schwachstellen in sein Programm eingebaut hat. Diese Schwachstellen werden erkannt und können nun in einem Workflow-gesteuerten Prozess bearbeitet werden. Aktuell gibt es zwei Produkte, die im Bereich der Überprüfung der kundeneigenen SAP-Programme den Kunden unterstützen können.
Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und wie Sie dies verhindern können, erfahren Sie in diesem Beitrag. Altlasten des SAP Systems Die Anmeldedaten eines Benutzers, inklusive Passwort, werden in der Datenbanktabelle USR02 gesichert. Das Passwort liegt jedoch nicht im Klartext, sondern verschlüsselt als Hashwert vor. Für jeden Benutzer gibt es jedoch nicht nur einen, sondern bis zu drei erzeugte Passwort-Hashes. Zur Berechnung dieser Werte werden verschiedene Algorithmen verwendet, von denen jedoch nur der Salted SHA1 als ausreichend sicher angesehen werden kann. Tabellenabzug USR02 Der sichere Passwort-Hash befindet sich in der fünften Spalte des abgebildeten Tabellenabzugs mit der Überschrift Kennwort-Hashwert. Das zugehörige Datenfeld der Spalte heißt PWDSALTEDHASH. Risiken durch schwache Passwort-Hashes Sie verfügen über ein gutes und funktionierendes Berechtigungskonzept, welches sicherstellt, dass keine Prozesse oder Daten manipuliert oder gestohlen werden können. Ein potenzieller Angreifer verfügt nun über die Möglichkeit Ihre Datenbank mit den Passwort-Hashes auszulesen. Die Hashwerte werden über Passwort-Cracker, die im Internet zuhauf erhältlich sind, zurückgerechnet und der Angreifer verfügt nun über eine lange Liste mit user credentials. Um Ihrem System Schaden zuzufügen sucht sich dieser nun den Benutzer mit den passenden Berechtigungen aus und führt seinen Angriff unter falscher Identität aus. Den tatsächlichen Angreifer nun zu ermitteln ist quasi unmöglich. Prüfen Sie, ob auch Ihr System angreifbar ist Ihr System generiert die schwachen Hashwerte, wenn der Profilparameter login/password_downwards_compatibility einen Wert ungleich 0 besitzt. Profilparameter login/password_downwards_compatibility.
Verteilung von SAP-Applikationsinstanzen
Ein spezielles Problem liegt vor, wenn alle Verbuchungs-Workprozesse (UPD) belegt sind. Prüfen Sie, ob die Verbuchung deaktiviert wurde. Starten Sie dazu Transaktion SM13. Stellen Sie fest, ob Sie die Information Verbuchung ist deaktiviert finden. Ist dies der Fall, existiert im SAP-Syslog (Transaktionscode SM21) ein Eintrag, aus dem hervorgeht, wann, von wem und aus welchem Grund die Verbuchung deaktiviert wurde. Lösen Sie das gemeldete Problem, das z. B. ein Datenbankfehler sein kann, und aktivieren Sie die Verbuchung in Transaktion SM13 erneut.
Beschäftigt man sich mit der Frage der Standardisierung, so betrifft dies nicht nur die administrative Seite von IT-Produkten, sondern auch die Standardisierung und Vereinfachung von IT-Produkten, die durch die SAP-Basis angeboten werden. Hierfür haben sich bereits Werkzeuge wie ITIL zur standardisierten Durchführung von Aufgaben und auch der Aufbau von IT-Produkt- und IT-Servicekatalogen weitestgehend etabliert. In diesen werden die IT-Leistungen, die erbracht werden, eindeutig beschrieben. Zur eindeutigen Beschreibung gehört neben der Definition der zu erbringenden Leistung auch die Nennung von Leistungsausschlüssen und von Voraussetzungen, die vorliegen müssen. Ebenso gehört zur Leistungsbeschreibung ein Preis, der sich aus fixen und variablen Teilen zusammensetzen kann. Diese Vereinfachung und Bündelung der Produktportfolios soll auch den administrativen Aufwand bei der Bestellung, Aktivierung, Änderung, Terminierung und natürlich auch der Abrechnung reduzieren. Die Beschreibung der IT-Leistungen und der damit verbundene Aufbau eines IT-Produktkatalogs ist die Grundlage zur Standardisierung, egal ob der Leistungsempfänger ein externer oder interner Kunde (bspw ein Geschäftsbereich) ist. Eine Schwierigkeit stellt die Definition von IT-Produkten, d.h. die Bündelung von IT-Leistungen und IT-Ressourcen, dar. Eine Orientierung an dem Gedanken des Cloud Computings kann behilflich sein. Die Merkmale des Cloud Computings sind das Anbieten von standardisierten Services in Bezug auf Leistung und Art der Leistungserfüllung, ergebnisorientierte Leistungen, Bereitstellung von Leistung für eine Vielzahl von Leistungsabnehmern, Skalierbarkeit, transaktionsbasierte Abrechnung wie auch ein hohes Risiko beim Ausfall des IT-Services.
Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Basis.
Je nach Vereinbarung kümmert sich das Experten-Team sowohl um die Verwaltung, als auch um das Hosting und den Betrieb des SAP-Systems.
Wenn es um das Outsourcing oder Outtasking von SAP Basis Dienstleistungen geht, verstehen wir uns als erfahrenen Partner dafür, dass ihre SAP Systeme reibungslos funktionieren.