Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

Sicherheitslücke in den Berechtigungen mit der Transaktion SE97 beheben

In vielen Projekten bei unseren Kunden haben wir festgestellt, dass die Transaktion SE97 in den SAP-Systemen nicht gepflegt wird. Dies stellt aus Berechtigungssicht eine Sicherheitslücke bei den Zugriffen der Mitarbeiter auf die Daten im System dar. Was darunter zu verstehen ist und wie die Transaktion SE97 gepflegt wird, wird nachfolgend erläutert.

Die Transaktion SE97 (Transaktionsstartberechtigung beim CALL TRANSACTION pflegen) ist unter anderem für Entwickler und für Berechtigungsadministratoren im SAP-System gedacht, um Berechtigungsprüfungen in Eigenentwicklungen sowie Meldungen zu implementieren und einzustellen. Des Weiteren können Absprünge in weitere Transaktionen erlaubt werden, ohne die Start-Berechtigungsprüfung S_TCODE zu vergeben.

Des Weiteren gestattet die Transaktion SE97 bei Start-Berechtigungsprüfungen über einen geschachtelten Aufruf, die Prüfung auf Berechtigungen ein- und ausschalten, sowie über den Meldungstyp Meldungen bei dem aufrufenden Benutzer erscheinen zu lassen. Informationen bezüglich der Einstellungsmöglichkeiten des Meldungstyps sind der folgenden Tabelle im unteren Bereich zu entnehmen.

Die Transaktion SE97 ist auch über den Report TASAUTH zum Auslesen der Einstellungen zu erreichen. Den Report öffnen wir über die Transaktion SA38 und mit der Eingabe TASAUTH.

In der Tabelle TCDCOUPLES können wir die Transaktionspärchen einsehen, also die rufenden und gerufenen Transaktionen. Transaktionscodes, die nicht über die SE97 gepflegt sind und CALL TRANSACTION beinhalten, unterliegen keiner Berechtigungsprüfung. Daher ist zu prüfen, welche Einstellung in der SE97 diesbezüglich eingestellt ist.

Der obige Screenshot zeigt die Startmaske der Transaktion SE97. Im Auswahlfeld „Transaktion“ wird die „rufende“ Transaktion ausgewählt, zu der die Informationen der „gerufenen“ Transaktionen anzeigen werden sollen, und wählt dann oben links „Ausführen“. Nach diesem Schritt erhält wird eine Liste der gerufenen Transaktionen angezeigt:

In diesem Screenshot sehen wir die durch die Transaktion FB02 aufgerufenen Transaktionscodes.

Hier im Beispiel ist zu erkennen, dass für die Transaktion FBW4 eine Berechtigungsprüfung eingerichtet ist, wenn diese über die Transaktion FB02 aufgerufen wird (Wert JA in der Spalte Prüfkennzeichen). Setzt man den Wert auf „NEIN“ oder „N“ findet keine Berechtigungsprüfung auf die Transaktion statt und der Benutzer kann die Transaktion FBW4 über die Transaktion FB02 ohne Berechtigungsprüfung aufrufen.

Das Prüfkennzeichen besitzt zwei Einstellungen „JA“ und „NEIN“. Mit diesen Einstellungen besteht die Möglichkeit, Berechtigungsprüfungen der gerufenen Transaktionen ein- und auszuschalten.

Zusätzlich wird hier der Meldungstyp eingestellt. Folgende Einstellungen sind möglich:

 

Meldungstyp Beschreibung
I Hier wird ein Informationstext angezeigt und die Aktion durchgeführt.
E Fehler, hier wird eine Fehlermeldung angezeigt und der Benutzer bleibt in der aufrufenden Transaktion
A Abbruch, hier springt der Benutzer wieder in das SAP EasyAccess Menü zurück.
W,X Warnung, hier wird dem Benutzer eine Fehlermeldung angezeigt und der Benutzer springt wieder in das SAP EasyAccess Menü zurück – dies ist die sicherste Reaktion des Systems. Daher wird der Wert X als Standardwert verwendet und empfohlen.

 

Die Pflege der Transaktion SE97 ist unabdingbar, um ihre Transaktionsaufrufe im SAP-System bestmöglich zu schützen und Berechtigungsprüfungen zu implementieren. Die Funktion und die Prüfung der Pflege der Transaktion SE97 ist auch im Rahmen einer Prüfung der Eigenentwicklungen relevant. Hierbei ist zu berücksichtigen, dass Transaktionen, welche nicht über die SE97 gepflegt wurden, keiner Berechtigungsprüfung unterliegen.

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Audit & Consulting