Tatort SAP-Berechtigungen: Der unsichtbare Einbruch von innen

Wenn es um Cyberangriffe geht, denken viele sofort an den klassischen Hacker im Kapuzenpulli. Ein Fremder, der sich heimlich Zugang verschafft. In der Realität liegt die größere Gefahr jedoch oft nicht außerhalb der Firewall, sondern mitten im Unternehmen. Der Grund dafür sind unklare Rollenmodelle und überdimensionierte Berechtigungen.

Ein Generalschlüssel, den niemand kontrolliert

Ein SAP-System lässt sich gut mit einem Firmengebäude vergleichen. Außen schützen Türen, Kameras und Sicherheitspersonal. Doch was passiert, wenn ein Mitarbeiter im Inneren plötzlich den Generalschlüssel erhält und unbemerkt jede Tür öffnen kann?

In vielen SAP-Systemen ist genau das der Fall. Rollen sind zu umfassend gestaltet. Notfalluser werden nicht ausreichend dokumentiert. RFC-User sind seit Jahren aktiv, ohne dass jemand deren Nutzung hinterfragt. Und oft prüft niemand, ob es gefährliche Überschneidungen gibt, die zu SoD-Konflikten führen.

Transaktionen als Tatwaffe

Ein externer Angreifer muss zunächst ins System gelangen. Ein interner Benutzer mit den falschen Berechtigungen braucht dagegen nur einen Klick. Mit SE16N können sensible Daten eingesehen oder verändert werden. Über SM59 lassen sich RFC-Verbindungen manipulieren. Firefighter-User ermöglichen kritische Aktionen, die sich im Nachhinein kaum eindeutig einer Person zuordnen lassen.

Das ist kein theoretisches Szenario, sondern ein alltägliches Risiko in vielen Unternehmen.

Auf Spurensuche im SAP-System

Sicherheitsarbeit in SAP-Systemen hat viel mit Ermittlungsarbeit zu tun. Spuren müssen gesichert, Muster erkannt und Verdächtige überprüft werden. Schon einfache Reports wie RSUSR_008_009_new oder SUIM helfen im ersten Schritt dabei, kritische Berechtigungen aufzudecken. Loganalysen zeigen, was Notfall- oder Firefighter-User wirklich getan haben. Neue Rollen sollten vor der Freigabe simuliert und regelmäßig überprüft werden. SoD-Prüfungen gehören ebenso in den Standardbetrieb wie ein Backup.

Vorsorge statt Schadensbegrenzung

Ein Sicherheitsvorfall in einem SAP-System ist vergleichbar mit einem Einbruch ins Bürogebäude. Aufräumen ist zwar möglich, doch die Schäden und der Vertrauensverlust bleiben bestehen. Deshalb ist es entscheidend, von Anfang an klare Regeln einzuhalten. Rollen sollten exakt an Aufgaben angepasst werden. Kritische Änderungen gehören ins Vier-Augen-Prinzip. Anstatt Risiken in Excel-Listen festzuhalten, empfiehlt es sich, Tools einzusetzen, die Risiken transparent und verständlich darstellen.

Fazit

Die spannendsten Krimis sind die, in denen der Täter schon die ganze Zeit im Raum sitzt. In SAP-Systemen ist es ähnlich. Die größte Gefahr geht oft nicht von anonymen Hackern aus, sondern von ganz normalen Benutzern mit zu vielen Berechtigungen. Wer regelmäßig Rollen prüft, Logs auswertet und vorsorglich handelt, schützt nicht nur das eigene System, sondern schafft auch Vertrauen, Compliance und Stabilität.

Bei Anmerkungen, Ergänzungen, Hinweise auf Fehler, gerne eine kurze Mail an blog@wtrknt.com

MfG DMa