HIER Komponenten-Hierarchie
SPAM: Modifikationsabgleich durchführen
Mandantenübergreifende Tabellen können geändert werden. Das Kontrollsystem eines anderen, produktiven Mandanten kann damit ausgehebelt und unterlaufen werden. Ganz schön viel Macht! Wussten Sie zudem, dass das SAP-System eine Funktion bereitstellt, die Tabellenänderungsprotokolle (Tabelle DBTA BLOG) löscht und diese mandantenübergreifend wirksam ist? Wenn die Tabellenänderungsprotokolle nicht zusätzlich über das Archivierungsobjekt BC_DBLOGS archiviert worden sind, ist eine Nachvollziehbarkeit nicht mehr gegeben. Genau so lässt sich jede kriminelle Tat innerhalb Ihres Unternehmens wunderbar vertuschen. Ähnliches ermöglicht der Vollzugriff auf die Batch-Verwaltung mit der Berechtigung alle Hintergrundjobs in allen Mandanten zu verwalten. So können alte Hintergrundjobs gelöscht werden, die unbefugt gelaufen sind. Einige Punkte gibt es auch bei der Verwaltung von Druckaufträgen zu bedenken. In der Regel sind die folgenden beiden SAP Zugriffsberechtigungen zum Schutz von Druckaufträgen zu aktivieren: S_SPO_DEV (Spooler-Geräteberechtigungen) S_SPO_ACT (Spooler-Aktionen). Warum? Vertrauliche Informationen in Druckaufträgen sind nicht gegen unbefugte Kenntnisnahme geschützt. (Streng) vertrauliche Druckaufträge können unbefugt gelesen oder auf fremde Drucker umgeleitet und ausgedruckt werden. Druckaufträge sind ungeschützt, sofern keine zusätzlichen SAPZugriffsberechtigungen für den Schutz der Druckausgaben aktiviert sind. Die Druckaufträge sind mandantenübergreifend, das heißt, die Berechtigungsvergabe sollte an der Stelle ebenfalls gut durchgedacht werden.
Mit der Summary-Funktion des SQL-Trace lässt sich eine Übersicht über die teuersten SQL-Zugriffe erstellen. Navigieren Sie über Traceliste > Trace nach SQL-Anweisungen verdichten, erscheint eine Liste, die für jede Anweisung die in Tabelle 5.3 angeführten Daten anzeigt. Sortieren Sie diese Liste nach der Laufzeit der SQL-Anweisungen. Die SQL-Anweisungen, die durch die relativ höchste Laufzeit auffallen, sollten Sie bevorzugt bei der weiteren Optimierung behandeln.
Klärung und Vorbereitung von Maßnahmen zur Nutzung des Security Audit Logs
Wenn Sie alle die vorher beschriebenen Voraussetzungen erfüllt haben, können Sie beginnen, Ihr System auf die Verarbeitung digital signierter Hinweise vorzubereiten. Hierzu muss der SAP Hinweis mit der Nummer 2408073 eingespielt werden. Dieser besteht aus einigen Schritten zur manuellen Vorarbeit, einigen automatisch ausführbaren Aktivitäten sowie Schritten zur Nacharbeit des Hinweises. Es wird empfohlen, den Dateinamen nach dem Download nicht zu verändern. Der Hinweis 2408073 hat die Dateiendung „sar“ und wird zunächst mit SAPCAR entpackt. Darin befindet sich ein zip-Archiv. Die darin befindliche Textdatei kann mit der Transaktion SNOTE über den Hinweis-Upload in den Note Assistant geladen werden. Nach Abschluss dieser Schritte können Sie mit dem Einbau des Hinweises beginnen. Die einzelnen Schritte sind in im Hinweis selbst enthalten sowie in einem dem Hinweis angehängten Dokument ausführlich beschrieben. Deshalb werden im Folgenden nur einige besonders zu beachtende Punkte hervorgehoben. Beim Anlegen und Klick auf Speichern des „CWBDS“ Objektes erscheint ggf eine Meldung, die dazu auffordert ein Objekt aus dem zulässigen Namensraum zu wählen. Hier kann der Cursor im Objekt- Feld platziert und mit Enter bestätigt werden, dann erfolgt die Abfrage nach einem Transportauftrag. Bei dem Anlegen der Nachrichtentexte in der „SCWN“ Nachrichtenklasse ist es normal, dass nach dem Speichern der Änderungen mehrmals (so oft wie Nachrichten angelegt wurden) die Frage nach dem Transportauftrag bestätigt werden muss. Zusätzlich ist beim Anlegen der Nachrichtentexte zu beachten, dass die im Tutorial, welches dem Hinweis angehängt ist, bereitgestellten Texte auf Englisch vorhanden sind. Wenn Sie auf einem deutschen System arbeiten, sollten Sie die Texte beim Einpflegen entsprechend in die deutsche Sprache übersetzen. Die englischen Texte können anschließend im selben Fenster als Übersetzungen eingefügt werden. Hierzu wählen Sie „Springen -> Übersetzen“. Fazit Es ist ein unter Hackern beliebter Ansatz, Updates, die in der Regel Fehler beheben oder die Sicherheit erhöhen sollen, zum Einschleusen von Schadcode in das System zu nutzen.
Dies sind zum einen der Dispatcher-Prozess und die Workprozesse des SAP NetWeaver AS ABAP, die auf UNIX-Derivaten je als eigener Betriebssystemprozess (disp+work.exe) und auf Windows-Betriebssystemen durch sogenannte Threads innerhalb eines Prozesses implementiert sind. Die Workprozesse des ABAP-Servers werden so konfiguriert, dass sie jeweils einen der folgenden Services anbieten: Dialogservice / Hintergrundservice / Verbuchungsservice / Spool-Service / Enqueue-Service. Zusätzlich können die Workprozesse noch den ATP-Service (ATP = Available to Promise) oder den VMC-Service (VMC = Virtual Machine Container) erbringen.
Etliche Aufgaben im Bereich der SAP Basis können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
In kleinen und mittelgroßen Systemen gibt die SAP-Dokumentation einen Wert des dynamischen Bereichs zu (komprimierter) Tabellengröße von 1:1 an.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Jedes Bündel besitzt einen eigenen Preis, dessen Findung entsprechender Vorbereitung und Überlegungen bedarf.