Anmelde- und Kennwortschutz im ABAP-System 

Dieser Abschnitt bietet einen Überblick über den Anmelde- und Kennwortschutz im ABAP-System. Um die Sicherheit der Kennwörter zu erhöhen werden sie verschlüsselt und nur als Hash-Werte abgelegt und übertragen.

Nach SAP NetWeaver 6.40 wird der Kennwort-Hash-Algorithmus von MD5 auf SHA‑1 umgestellt. Dadurch können sicherere, nicht abwärtskompatible Hash-Werte erzeugt werden, die einen Reverse-Engineering-Angriff erschweren. Standardmäßig erzeugen neue Systeme zwei Hash-Werte: einen abwärtskompatiblen und einen neuen. Sie können das System allerdings so konfigurieren, dass nur noch der neue, nicht abwärtskompatible Hash-Wert erzeugt wird. Den Grad der Abwärtskompatibilität stellen Sie mit Profilparameter login/password_downwards_compatibility ein.

Das System kann jederzeit den Typ (neu oder alt) des aktuellen Benutzerkennworts ermitteln. Während der Anmeldung berechnet das System den Kennwort-Hash aufgrund der eingegebenen Daten und gemäß den Informationen aus dem Benutzerstammsatz (vgl. verwendeten Hash-Verfahren) und vergleicht den Hash-Wert. Das System entscheidet selbst, welcher Teil des eingegebenen Kennworts ausgewertet wird:

●      Wenn der Benutzerstammsatz zeigt, dass das Kennwort des Benutzers mit dem alten Kennwort-Hash-Algorithmus verschlüsselt wurde, wertet das System nur die ersten 8 Zeichen aus und konvertiert diese in Großbuchstaben.

●      Wenn der Benutzerstammsatz zeigt, dass das Kennwort des Benutzers mit dem neuen Kennwort-Hash-Algorithmus verschlüsselt ist, wertet das System alle Zeichen so aus wie sie eingegeben werden (bis zu 40 Zeichen, ohne Konvertierung in Großbuchstaben).

Nach dem Upgrade wirken sich die neuen Funktionen zunächst nicht aus: Der Betrieb des Systems und die Kennwortabfragen laufen wie gewohnt ab. Die Kennwörter neuen Typs lösen nach und nach die Kennwörter alten Typs ab.

Wenn Ihre Sicherheitsanforderungen die ausschließliche Verwendung der nicht abwärtskompatiblen Kennwörter neuen Typs verlangt, wirkt sich dies auf folgende Elemente aus:

●      Kommunikations-Frameworks (RFC, ICF), die Kennwörter übertragen oder ablegen

●      Zentrale Benutzerverwaltung, die Kennwort-Hash-Werte verteilt

Bei Verwendung nicht abwärtskompatibler Kennwörter ist die Kommunikation mit älteren Systemen (wobei das ältere System das neuere System ruft) bzw. die gemeinsame Nutzung einer Zentralen Benutzerverwaltung, die aus alten und neuen Systemen besteht, prinzipbedingt nicht mehr möglich (siehe Hinweis 792850).

Initialkennwort

Wenn Sie einen Benutzerstammsatz anlegen, müssen Sie ein Kennwort vergeben, das nicht nur den internen Anforderungen des SAP-Systems, sondern auch Ihren eigenen Vorgaben entspricht (siehe Kennwortregeln). Als Administrator brauchen Sie folgende Regeln nicht zu beachten:

●      Liste ungültiger Kennwörter oder Kennwortmuster in Tabelle USR40

●      Kennworthistorie, d. h. das Kennwort kann auch eines der letzten fünf vom Benutzer verwendeten Kennwörter sein

●      Mindestanzahl unterschiedlicher Zeichen zwischen altem und neuem Kennwort

Wenn sich der Benutzer zum ersten Mal am System anmeldet, muss er das Kennwort ändern. Dazu gibt er einmal das alte und anschließend zweimal das neue Kennwort ein. Dabei werden sämtliche von SAP und vom Administrator definierten Kennwortregeln geprüft.

Anmeldung mit Benutzerkennung und Kennwort

Um auf das SAP-System und die darin enthaltenen Daten zugreifen zu können, müssen sich die Benutzer am SAP-System anmelden. Dazu geben sie ihre Benutzerkennung und ihr Kennwort an. Beide Angaben sind unbedingt erforderlich. (Alternativ können Sie die Anmeldung mit Single Sign-On (BC-SEC) verwenden.)

Bevor dem Benutzer nach der Eingabe des Kennworts der Zugriff gewährt wird, überprüft das System,

...

       1.      ob der Benutzer ein Kennwort hat und ob er sich mit Kennwort-Anmeldung anmelden darf

       2.      ob der Benutzer gesperrt wurde und sich daher nicht anmelden darf:

○       Der Benutzerverwalter kann den Benutzer sperren und damit verhindern, dass dieser sich am System anmeldet. Weitere Informationen: Funktionen der Benutzerpflege im Abschnitt Sperren/Entsperren.

○       Wenn der Benutzer die zulässigen Anmeldeversuche überschreitet, wird ebenfalls eine Anmeldesperre (nur für die Kennwortanmeldung) gesetzt.

       3.      ob die Anmeldedaten des Benutzers (Kennwort, Benutzername und Mandant) korrekt sind

       4.      ob der Benutzer ein neues Kennwort festlegen muss (bei Initialkennwort, abgelaufenem Kennwort oder vom Administrator zurückgesetztem Kennwort)

Im Systemprofil können Sie die Gültigkeitsdauer der Kennwörter definieren. Im Standard sind Kennwörter unbegrenzt gültig.

Wurden Benutzerkennung und Kennwort korrekt eingegeben, zeigt das System im Menü unter System → Status das Datum und die Uhrzeit der letzten Anmeldung an. Auf diese Weise kann der Benutzer sicherstellen, dass keine fremden Anmeldeversuche unternommen wurden. Anmeldedatum und -uhrzeit können in Standardproduktivsystemen nicht geändert werden. Datum und Uhrzeit der Abmeldung werden nicht aufgezeichnet.

Kennwortprüfung

Kennwortprüfung bei kennwortbasierter Anmeldung

Bei jeder fehlgeschlagenen Kennwortprüfung setzt das System den Falschanmeldezähler für den betroffenen Benutzerstammsatz hoch. Wenn der Benutzer sein Kennwort ändert, überprüft das System zuerst das aktuelle Kennwort. Schlägt diese Prüfung fehl, setzt es den Falschanmeldezähler ebenfalls hoch.

Bei Überschreiten der durch Profilparameter login/fails_to_user_lock vorgegebenen Grenze für falsche Kennwörter wird der betroffene Benutzer gesperrt. Dieser Vorgang wird im Security Audit Log und zusätzlich im Syslog protokolliert. Bei gesetzter Sperre werden nachfolgende Kennwortprüfungen sofort abgebrochen (ohne eine Aussage über die Korrektheit des Kennworts zu liefern).

Die Sperre wird nach Ablauf des aktuellen Tags als ungültig angesehen. (Ausnahme: siehe Profilparameter login/failed_user_auto_unlock).

Der Falschanmeldezähler wird bei erfolgreicher Kennwortanmeldung oder Kennwortänderung wieder zurückgesetzt; auch dies wird im Security Audit Log protokolliert. Nicht-kennwortbasierte Anmeldungen wirken sich nicht auf den Falschanmeldezähler aus; aktive Anmeldesperren, d. h. Sperren, die der Administrator in Transaktion SU01 gesetzt hat, werden aber bei jeder Anmeldung oder Kennwortänderung beachtet.

Kennwortprüfung bei nicht kennwortbasierter Anmeldung

Wenn Sie SAP-GUI-Anmeldung verwenden, überprüft das System bei nicht-kennwortbasierten Anmeldevarianten (SSO: SNC, X.509, PAS, Anmeldeticket), ob der Benutzer ein Kennwort besitzt, das er ändern müsste.

Wenn Sie SAP-GUI-Anmeldung verwenden, kann der Administrator mit Profilparameter login/password_change_for_SSO und dessen Parametern verschiedene Dialogfenster anzeigen. Informationen dazu erhalten Sie in der Dokumentation des Profilparameters über Transaktion RZ11.

Anmeldefehler

Wenn der Benutzer das Kennwort nicht richtig eingegeben hat, kann er den Anmeldeversuch wiederholen. Unternimmt er weitere Anmeldeversuche mit einem falschen Kennwort, wird die SAP-GUI-Verbindung getrennt. Dies ist im Standard nach drei aufeinander folgenden Anmeldeversuchen mit einem falschen Kennwort der Fall. Mit Parameter login/fails_to_user_session_end können Sie angeben, wie viele Anmeldeversuche möglich sind, bevor die Verbindung getrennt wird (siehe Profilparameter zu Anmeldung und Kennwort (Login-Parameter)).

Der Benutzer kann den Anmeldeversuch so lange wiederholen, bis er eine gültige Benutzerkennung eingibt oder bis die Anzahl zulässiger Anmeldeversuche (Parameter login/fails_to_user_lock) erreicht ist. Nach SAP NetWeaver 6.40 unterscheidet das System zwischen Groß- und Kleinschreibung.

Die Sperre eines Benutzers aufgrund fehlerhafter Anmeldeversuche mit einem Kennwort ist nur am gleichen Tag gültig (siehe Parameter login/fails_user_auto_unlock); der Benutzeradministrator kann die Sperre jedoch auch schon zu einem früheren Zeitpunkt wieder aufheben.