Show TOC

Sicherheitsmaßnahmen für den MehrmandantenbetriebLocate this document in the navigation structure

Verwendung

Generell dürfen Benutzer und Berechtigungen nur vom Provider selbst und nicht von den Kunden angelegt und gepflegt werden.

Wenn wir uns auf die spezifischen Merkmale eines Mehrmandantenbetriebes gegenüber einem Einmandantenbetrieb konzentrieren, so stellt sich die Frage, welche Missbrauchsmöglichkeiten unter Nutzung der transaktionalen Oberfläche des SAP-Systems bestehen. Hierfür gilt die zuvor beschriebene implizite und automatische Eingrenzung aller Zugriffe auf jeweils den eigenen Mandanten an der Datenbankschnittstelle: Es ist nicht möglich, diese Eingrenzung durch Maßnahmen im Rahmen der Benutzungsoberflächen der SAP-Lösungen zu durchbrechen. Für den Bereich der transaktionalen Benutzungsoberfläche können Zugriffe auf Daten anderen Mandanten demnach zuverlässig ausgeschlossen werden.

Darüber hinaus stellt sich jedoch die Frage, wie Sicherheit auch auf Datenbankebene gewährleistet werden kann. Dazu muss sichergestellt werden, dass ein Benutzer, der sich am System anmeldet, tatsächlich nur SAP-Transaktionen aufrufen und nicht etwa auf die Services der Datenbank- und Betriebssystemebene durchgreifen kann. Dies ist kein spezifisches Problem des Mehrmandantenbetriebs; jedoch ist das Schadenspotenzial im Umfeld von Wettbewerbern, deren Daten in der gleichen Datenbank gespeichert sind, besonders hoch. Bei einer Einmandantenlösung ist zwar nach erfolgreichem Durchgriff auf Datenbank- oder Betriebssytemebene ebenfalls ein Zugriff auf Kundendaten möglich. Bei einer Vielzahl von Kunden ist aber der Aufwand aufgrund der getrennten Datenbanken wesentlich höher. ASP-Kunden dürfen daher grundsätzlich keine Zugriffsberechtigung für die Datenbank- und Betriebssystemebene erhalten. Der Zugang zu Datenbanken kann beispielsweise mit Hilfe der standardisierten Programmierschnittstelle ODBC (Open Database Connectivity) zuverlässig geregelt werden. Diese Sicherheitsvorkehrungen sind bereits als Standard der SAP-Lösungen enthalten.

Customizing und Entwicklung von Programmen sollten ausschließlich durch den Provider selbst erfolgen. Wenn Kunden dennoch Zugriff auf Entwicklungs- oder Testsysteme erhalten, muss durch ein detailliertes Berechtigungskonzept ausgeschlossen werden, dass sie selbst zusätzliche Berechtigungen auf dem Produktivsystem vergeben können. Darüber hinaus darf ein Kunde keine Programmierberechtigung erhalten, da er sonst beliebige Auswertungen für das Produktivsystem programmieren könnte. Möglichkeiten zur zusätzlichen Absicherung der Mehrmandantenfähigkeit in Bezug auf Modifikationen und Import zusätzlicher Programmobjekte sind unter Können Prüfung von Add-On Produkten auf Mehrmandantenfähigkeit erläutert.

Wie bei Einmandantensystemen gilt natürlich auch für Mehrmandantensysteme, dass im Produktivsystem keine Berechtigungen für Customizing und Entwicklung vergeben werden dürfen. Hiervon sind in der Regel die Mitarbeiter des Providers selbst betroffen. Als besonders kritisch sind in diesem Zusammenhang Berechtigungen zum Durchführen von Debugging-Transaktionen und Laufzeitanalysen zu bewerten. Auch der Zugriff auf externe Kommandos und Dateisysteme muss ausgeschlossen werden. Weitere Informationen zur Sicherheit von Produktivsystemen bietet der SAP-Sicherheitsleitfaden, der kostenlos über den SAP Service Marketplace erhältlich ist.

In einem ASP-Umfeld dürfte es eher seltener vorkommen, dass ein ASP-Kunde Zugriff auf seine Batch-Jobs haben soll. Wenn dies jedoch zutrifft, müssen Batch-Berechtigungen nur auf den einzelnen Mandanten beschränkt werden (Berechtigungsobjekt s_admi_fcd). Spool-Berechtigungen müssen so definiert werden, dass jedem Kunden exakt seine Drucker zugeordnet sind, damit Spoolaufträge nicht versehentlich auf fremden Druckern ausgedruckt werden. Zur leichteren Übersicht und Berechtigungsvergabe sollte der ASP eine geeignete Namenkonvention für Drucker wählen, etwa <client><id>. So kann mit dem Berechtigungsobjekt s_spo_dev der Zugriff für einen Mandanten auf die ihm zugeordneten Drucker einfach und zuverlässig eingeschränkt werden. Die Berechtigung bewirkt auch, dass über die Suchhilfe jedem Kunden nur jeweils seine Drucker angezeigt werden.