Computer-Software

SU53 in SAP: Wenn Rot nicht immer Rot bedeutet

Posted on by Wilhelm von Hohenberg

Su53 ist ein Werkzeug in SAP, das oft missverstanden wird. Während es für schnelle Überprüfungen nützlich sein kann, erzählt es nicht immer die ganze Geschichte. Manchmal sind die als “fehlende Berechtigungen” angezeigten roten Linien lediglich Fehlalarme – harmlose interne Prüfungen, die SAP automatisch durchführt, auch wenn der Benutzer die entsprechende Berechtigung nicht wirklich benötigt. Das automatische Hinzufügen von Berechtigungen, nur weil SU53 sie anzeigt, kann zu übermäßigen Berechtigungen, Prüfungsproblemen und Sicherheitsrisiken führen. Es ist an der Zeit zu verstehen, was wirklich hinter den roten Markierungen steckt.

Das Problem: Nicht jede rote Linie in SU53 ist ein echtes Problem

Wenn Benutzer über Fehler berichten, öffnen viele Teams das SU53-Tool und finden Meldungen wie:

Fehlendes Autorisierungsobjekt: S_ALV_LAYO
Aktivität: 23 (Pflegen)

Obwohl die eigentliche Transaktion (z. B. ME2N oder FB03) einwandfrei funktioniert, fügen einige Teams diese Berechtigung vorsichtshalber hinzu, was die Sicherheit schwächt. Die Wahrheit ist, dass nicht jede rote Linie in SU53 ein echtes Problem darstellt. Einige sind Fehlalarme – harmlose Prüfungen, die SAP systembedingt durchführt, ohne dass der Benutzer diese Berechtigung tatsächlich benötigt.

Häufige “Fehlalarme” in SU53 und ihre Ursachen

1. S_ALV_LAYO – Verwaltung von ALV-Layouts

Ein Benutzer führt eine Transaktion wie ME2N (Bestellungen nach Lieferant) aus, und SU53 zeigt S_ALV_LAYO als fehlend an.

  • Warum es passiert: Jede ALV-basierte (SAP List Viewer) Berichtsmaske ruft automatisch S_ALV_LAYO auf, wenn Layouts geladen oder gespeichert werden – selbst wenn der Benutzer nie versucht, ein Layout zu speichern.
  • Auswirkungen: Obwohl die Autorisierungsprüfung fehlschlägt, läuft die Transaktion normal weiter.
  • Warum nicht zuweisen: Die Zuweisung von S_ALV_LAYO mit weitreichenden Aktivitäten (z. B. 23 – Pflegen) ermöglicht es Benutzern, globale Layouts zu überschreiben oder zu löschen, was die Konsistenz der Berichterstattung beeinträchtigen kann.
  • Besserer Ansatz: Lassen Sie dieses Objekt ungenutzt. Wenn Benutzer Layouts speichern müssen, sollten dies lokale Layouts sein.
Weiterlesen >>  Excel Crashkurs: Dein schneller Einstieg in die Welt von Microsoft Excel

2. S_GUI – Zugriff auf lokale Dateien

Ein Benutzer exportiert einen Bericht nach Excel oder klickt auf “Herunterladen”, bricht jedoch den Speicherdialog ab. SU53 zeigt dennoch S_GUI an.

  • Warum es passiert: Funktionsbausteine wie GUI_DOWNLOAD und CL_GUI_FRONTEND_SERVICES=>FILE_SAVE_DIALOG führen eine Prüfung gegen S_GUI durch, unabhängig davon, ob der Vorgang erfolgreich abgeschlossen wird oder nicht.
  • Warum nicht zuweisen: Die Zuweisung von S_GUI ermöglicht uneingeschränkte Datei-Uploads und -Downloads vom SAP GUI aus, was ein erhebliches Risiko für die Datenexfiltration darstellt. Benutzer könnten vertrauliche Tabellen auf lokale Laufwerke exportieren oder nicht verifizierte Dateien importieren.
  • Besserer Ansatz: Ermöglichen Sie Exporte nur über kontrollierte Fiori- oder ALV-Schnittstellen. Für GUI-Benutzer sollten die bestehenden ALV-Download-Funktionen ausreichen, da diese S_GUI nicht erfordern.

3. S_TCODE – Prüfung des Transaktionscodes

Ein Benutzer führt einen Z-Bericht aus, der intern eine andere Transaktion aufruft (z. B. über CALL TRANSACTION ‘FB03’). SU53 zeigt fehlendes S_TCODE für diese Transaktion an, obwohl der Hauptprozess funktioniert.

  • Warum es passiert: SAP prüft S_TCODE jedes Mal, wenn eine Transaktion gestartet wird – auch wenn es sich um eine Hintergrund- oder sekundäre Prüfung handelt.
  • Warum nicht zuweisen: Die Zuweisung von zufälligen Transaktionscodes zur Behebung von SU53-Warnungen kann unbeabsichtigt sensible Transaktionen freigeben. Beispielsweise könnte die Autorisierung von FB03 indirekt den Zugriff auf Buchhaltungsbelege außerhalb des Geschäftsbereichs eines Benutzers ermöglichen.
  • Besserer Ansatz: Autorisieren Sie nur die Transaktionen, die Geschäftsanwender tatsächlich direkt ausführen sollen.

4. S_ADMI_FCD – Administrative Funktionscodes

Ein Logistikbenutzer führt VL03N aus, und SU53 meldet fehlendes S_ADMI_FCD mit dem Wert STOR.

  • Warum es passiert: Viele Standard-Funktionsbausteine führen eine “Admin-Prüfung” durch, um zu entscheiden, ob erweiterte Funktionen oder zusätzliche Schaltflächen aktiviert werden sollen (z. B. System-Traces, Speicheroptionen).
  • Warum nicht zuweisen: S_ADMI_FCD schaltet interne Basis-/Admin-Funktionen frei, die nicht für Endbenutzer bestimmt sind – z. B. SPOO (Spool-Administration), STOR (Speichermanagement), SCPR (Customizing). Diese können das Systemverhalten, Spool-Ausgaben oder Customizing-Inhalte modifizieren.
  • Besserer Ansatz: Ignorieren Sie diese Prüfung, es sei denn, der Benutzer führt tatsächlich Systemadministrationsaufgaben aus.

5. S_TABU_DIS / S_TABU_NAM – Tabellenwartungsprüfungen

Ein Finanzbenutzer führt FB03 (Beleganzeige) aus, und SU53 zeigt S_TABU_DIS für die Tabelle V_T001 an.

  • Warum es passiert: SAP führt eine generische Prüfung für Konfigurationstabellen durch, selbst wenn das Lesen intern von der Transaktion gehandhabt wird.
  • Warum nicht zuweisen: Diese Objekte steuern die Tabellenwartung und den Zugriff über SM30. Die Zuweisung gewährt direkten Lese- (oder Änderungs-) Zugriff auf Konfigurationstabellen – ein ernstes Risiko für die Funktionstrennung (SoD).
  • Besserer Ansatz: Lassen Sie diese ungenutzt, es sei denn, der Benutzer wartet Customizing über SM30/SM31.
Weiterlesen >>  Schloss Nymphenburg: Ihr Leitfaden für einen unvergesslichen Besuch in München

6. S_BTCH_JOB / S_BTCH_ADM – Steuerung von Hintergrundjobs

Ein Power-User führt SM37 aus, um seine eigenen Hintergrundjobs anzuzeigen. SU53 zeigt S_BTCH_ADM an.

  • Warum es passiert: SM37 führt intern immer Admin-Level-Prüfungen durch, um zu entscheiden, ob “Alle Jobs” angezeigt werden sollen. Selbst wenn der Benutzer nur seine eigenen Jobs anzeigt, wird die Prüfung trotzdem ausgelöst.
  • Warum nicht zuweisen: Die Zuweisung von S_BTCH_ADM=Y erlaubt dem Benutzer, alle Jobs im System anzuzeigen, abzubrechen und zu ändern – einschließlich systemkritischer Jobs.
  • Besserer Ansatz: Ignorieren Sie SU53 hier; solange der Benutzer seine eigenen Jobs sehen kann, gibt es kein Problem.

7. S_RFC – Autorisierung für Remote Function Call

Ein Benutzer führt einen Prozess aus, der eine RFC-Destination aufruft (z. B. RFC_PING). SU53 markiert fehlendes S_RFC.

  • Warum es passiert: Jede Prüfung eines RFC-gesteuerten Funktionsbausteins erfolgt lokal, bevor überprüft wird, ob die Destination vertrauenswürdig ist oder nicht.
  • Warum nicht zuweisen: Die Zuweisung von Wildcards wie S_RFC: RFC_TYPE=* oder RFC_NAME=* setzt das System unautorisierten Remote-Aufrufen und systemübergreifenden Exploits aus.
  • Besserer Ansatz: Überprüfen Sie, ob der RFC vertrauenswürdig ist oder mit einem Systembenutzer ausgeführt wird – in der Regel ist keine Endbenutzer-Autorisierung erforderlich.

8. S_DEVELOP – Zugriff auf Entwicklungsobjekte

Ein Benutzer öffnet einen Berichts-Variantenbildschirm, und SU53 zeigt fehlendes S_DEVELOP an.

  • Warum es passiert: Der Bericht ruft Metadaten aus dem ABAP Dictionary ab, was eine Autorisierungsprüfung für S_DEVELOP durchführt. Dies ist eine reine Informationsprüfung, kein Ausführungsblocker.
  • Warum nicht zuweisen: S_DEVELOP gewährt Zugriff auf ABAP-Entwicklungswerkzeuge (SE38, SE80) – was Benutzern die Möglichkeit gibt, Programme zu bearbeiten oder zu debuggen. Dies stellt eine massive Verletzung der Funktionstrennung (SoD) dar.
  • Besserer Ansatz: Weisen Sie dies niemals in der Produktion zu. Entwickler sollten dies nur in Entwicklungssystemen haben.

9. S_SPO_ACT / S_SPO_DEV – Spool- und Druckberechtigungen

Ein Benutzer zeigt einen Bericht an, druckt ihn aber nicht. SU53 markiert fehlendes S_SPO_ACT.

  • Warum es passiert: SAP führt Spool-Prüfungen für jeden Bericht durch, der gedruckt werden könnte – auch wenn der Benutzer nie “Drucken” auswählt.
  • Warum nicht zuweisen: Diese Berechtigungen erlauben die Manipulation von Spool-Ausgaben (Löschen, Umleiten oder Ändern von Druckergebnissen). Ein böswilliger Benutzer könnte Audit-Protokolle löschen oder vertrauliche Ausdrucke umleiten.
  • Besserer Ansatz: Ignorieren Sie dies, es sei denn, die Druckausgabe schlägt tatsächlich fehl.
Weiterlesen >>  Designvorlagen für InDesign: Der ultimative Vergleich mit Canva und professionelle Tipps

10. S_USER_GRP / S_USER_AUT – Benutzeradministrationsprüfungen

Ein HR-Benutzer führt einen Bericht aus, der Mitarbeiternamen anzeigt. SU53 zeigt fehlendes S_USER_GRP an.

  • Warum es passiert: SAP prüft die Benutzergruppenzuweisungen intern, wenn Stammdaten von Benutzern gelesen werden – selbst wenn der Benutzer keine Benutzer verwaltet.
  • Warum nicht zuweisen: Die Zuweisung dieser Berechtigungen öffnet die Benutzerstammdatenverwaltung (SU01, SUIM) und verletzt die Prinzipien der Funktionstrennung (SoD).
  • Besserer Ansatz: Ignorieren Sie dies, es sei denn, der Benutzer ist Teil der Sicherheitsadministration.

Warum Sie SU53 nicht einfach durch Zuweisung aller Berechtigungen “reparieren” sollten

Das naive Hinzufügen von Berechtigungen basierend auf SU53-Meldungen birgt erhebliche Risiken:

  • Sicherheitslücken: Unnötige Berechtigungen können von Angreifern ausgenutzt werden.
  • Compliance-Probleme: Überhöhte Berechtigungen führen zu Prüfungsmängeln und können gegen Compliance-Vorschriften verstoßen.
  • Datenintegrität: Änderungen an kritischen Daten oder Einstellungen können unbeabsichtigt erfolgen.
  • Betriebsstabilität: Falsch zugewiesene Berechtigungen können zu unerwarteten Systemverhalten führen.

Checkliste für Best Practices

  1. Funktionalität prüfen: Verifizieren Sie immer, ob die gemeldete “fehlende” Prüfung die Funktionalität tatsächlich blockiert.
  2. STAUTHTRACE nutzen: Verwenden Sie STAUTHTRACE, um alle Prüfungen zu sehen – nicht nur die letzte Meldung von SU53.
  3. Support schulen: Bringen Sie Support-Teams bei: “Rot in SU53 ≠ Fehlende Berechtigung”.
  4. Wichtige Objekte meiden: Weisen Sie niemals S_ALV_LAYO, S_GUI, S_BTCH_ADM, S_DEVELOP usw. Endbenutzern zu, es sei denn, es gibt einen klaren Geschäftszweck.
  5. Bekannte Fehlalarme dokumentieren: Erstellen Sie eine Whitelist für bekannte, harmlose Prüfungen in Ihren Support-Prozessen (SOP).

Abschließende Worte

SU53 lügt nicht – aber es erzählt nicht immer die ganze Wahrheit. Viele als “fehlend” gemeldete Berechtigungen sind lediglich technisches Rauschen von SAPs internen Prüfungen. Ein guter Sicherheitsanalyst weiß, wie man echte Lücken von Fehlalarmen trennt und das System sicher hält, ohne das Geschäft zu beeinträchtigen. Wenn Sie das nächste Mal einen SU53-Screenshot erhalten, eilen Sie nicht zur Zuweisung von Berechtigungen. Halten Sie inne, denken Sie nach – und konsultieren Sie zuerst diesen Artikel.