Sikov - stock.adobe.com

Datenschutz in SAP-Systemen mit Read Access Logging (RAL)

Datendiebstahl in SAP-Systemen lässt sich mit Read Access Logging vorbeugen. Der Beitrag zeigt, wie das funktioniert und auf was Administratoren achten müssen.

Read Access Logging (RAL), zu Deutsch Lesezugriffsprotokollierung, kann in SAP-Systemen den Zugriff auf Daten protokollieren. Dabei steht nicht das Ändern der Daten im Fokus. Für diesen Schutz gibt es andere Funktionen in SAP, zum Beispiel die Änderungsbelege.

Read Access Logging hat die Aufgabe, Datendiebstahl oder Datenmissbrauch zu verhindern, indem das System protokolliert, wer auf Daten zugreift. Mit RAL ist es möglich, präventiv Datendiebstahl zu verhindern. Die Konfiguration erfolgt über das Read Access Logging Framework. Dabei unterstützt RAL verschiedene Ebenen und Eingangskanäle für das Abfragen von Daten. RAL kann Zugriffe über die Benutzeroberfläche sowie Dienste-, Funktions- und Programmaufrufe überwachen.

RAL ersetzt dabei kein konfiguriertes Berechtigungskonzept. Es ist nur ein weiteres Werkzeug, um besonders sensible Daten umfassender zu überwachen. Im ersten Schritt zum Schutz sensibler Daten steht immer der Schutz über ein gut geplantes Berechtigungsmodell. Erst danach können Protokollierungsfunktionen wie RAL eine zusätzliche Basis für den Schutz schaffen.

Ob RAL zum Einsatz kommen kann, hängt davon ab, ob die Funktion in den eingesetzten SAP-Produkten zur Verfügung steht und aktiviert werden kann. Zum Einsatz kommt RAL in folgenden Produkten:

  • SAP NetWeaver 7.1 SP0
  • AS ABAP 7.51
  • Kernel 7.45 SP21 und höher
  • SAP_UI 7.51 (UI5 1.40)

Mehr zur Einrichtung und Verwendung der Funktionen ist auf der Seite Lesezugriffsprotokollierung im SAP Help Portal zu finden.

Überwachung verbessert den Datenschutz

Die Überwachung von Daten führt in der Regel zu einem höheren Datenschutz. Vor allem in SAP-Systemen kann es notwendig sein, für besseren Datenschutz den Zugriff auf bestimmte Daten zu überwachen. Das stellt sicher, dass nur berechtigte Anwender auf sensible Daten zugreifen, und deckt Berechtigungsfehler auf.

Abbildung 1: Konfigurieren der Lesezugriffsprotokollierung (RAL) mit einem Assistenten.
Abbildung 1: Konfigurieren der Lesezugriffsprotokollierung (RAL) mit einem Assistenten.

In vielen Fällen ist es vorgeschrieben, dass der sichere Zugriff auf Bankdaten oder andere sensible Informationen dadurch gewährleistet ist, dass der Lesezugriff überwacht wird. Ein weiteres Beispiel ist der Zugriff auf medizinische Daten. Natürlich ist es selten sinnvoll, alle Zugriffe auf ein SAP-System zu protokollieren.

Im Rahmen der EU-DSGVO müssen Unternehmen aber nachweisen können, wer auf personenbezogene Daten zugegriffen hat. Diese Informationen lassen sich mit dem Berechtigungsmodell nicht abdecken. Das ist eines der zentralen Gebiete von RAL. Hier lässt sich über Protokolle schnell herausfinden, welcher Benutzer zu welchem Zeitpunkt auf die Daten zugegriffen hat.

Für den richtigen Einsatz von RAL in SAP sollte zunächst geplant werden, bei welchen Daten der Lesezugriff mit RAL überwacht werden soll. Bei der Planung des Einsatzes von RAL sollte auch überprüft werden, ob der Einsatz von RAL nachgewiesen werden muss. Das gilt häufig bei der Überwachung von personenbezogenen Daten.

Beispiele für den Einsatz von RAL

Mit RAL kann nachgewiesen werden, wer Zugriff auf personenbezogene Daten hatte, zum Beispiel Bankdaten. Haben Anwender nach bestimmten Daten gesucht, die durch RAL geschützt sind? Das lässt sich mit RAL herausfinden. Auch Muster für wiederkehrende Suchen nach bestimmten Feldern lassen sich mit RAL nachvollziehen.

RAL ist in der Lage, RFC-basierte Kommunikation zu SAP-Systemen zu überwachen. Dazu gehören zum Beispiel sRFC, aRFC, tRFC, qRFC und bgRFC. Auch Web-Dynpro-basierte Benutzeroberflächen kann RAL überwachen, das gilt auch für Dynpro UI und ALV Grid-basierte-Elemente. Die komplette Webservicekommunikation kann an RAL angebunden werden.

Die Protokolle enthalten eine Übersicht der Zugriff auf die überwachten Datenfelder und den Benutzer, der auf die Daten zugegriffen hat. Auch der Zugriffsweg wird protokolliert. Dazu gehören auch Name des PCs, IP-Adresse und die Zeit des Zugriffs. Auf Anforderung lassen sich auch die Inhalte der Felder aufnehmen.

SAP Read Access Logging (Lesezugriffsprotokollierung)

Mit SAP Read Access Logging bietet SAP ein Bordmittel an, mit dem sich Lesezugriffe ohne Zusatz-Tool für einzelne Bereiche protokollieren lassen. Die Überwachung erfolgt mit Protokollierungsregeln und Aufbewahrungsrichtlinien. Zusätzlich steht die Möglichkeit zur Verfügung, mit einer API die Daten von externen Programmen auswerten zu lassen, zum Beispiel zur Thread-Analyse. Das kann auch automatisiert erfolgen. Administratoren können die Regeln für die Protokollierung und Aufbewahrung flexibel steuern.

Wichtig ist, dass bereits frühzeitig bei der Planung berücksichtigt wird, ob RAL lediglich den Zugriff auf die Daten protokollieren soll, oder auch die gelesenen Daten selbst. Handelt es sich dabei um sensible Daten, kann das für den Datenschutz relevant sein. Die Einstellungen sind an dieser Stelle flexibel, denn es ist möglich, die Protokollierung auf Ebene der Datenbank und auf Feldebene durchzuführen.

Enthalten bestimmte Felder personenbezogene Daten, deren Zugriff ein Unternehmen aufgrund der EU-DSGVO nachweisen muss, macht die Einbindung dieser Felder in RAL Sinn. Grundsätzlich ist es aber nicht sinnvoll, komplette Datenbanken oder Tabellen zu überwachen, sondern nur spezielle Felder zu definieren, die RAL protokollieren soll.

Das muss bei der Überwachung beachtet werden

Der Hauptgrund ist, dass die Protokollierung von Daten die Leistung der Server beeinflusst. Hinzu kommt, dass die Überwachung konfiguriert, überwacht und die erhaltenen Daten sicher gespeichert und analysiert werden müssen. Das verursacht Aufwand und geht auf Kosten der Performance. Aus diesem Grund sollte der Einsatz gut geplant werden.

RAL sollte daher ganz gezielt zum Einsatz kommen, und nur für Daten, bei denen die Überwachung ein Muss ist. In keinem Fall ist RAL ein Werkzeug für eine umfassende Überwachung aller Datenbanken und Felder. Neben der Belastung des Servers, durch eine umfassende Überwachung durch RAL, kommt auch die große Flut an Protokollen, die RAL erzeugt. Die Protokolle müssen gespeichert und analysiert werden. Umfassende Analysen von Protokollen dauern Zeit. Das zeigt, dass der Einsatz vom RAL gut definiert sein sollte.

Security Audit Log als Ersatz für SAP Read Access Logging

Geht es um die Überwachung von Daten, ist SAP Security Audit Log (SAL) eine Alternative zu RAL. Hier erfolgt ebenfalls eine Überwachung der Zugriffe. SAL hat die Aufgabe, gezielt einzelne Benutzer zu überwachen, während RAL die Überwachung sensibler Daten im Fokus hat. Ob SAL oder RAL zum Einsatz kommt, muss im Einzelfall entschieden werden.

SAL protokolliert den Zugriff bestimmter Benutzer auf die SAP-Systeme, während RAL den Lesezugriff auf bestimmte Daten protokolliert. Sowohl für SAL als auch für RAL gilt die maximale Einschränkung. Alle Benutzer mit SAL zu überwachen, macht genauso wenig Sinn, wie alle Daten mit RAL zu überwachen. RAL ist für die gezielte Überwachung von sensiblen Daten der beste Weg in SAP-Systemen.

Erfahren Sie mehr über Business-Software