Prozessen
SPAM/SAINT – die in ABAP integrierten Update Tools
Wenn Sie alle die vorher beschriebenen Voraussetzungen erfüllt haben, können Sie beginnen, Ihr System auf die Verarbeitung digital signierter Hinweise vorzubereiten. Hierzu muss der SAP Hinweis mit der Nummer 2408073 eingespielt werden. Dieser besteht aus einigen Schritten zur manuellen Vorarbeit, einigen automatisch ausführbaren Aktivitäten sowie Schritten zur Nacharbeit des Hinweises. Es wird empfohlen, den Dateinamen nach dem Download nicht zu verändern. Der Hinweis 2408073 hat die Dateiendung „sar“ und wird zunächst mit SAPCAR entpackt. Darin befindet sich ein zip-Archiv. Die darin befindliche Textdatei kann mit der Transaktion SNOTE über den Hinweis-Upload in den Note Assistant geladen werden. Nach Abschluss dieser Schritte können Sie mit dem Einbau des Hinweises beginnen. Die einzelnen Schritte sind in im Hinweis selbst enthalten sowie in einem dem Hinweis angehängten Dokument ausführlich beschrieben. Deshalb werden im Folgenden nur einige besonders zu beachtende Punkte hervorgehoben. Beim Anlegen und Klick auf Speichern des „CWBDS“ Objektes erscheint ggf eine Meldung, die dazu auffordert ein Objekt aus dem zulässigen Namensraum zu wählen. Hier kann der Cursor im Objekt- Feld platziert und mit Enter bestätigt werden, dann erfolgt die Abfrage nach einem Transportauftrag. Bei dem Anlegen der Nachrichtentexte in der „SCWN“ Nachrichtenklasse ist es normal, dass nach dem Speichern der Änderungen mehrmals (so oft wie Nachrichten angelegt wurden) die Frage nach dem Transportauftrag bestätigt werden muss. Zusätzlich ist beim Anlegen der Nachrichtentexte zu beachten, dass die im Tutorial, welches dem Hinweis angehängt ist, bereitgestellten Texte auf Englisch vorhanden sind. Wenn Sie auf einem deutschen System arbeiten, sollten Sie die Texte beim Einpflegen entsprechend in die deutsche Sprache übersetzen. Die englischen Texte können anschließend im selben Fenster als Übersetzungen eingefügt werden. Hierzu wählen Sie „Springen -> Übersetzen“. Fazit Es ist ein unter Hackern beliebter Ansatz, Updates, die in der Regel Fehler beheben oder die Sicherheit erhöhen sollen, zum Einschleusen von Schadcode in das System zu nutzen.
Wenn mehrere SAP-Systeme auf einem Rechner betrieben werden, sollte bei Produktivsystemen eine feste Zuordnung der Ressourcen (CPU und Hauptspeicher) erfolgen. Eine »Überbuchung« der Ressourcen ist nicht zu empfehlen und für SAP-HANA-Szenarien sogar explizit ausgeschlossen (z. B. in SAP-Hinweis 1788665). In dieser Hinsicht sparen Sie also keine Ressourcen. Anders sieht die Situation bei nicht produktiven Systemen aus oder auch bei Produktivsystemen, die nur zu bestimmten Zeiten genutzt werden. Hier kommt eine Überbuchung durchaus infrage.
Verwaltungsinformationen
Beispielsweise arbeiten viele kundeneigene ABAP-Programme mit dem Uploaden oder Downloaden von Daten. Hier sind potentiell große Sicherheitslücken vorhanden, die Zugriff auf Serverdaten ermöglichen. Darüber hinaus ist der weit verbreitete direkte Aufruf von Betriebssystemkommandos, die nicht durch eine selbst programmierte Berechtigungsprüfung abgedeckt sind, ein großes Problem. Auch wenn die klassische SQL-Injection, also die Eingabe erweiterter SQL-Befehle, eine mögliche Sicherheitslücke ist, kommt sie in SAP-Systemen eher selten vor. Weiter verbreitet ist die ungewollte Dynamisierung von SQL-Aufrufen, weil Eingangsparameter nicht ausreichend geprüft werden. Die Notwendigkeit, alle Eigenentwicklungen auch intern auf solche Sicherheitslücken zu überprüfen bevor sie in den SAP-eigenen Code zur Auslieferung kommen, hat zur Entwicklung des Werkzeugs SAP Code Vulnerability Analyzer geführt.
Auch für Programme des SAP-Standards gibt es Hinweise zur Korrektur des Codings hinsichtlich einer Performanceverbesserung. Sie sollten sich im SAP Support Portal stets auf dem Laufenden halten, ob es aktuelle Fehlerkorrekturen oder empfohlene Modifikationen für Ihre wichtigsten Transaktionen gibt. Durchsuchen Sie dazu im SAP Support Portal bezüglich Ihrer performancekritischen Transaktionen mit dem Schlagwort »Performance« und dem betreffenden Transaktionscode Programm- oder Tabellennamen nach Hinweisen.
Mit "Shortcut for SAP Systems" steht ein Tool zur Verfügung, das einige Aufgaben im Bereich der SAP Basis erheblich erleichtert.
Es gibt Puffer, die Daten entweder zeitgesteuert oder bei Platzmangel aus dem Puffer verdrängen, andere tun das nicht.
Deshalb ist es ratsam, dass Sie den Zeichenvorrat der Benutzer-ID einschränken.