In vielen Prüfungen und Projekten bei unseren Kunden haben wir festgestellt, dass die Einstellungen in der Transaktion SE97 in den SAP-Systemen nicht gepflegt werden. Dies stellt aus Berechtigungssicht eine Sicherheitslücke bei den Zugriffen der Mitarbeiter auf die Daten im SAP-System dar. Was darunter zu verstehen ist und wie man die Transaktion SE97 pflegt, erläutern wir in diesem Beitrag.
Die Transaktion SE97 (Transaktionsstartberechtigung beim CALL TRANSACTION pflegen) ist unter anderem für Entwickler und für Berechtigungsadministratoren im SAP-System gedacht, um Berechtigungsprüfungen in Eigenentwicklungen sowie Meldungen zu implementieren und einzustellen. Des Weiteren können Absprünge in weitere Transaktionen erlaubt werden, ohne die Start-Berechtigungsprüfung S_TCODE zu vergeben.
Zudem gestattet die Transaktion SE97 bei Start-Berechtigungsprüfungen über einen geschachtelten Aufruf, die Prüfung auf Berechtigungen ein- und ausschalten, sowie über den Meldungstyp Meldungen bei dem aufrufenden Benutzer erscheinen zu lassen. Informationen bezüglich der Einstellungsmöglichkeiten des Meldungstyps sind der folgenden Tabelle im unteren Bereich zu entnehmen.
Die Transaktion SE97 kann auch über den Report TASAUTH (Transaktionscode SA38 – Programm = TASAUTH) gestartet werden.
In der Tabelle TCDCOUPLES können die Transaktionspärchen einsehen werden, also die rufenden und gerufenen Transaktionen. Transaktionscodes, die nicht über die SE97 gepflegt sind und CALL TRANSACTION beinhalten, unterliegen keiner Berechtigungsprüfung. Daher ist zu prüfen, welche Einstellung in der SE97 diesbezüglich eingestellt ist.
Der obige Screenshot zeigt die Startmaske der Transaktion SE97. Im Auswahlfeld „Transaktion“ wird die „rufende“ Transaktion ausgewählt, zu der die Informationen der „gerufenen“ Transaktionen anzeigt werden sollen, und wählt dann oben links „Ausführen“ bzw. die Funktionstaste F8. Nach diesem Schritt wird eine Liste der gerufenen Transaktionen angezeigt:
In diesem Screenshot sehen wir die durch die Transaktion FB02 aufgerufenen Transaktionscodes.
Hier im Beispiel ist zu erkennen, dass für die Transaktion FBW4 eine Berechtigungsprüfung eingerichtet ist, wenn diese über die Transaktion FB02 aufgerufen wird (Wert JA in der Spalte Prüfkennzeichen). Setzt man den Wert auf „NEIN“ oder „N“ findet keine Berechtigungsprüfung auf die Transaktion statt und der Benutzer kann die Transaktion FBW4 über die Transaktion FB02 ohne Berechtigungsprüfung aufrufen.
Das Prüfkennzeichen besitzt zwei Einstellungen „JA“ und „NEIN“. Mit diesen Einstellungen besteht die Möglichkeit, Berechtigungsprüfungen der gerufenen Transaktionen ein- und auszuschalten.
Zusätzlich wird hier der Meldungstyp eingestellt. Folgende Einstellungen sind möglich:
Meldungstyp | Beschreibung |
I | Hier wird ein Informationstext angezeigt und die Aktion durchgeführt. |
E | Fehler, hier wird eine Fehlermeldung angezeigt und der Benutzer bleibt in der aufrufenden Transaktion. |
A | Abbruch, hier springt der Benutzer wieder in das SAP EasyAccess Menü zurück |
W, X | Warnung, hier wird dem Benutzer eine Fehlermeldung angezeigt und der Benutzer springt wieder in das SAP EasyAccess Menü zurück – dies ist die sicherste Reaktion des Systems. Daher wird der Wert X als Standardwert verwendet und empfohlen. |
Die Pflege der Transaktion SE97 ist unabdingbar, um ihre Transaktionsaufrufe im SAP-System bestmöglich zu schützen und Berechtigungsprüfungen zu implementieren. Die Funktion und die Prüfung der Pflege der Transaktion SE97 ist auch im Rahmen einer Prüfung der Eigenentwicklungen relevant. Hierbei ist zu berücksichtigen, dass Transaktionen, welche nicht über die SE97 gepflegt wurden, keiner Berechtigungsprüfung unterliegen.