S_TABU_DIS Berechtigungen: Relikt mit Risiko

Gastbeitrag von Daniel Mattke von WTRKNT

W

TRKNT

Was ist S_TABU_DIS in SAP und wie funktioniert es?

S_TABU_DIS gehört zu den ältesten SAP-Berechtigungsobjekten. Es steuert den Zugriff auf Tabelleninhalte über Tabellenberechtigungsgruppen, die in TDDAT gepflegt werden. Dabei werden sowohl die Aktivität (ACTVT) als auch die Gruppenzuordnung der Tabelle geprüft. In vielen Transaktionen erfolgt die Prüfung über VIEW_AUTHORITY_CHECK.

Ursprünglich wurde dabei zuerst S_TABU_DIS geprüft, während S_TABU_NAM nur im Anschluss für eine Einzeltabellenprüfung herangezogen wurde. In neueren Releases ist die Reihenfolge teils verändert, weshalb Unternehmen ihre Berechtigungskonzepte regelmäßig überprüfen sollten.

Warum S_TABU_DIS ein Risiko für SAP-Sicherheit darstellt

In den 1990er-Jahren war S_TABU_DIS ein praktisches Werkzeug, denn es vereinfachte den Rollenbau und hielt die Performance stabil. Heute sind die Anforderungen an Sicherheit und Compliance deutlich höher. Die Grobkörnigkeit des Objekts führt dazu, dass Berechtigungen überdimensioniert vergeben werden. Wer Zugriff auf eine Gruppe erhält, bekommt oft ungewollt Einsicht in viele weitere Tabellen derselben Gruppe.

Das widerspricht dem Prinzip „Least Privilege“ und macht die Kontrolle kompliziert. Besonders deutlich wird das an der Gruppe MA, die in vielen Systemen über 600 Tabellen umfasst: Weit mehr, als ein einzelner Anwender benötigt.

Kritische Beispiele: USR02, SPWD und &NC&

Ein besonders heikler Fall ist die Tabelle USR02. Dort sind Benutzerstammdaten und Passwort-Hash-Werte gespeichert. In vielen Systemen ist sie Teil der Gruppe SPWD, die weitere sicherheitsrelevante Tabellen wie USH02 enthält. Wer hier über S_TABU_DIS zu breit berechtigt wird, kann vertrauliche Informationen einsehen oder Manipulationen an der Benutzerverwaltung vornehmen.

Auch im Finanzwesen können unpassende Berechtigungen fatale Folgen haben. Änderungen in der Tabelle T030, die für die Kontenfindung verantwortlich ist, wirken sich direkt auf Buchungen und Bilanzen aus.

Besondere Aufmerksamkeit verdient zudem die Gruppe &NC&. Sie ist das Auffangnetz für alle Tabellen, die keiner spezifischen Gruppe zugeordnet sind. Wird sie über S_TABU_DIS freigegeben, entsteht auf einen Schlag Zugriff auf tausende unklassifizierte Tabellen. Das ist eine Konstellation, die in einem Produktivsystem nichts zu suchen hat.

Transparenzprobleme und Audit-Relevanz

Ein zentrales Problem liegt in der fehlenden Nachvollziehbarkeit. Für Administratoren ist es oft schwer zu erkennen, welche Tabellen zu welcher Gruppe gehören. Zusätzlich ändern sich Gruppenzuordnungen zwischen Releases. Was heute harmlos wirkt, kann morgen hochsensibel sein. Genau diese Intransparenz führt dazu, dass S_TABU_DIS regelmäßig in Auditberichten auftaucht.

Abhilfe schaffen die Bordmittel TDDAT und STDDAT. Während TDDAT die Zuordnung der Tabellen zeigt, ermöglicht STDDAT einen Konsistenzcheck und den Vergleich mit SAP-Referenzen. Mit dem Report SUSR_TABLES_WITH_AUTH lässt sich zudem nachvollziehen, welche Rollen und Benutzer über S_TABU_DIS oder S_TABU_NAM Zugriff auf bestimmte Tabellen haben.

S_TABU_NAM als Alternative zu S_TABU_DIS

SAP hat längst reagiert und mit S_TABU_NAM eine feingranulare Alternative bereitgestellt. Damit lassen sich Berechtigungen für einzelne Tabellen vergeben. Der Rollenbau wird dadurch zwar aufwendiger, dafür aber wesentlich transparenter und auditfreundlicher. Ergänzend existieren S_TABU_CLI für mandantenübergreifende Tabellenpflege und S_TABU_LIN für Einschränkungen auf Zeilenebene anhand organisatorischer Kriterien.

Auch die technologische Entwicklung zeigt eine klare Richtung. In S/4HANA sind viele Szenarien, die früher über generische Tabellenpflege abgebildet wurden, heute in Fiori-Apps umgesetzt, die ihre eigenen Berechtigungsprüfungen mitbringen. Der generische Tabellenzugriff verliert dadurch an Bedeutung, S_TABU_DIS wirkt immer mehr wie ein Relikt vergangener Tage.

Praktische Best Practices für SAP Tabellenberechtigungen

Im praktischen Alltag ist es entscheidend, &NC& konsequent aus Produktivsystemen herauszuhalten und unklassifizierte Tabellen gezielt zuzuordnen. Sensible Tabellen sollten nur in eng definierten Rollen angezeigt werden, Änderungen sind ausschließlich Administratoren vorbehalten.

Fachliche Anforderungen auf einzelne Tabellen lassen sich sicher über S_TABU_NAM umsetzen, nicht über breite Gruppen. Auch Standardgruppen wie SC oder SS sollten nur nach genauer Prüfung eingesetzt werden. Regelmäßige Analysen mit TDDAT und STDDAT sowie Auswertungen mit SUSR_TABLES_WITH_AUTH sorgen für Transparenz und bereiten optimal auf Audits vor.

Fazit: Warum moderne SAP-Berechtigungskonzepte ohne S_TABU_DIS auskommen sollten

S_TABU_DIS war einmal nützlich, ist heute aber ein Risikofaktor. Wer SAP-Sicherheit und Compliance ernst nimmt, setzt auf S_TABU_NAM, verzichtet auf &NC&, hält Gruppen schlank und prüft Tabellenzuordnungen regelmäßig. Für Entscheider ist klar: S_TABU_DIS ist kein technisches Detail, sondern ein Compliance-Risiko, das im Audit sofort sichtbar wird.

Unterstützung bei SAP-Berechtigungen und Compliance

Die Analyse und Bereinigung von Berechtigungsobjekten wie S_TABU_DIS erfordert Erfahrung, tiefes Detailwissen und ein Verständnis für regulatorische Anforderungen. Oft ist das Vorhandensein von S_TABU_DIS in den vergebenen Berechtigungen ein Indikator für ein durch die Jahre überwucherndes Berechtigungskonzept.

Benötigen Sie Unterstützung? Nehmen Sie gerne Kontakt mit uns auf.