Durch die Einführung offener Standards in das System ist SAP Forderungen nach einer besseren Integrationsmöglichkeit der Standardsoftware in firmenübergreifende Szenarien nachgekommen. Mit der Auslieferung des aktuellen Release 4.7 sind Schnittstellenspezifikationen wie HTTP, Soap, WSDL und XML Bestandteil der Software geworden. Neue Schnittstellen schaffen aber auch neue Sicherheistlücken. Hier ist beispielsweise der HTTP-Service "/public/info" zu nennen, der es externen Angreifern erlaubt, sensible technische Informationen des SAP-Servers via Web-Browser abzufragen.

Natürlich soll nicht jeder Anwender alle Daten im System sehen und ändern dürfen. Deshalb bietet R/3 ein mächtiges, leider aber auch kompliziertes Berechtigungssystem, welches auf Transaktionsebene oder programmgesteuert die Freigaben abfragt. Es benutzt dazu Profile, die dem einzelnen Mitarbeiter zugeordnet werden. Damit ist bei professioneller Einrichtung und ständiger Pflege prinzipiell ein starker Schutz der Unternehmensdaten auf R/3-Ebene möglich.

Wichtig: Berechtigungen regeln

Firmen investieren viel Geld in die Einführung spezieller Tools zur User- und Berechtigungsverwaltung und versuchen damit, ihre Umgebungen abzusichern. Anzuführen wären hier zum Beispiel Novells "eDirectory" sowie IBMs "Tivoli Identity Manager". Der Einsatz solcher Systeme vereinfacht sicher die systemübergreifende Verwaltung der Logon-Daten eines Users. Die komplexe Berechtigungspflege muss aber weiterhin in der SAP-Software selbst betrieben werden.