Bundesamt für Sicherheit in der Informationstechnik

B 5.13 SAP System

Logo SAP System

Beschreibung

SAP Systeme werden in Unternehmen und Behörden eingesetzt, um interne und externe Unternehmens- bzw. Behörden- und Geschäftsabläufe zu automatisieren und technisch zu unterstützen (Enterprise Resource Planning, ERP). Ein SAP System verarbeitet daher typischerweise vertrauliche Daten, so dass ein entsprechender Schutz aller Systemkomponenten und Daten gewährleistet und das Schutzniveau an die Gefährdungslage angepasst werden muss. Daneben spielen auch Integrität und Verfügbarkeit eine wichtige Rolle.

SAP bietet eine umfangreiche Palette an Systemen, Komponenten und Funktionen an, so dass mit dem Begriff "SAP System" nicht eindeutig eine bestimmte Installation oder Gruppe von Komponenten gekennzeichnet werden kann. Im Rahmen dieses Bausteines kann nicht auf alle verfügbaren SAP Produkte eingegangen werden, die Darstellung beschränkt sich daher auf eine typische und in der Praxis häufig anzutreffende Kerninstallation.

Ein Beispiel für ein typisches SAP System ist ein mySAP ERP System, früher SAP R/3 genannt, mit den Enterprise Core Components Human Capital Management (HCM), Finanzen & Controlling (FI/CO), Material Management (MM), Verkauf & Vertrieb (SD), Logistik (PP), Projektmanagement (PS) und Qualitätsmanagement (QM). Als Kernkomponente fungiert hier der so genannte SAP NetWeaver ApplicationServer (ehemals SAP Web Application Server). Weitere Bestandteile der aktuellen NetWeaver-Plattform (derzeit NetWeaver 04) sind SAP XI als Daten-Integrationsplattform zwischen einzelnen SAP Systemen und auch zwischen SAP und Nicht-SAP Systemen sowie das SAP Enterprise Portal als Integrationsplattform für Anwendungen und Anwender. Auch diese beiden Bestandteile werden auf dem SAP NetWeaver ApplicationServer ausgeführt.

Ein kurzer Überblick über SAP Systeme und wichtige Fachbegriffe aus dem SAP Umfeld finden sich in der Maßnahme M 3.53 Einführung in SAP Systeme .

Die Gefährdungen und Maßnahmen dieses Bausteines orientieren sich hauptsächlich am SAP NetWeaver ApplicationServer, der vorrangigen technischen Basiskomponente der NetWeaver Plattform. Da auch diese Basiskomponente bereits in mehreren Versionen vorliegt und sich diese in den angebotenen Funktionen unterscheiden, wird bewusst auf die Darstellung versionsbezogener Unterschiede verzichtet. Auf diese Weise wird erreicht, dass der Baustein über längere Zeit angewendet werden kann und auch für bestehende SAP R/3 Systeme eingesetzt werden kann. Im Fokus der Maßnahmen und Gefährdungen steht dabei die Grundabsicherung eines SAP Systems auf Ebene der so genannten Basis-Administration. Die applikations- oder modulbezogene (z. B. HCM, FI) Absicherung ist nicht Teil dieses Bausteines. Da viele Applikationen und Module jedoch die Sicherheitsmechanismen der Basiskomponente nutzen, können die angegebenen Maßnahmen auch hier mit entsprechenden Anpassungen angewendet werden.

Ziel des Bausteines ist nicht, die bestehende, umfangreiche Dokumentation von SAP zu reproduzieren, sondern empfohlene sicherheitsrelevante Vorgehensweisen und beachtenswerte Besonderheiten darzustellen. Ansonsten kann auf die existierende SAP Dokumentation verwiesen werden, die detaillierte technische Darstellungen enthält. Die relevanten SAP Dokumentationen sind zentral in M 2.346 Nutzung der SAP Dokumentation zusammengestellt. IT-Sicherheitsbeauftragten und Administratoren hilft der Baustein nicht nur bei der Planung des SAP Einsatzes, er nennt auch die wichtigsten technischen Aspekte, die auch Sicht der Informationssicherheit zu beachten sind.

Gefährdungslage

Der vorliegende Baustein behandelt Gefährdungen der SAP NetWeaver Basiskomponente SAP NetWeaver ApplicationServer, die im Rahmen der so genannten Basisadministration dieser Komponente in Intranet- und Internet-Szenarien relevant sind.

Generell hängt die Gefährdungslage von SAP Systemen vom Einsatzszenario ab. Ein SAP System in einem isolierten Behörden- oder Unternehmensnetz ist in der Regel weniger gefährdet als ein System, das an das Internet angeschlossen ist. Aber auch in internen Netzen kann mangelnder Schutz auf Netz- oder SAP System-Ebene dazu führen, dass unberechtigte Zugriffsmöglichkeiten bestehen. Dann spielt es eine Rolle, ob auf Daten nur lesend zugegriffen werden kann oder ob die Daten auch verändert werden können. Dies ist generell für Behörden und Unternehmen kritisch und wird beispielsweise auch bei Prüfungen untersucht, die auf dem Sarbanes Oxley Act basieren. In diesem Kontext sind speziell die Probleme unzureichender Berechtigungen und fehlender Funktionstrennung relevant.

Gerade durch den Einsatz von Web-Technologien, wie HTTP-basierten Zugriffsmöglichkeiten und Web-Applikationen mit Internet-Anbindung, hat sich die Gefährdungslage von SAP Systemen stark erhöht. Aufgrund der öffentlichen Netzanbindung von SAP Systemen ergeben sich daher in Folge von unsachgemäßer oder fehlerhafter Konfiguration wesentlich stärkere Gefährdungen. Dies gilt auch für fehlende oder unvollständig etablierte Prozesse, insbesondere in Outsourcing-Szenarien.

Höhere Gewalt

G 1.1 Personalausfall

Organisatorische Mängel

G 2.7 Unerlaubte Ausübung von Rechten
G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen
G 2.108 Fehlende oder unzureichende Planung des SAP Einsatzes

Menschliche Fehlhandlungen

G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.7 Abhören von Leitungen
G 5.9 Unberechtigte IT-Nutzung
G 5.21 Trojanische Pferde
G 5.23 Schadprogramme
G 5.128 Unberechtigter Zugriff auf Daten durch Einbringen von Code in ein SAP System

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für den erfolgreichen Aufbau eines SAP Systems sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der strategischen Entscheidung, über Planung, Konzeption und Installation bis zum Betrieb. Nicht vergessen werden darf dabei die ordnungsgemäße Aussonderung eines Systems, wenn das Ende der Betriebsphase erreicht wird.

Parallel zur Betriebsphase muss die Notfallvorsorge sicherstellen, dass der Betrieb auch im Notfall aufrecht erhalten werden kann. Informationssicherheitsmanagement und Revision stellen sicher, dass das Regelwerk auch eingehalten wird.

Die Schritte, die dabei zu durchlaufen sind sowie die Maßnahmen, die in den jeweiligen Phasen beachtet werden sollten, sind im Folgenden aufgeführt:

Planungs- und Konzeptionsphase

Ist die Entscheidung für ein SAP System gefallen, muss der Einsatz des SAP Systems geplant und konzipiert werden. Die dabei zu berücksichtigenden Aspekte sind in der Maßnahme M 2.341 Planung des SAP Einsatzes zusammengefasst. Wichtig ist dabei, wie die Berechtigungen für die Benutzer eines SAP Systems geplant werden. Die dabei relevanten Themen sind in der Maßnahme M 2.342 Planung von SAP Berechtigungen enthalten. Es ist zu bedenken, dass die Sicherheit eines SAP Systems bereits in der Planungs- und Konzeptionsphase entscheidend beeinflusst werden kann, indem sicherheitsrelevante Aspekte berücksichtigt werden. Maßnahmen für die SAP spezifische Benutzerschulung finden sich in M 3.52 Schulung zu SAP Systemen , da ausreichende Kenntnisse bei Benutzern und Administratoren von SAP Systemen die Sicherheit beeinflussen.

Besondere Aufmerksamkeit ist der Planung der Sicherheit in solchen Szenarien zu widmen, in denen SAP Systeme einer besonderen Gefährdung ausgesetzt sind. Dabei kann es sich um typische Internet-Szenarien handeln, so dass die Empfehlungen der Maßnahme M 2.344 Sicherer Betrieb von SAP Systemen im Internet umgesetzt werden müssen. Es kann sich aber auch um Intranet-Szenarien handeln, beispielsweise wenn ein SAP System von einem Behörden- oder Unternehmensportal aus angesprochen werden soll. Hier werden dann die Empfehlungen der Maßnahme M 2.343 Absicherung eines SAP Systems im Portal-Szenario relevant. Ein häufiges Szenario, das mit spezifischen Gefährdungen verbunden ist, ist das Outsourcing eines SAP Systems, denn hier erfolgen Konfiguration und Administration durch behörden- oder unternehmensfremde Personen. Für diesen Fall finden sich Hinweise und Empfehlungen in der Maßnahme M 2.345 Outsourcing eines SAP Systems .

Umsetzungsphase

Nachdem die organisatorischen und planerischen Vorarbeiten durchgeführt worden sind, kann die Installation eines SAP Systems erfolgen. Dabei ist die Maßnahme M 4.256 Sichere Installation von SAP Systemen zu beachten.

Die reine Installation eines SAP Systems stellt nur einen geringen Anteil der Arbeiten dar, die in der Umsetzungsphase durchzuführen sind. Der überwiegende Arbeitsaufwand fällt nach der Installation durch die Erstkonfiguration des SAP Systems an. Durch die erste Konfiguration werden die Grundsicherheit bei der Betriebsaufnahme und die Rahmenbedingungen für die zukünftige Sicherheit des SAP Systems festgelegt und definiert. Daher sind in der Umsetzungsphase folgende Aspekte zu berücksichtigen:

Die Erstkonfiguration ist sowohl für den ABAP -Stack als auch für den Java-Stack erforderlich. Es sind insbesondere Situationen zu vermeiden, in denen einer der beiden Stacks unkonfiguriert bleibt, da er nicht genutzt wird. Die entsprechenden Empfehlungen finden sich in folgenden Maßnahmen:

Kern eines jeden SAP Systems ist die Datenbank und die darin gehaltenen Tabellen mit den Daten. Die Datenbank speichert nicht nur die Geschäftsdaten einer Behörden oder Unternehmens, sondern auch die internen Funktionen und Verwaltungsinformationen des SAP Systems. Sicherheitsprobleme im Bereich der Datenbank betreffen daher sofort immer die Gesamtsicherheit des SAP Systems. Die Datenbank-bezogenen Maßnahmen sind zusammengefasst in:

SAP Systeme sind verteilt aufgebaut und kommunizieren daher über verschiedene Schnittstellen miteinander oder mit anderen externen Client- oder Server-Systemen. Die Absicherung der Kommunikation ist daher eine wichtige Aufgabe. Generell kann ein SAP System viele unterschiedliche Kommunikationskanäle nutzen, die auch von den installierten Applikationen und Modulen abhängen. In der Regel werden jedoch einige wenige Basis-Kommunikationsmechanismen und -Schnittstellen genutzt. Die relevante Einstiegsmaßnahme ist:

Ein SAP System muss an die lokalen funktionalen Anforderungen einer Behörde oder eines Unternehmens angepasst werden. Dies geschieht durch das so genannte Customizing (Anpassung an den Kunden). Die in diesem Kontext relevante Maßnahme ist:

Betrieb

Nach der Erstinstallation und einer Testbetriebsphase wird der Regelbetrieb aufgenommen. Unter Sicherheitsgesichtspunkten sind dabei folgende Aspekte zu beachten:

Damit Sicherheitsverstöße bemerkt werden, muss eine entsprechende Überwachung des SAP Systems erfolgen. Hinweise dazu finden sich in den Maßnahmen:

Neuere Versionen der SAP Software bieten die Möglichkeit, ein Computer-Viren-Schutzprogramm anzuschließen, so dass beispielsweise Dokumente und Daten, die an das SAP System gesandt werden, auf Viren geprüft werden können. Hinweise dazu finden sich in:

Da ein SAP System immer Veränderungen unterworfen ist, die sich meist aus veränderten Anforderungen oder Einsatzszenarien ableiten, muss sichergestellt werden, dass das gewünschte Sicherheitsniveau aufrecht erhalten wird (siehe hierzu M 2.221 Änderungsmanagement bzw. B 1.14 Patch- und Änderungsmanagement ). Dies trifft insbesondere für Eigenentwicklungen zu. Die im diesen Kontext relevante Maßnahmen ist:

Neuer Code oder andere veränderbare Komponenten müssen in das System eingebracht werden. Dazu steht für ABAP-bezogene Veränderungen das SAP Transportsystem zur Verfügung. Für die Software-Verteilung im Bereich des Java-Stacks wird hingegen ein anderer Mechanismus eingesetzt. In beiden Fällen muss eine Absicherung erfolgen, damit die Mechanismen nicht missbraucht werden können. Die relevanten Maßnahmen sind:

Aussonderung

Empfehlungen zur Deinstallation von SAP Systemen, etwa nach Abschluss des Regelbetriebs, finden sich in der Maßnahme M 2.350 Aussonderung von SAP Systemen .

Notfallvorsorge

Empfehlungen zur Notfallvorsorge für SAP Systeme finden sich in der Maßnahme M 6.97 Notfallvorsorge für SAP Systeme .

Nachfolgend werden alle Maßnahmen für SAP Systeme vorgestellt:

Planung und Konzeption

M 2.341 (A) Planung des SAP Einsatzes
M 2.342 (A) Planung von SAP Berechtigungen
M 2.343 (C) Absicherung eines SAP Systems im Portal-Szenario
M 2.344 (C) Sicherer Betrieb von SAP Systemen im Internet
M 2.345 (C) Outsourcing eines SAP Systems
M 2.346 (A) Nutzung der SAP Dokumentation
M 3.52 (A) Schulung zu SAP Systemen
M 3.53 (W) Einführung in SAP Systeme

Umsetzung

M 4.256 (A) Sichere Installation von SAP Systemen
M 4.257 (A) Absicherung des SAP Installationsverzeichnisses auf Betriebssystemebene
M 4.258 (A) Sichere Konfiguration des SAP ABAP-Stacks
M 4.259 (A) Sicherer Einsatz der ABAP-Stack Benutzerverwaltung
M 4.260 (A) Berechtigungsverwaltung für SAP Systeme
M 4.261 (B) Sicherer Umgang mit kritischen SAP Berechtigungen
M 4.262 (C) Konfiguration zusätzlicher SAP Berechtigungsprüfungen
M 4.263 (A) Absicherung von SAP Destinationen
M 4.264 (A) Einschränkung von direkten Tabellenveränderungen in SAP Systemen
M 4.265 (B) Sichere Konfiguration der Batch-Verarbeitung im SAP System
M 4.266 (A) Sichere Konfiguration des SAP Java-Stacks
M 4.267 (A) Sicherer Einsatz der SAP Java-Stack Benutzerverwaltung
M 4.268 (A) Sichere Konfiguration der SAP Java-Stack Berechtigungen
M 4.269 (A) Sichere Konfiguration der SAP System Datenbank
M 5.125 (B) Absicherung der Kommunikation von und zu SAP Systemen
M 5.126 (A) Absicherung der SAP RFC-Schnittstelle
M 5.127 (B) Absicherung des SAP Internet Connection Framework (ICF)
M 5.128 (B) Absicherung der SAP ALE (IDoc/BAPI) Schnittstelle
M 5.129 (C) Sichere Konfiguration der HTTP-basierten Dienste von SAP Systemen

Betrieb

M 2.347 (B) Regelmäßige Sicherheitsprüfungen für SAP Systeme
M 2.348 (C) Sicherheit beim Customizing von SAP Systemen
M 2.349 (C) Sicherheit bei der Software-Entwicklung für SAP Systeme
M 4.270 (A) SAP Protokollierung
M 4.271 (C) Virenschutz für SAP Systeme
M 4.272 (A) Sichere Nutzung des SAP Transportsystems
M 4.273 (A) Sichere Nutzung der SAP Java-Stack Software-Verteilung

Aussonderung

M 2.350 (A) Aussonderung von SAP Systemen

Notfallvorsorge

M 6.97 (A) Notfallvorsorge für SAP Systeme

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK