Bundesamt für Sicherheit in der Informationstechnik

M 2.341 Planung des SAP Einsatzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Vor der Installation und Inbetriebnahme eines SAP Systems müssen umfangreiche Planungen erfolgen. Eine sorgfältige Planung ist nicht nur unter Sicherheitsgesichtspunkten notwendig. Auch die Geschäftsprozesse und -abläufe, die durch das SAP System automatisiert und unterstützt werden sollen, müssen vollständig, korrekt und im notwendigen Detailgrad erfasst werden. Nur so ist eine erfolgreiche Umsetzung innerhalb eines SAP Systems möglich. Selbst eine Planungsphase von mehreren Monaten kann für große Systeme bei Neuplanung knapp bemessen sein.

Schon in der Konzeptionsphase sollten der Datenschutzbeauftragte und der Personal- oder Betriebsrat beteiligt werden. Zum einen werden mit SAP-Systemen in der Regel auch immer personenbezogene Daten verarbeitet, z. B. mit dem Modul HR oder im Rahmen der Protokollierung (siehe unten). Zum anderen sollte die notwendige Umstellung von Geschäftsprozessen und Arbeitsabläufen begleitet werden.

Planungen sind für jedes SAP System individuell durchzuführen, da sich jedes SAP System im Einsatzszenario unterscheidet. Auch für das Test- und Abnahme-System und das Entwicklungs-System, die einem Produktiv-System zugeordnet sind, sollte aufgrund der unterschiedlichen Verwendungszwecke eine individuelle Planung erfolgen. Es ist dabei zu beachten, dass jeweils auch die Abhängigkeiten zwischen SAP Systemen berücksichtigt werden müssen. Dies gilt besonders für die verschiedenen Ausprägungen (Entwicklung, Test und Abnahme, Produktion) eines SAP Systems, aber auch für unterschiedliche SAP Systeme in einem Verbund. Insofern muss eine auf die Zusammenarbeit der individuellen Systeme abgestimmte Gesamtplanung erfolgen.

Im Folgenden ist eine Liste von SAP Sicherheitsteilkonzepten angegeben, die im Hinblick auf die Sicherheit eines SAP Systems in der Planungsphase zu erstellen sind und die auch kontinuierlich gepflegt werden müssen. Die Liste ist nicht vollständig und muss auf die lokalen Gegebenheiten und Anforderungen angepasst werden, mindestens erforderlich sind aber die folgenden SAP Sicherheitsteilkonzepte:

  • Planung der technischen Konfiguration
  • Administrationskonzept
  • Konzept zur Benutzerverwaltung
  • Berechtigungskonzept
  • Ressourcen-Planung
  • Planung der SAP Systemlandschaft
  • Audit- und Logging-Konzept
  • Änderungsmanagement-Konzept
  • Backup-Konzept
  • Notfallvorsorge-Konzept

Generell sind bei der Konzeption die bestehenden Sicherheitskonzepte der Behörde oder des Unternehmens zu berücksichtigen.

Planen der technischen Konfiguration

Aufbauend auf den vorstehend genannten Konzepten muss die technische Umsetzung durch die SAP Systemkonfiguration (Customizing) erfolgen. Dazu sind für den ABAP -Stack die notwendigen technischen Konfigurationsschritte im Rahmen eines projektbezogenen Implementation Guide (IMG) festzulegen. Die notwendigen Schritte für die gewünschte Konfiguration werden in der Regel aus dem SAP Referenz-IMG ausgewählt (siehe M 4.258 Sichere Konfiguration des SAP ABAP-Stacks ). Für den Java-Stack existiert der IMG-Mechanismus nicht, trotzdem sind die erforderlichen Konfigurationsschritte zu planen, um die gewünschten Konfiguration zu erhalten (siehe auch auch M 4.266 Sichere Konfiguration des SAP Java-Stacks ).

Bei der Planung der technischen Konfiguration ist zu berücksichtigen, dass Rückkopplungsprozesse notwendig sind, um auf Änderungen reagieren zu können, die sich im Rahmen der Implementierung ergeben. In der Planungsphase können die SAP Systemdokumentationen herangezogen werden, um die notwendigen technischen Konfigurationen zu bestimmen und zu planen. Diese sind über das SAP Help Portal help.sap.com zugreifbar. Nach der Installation kann die technische Konfiguration, sofern notwendig, angepasst werden.

Administrationskonzept

Ein gutes Konzept für die Administration eines SAP Systems trägt wesentlich zur Sicherheit bei. Im Administrationskonzept ist festzulegen, wer welche administrativen Aufgaben wahrnimmt. Die technische Umsetzung muss dann dafür Sorge tragen, dass jeder nur die ihm zugeordneten Aufgaben wahrnehmen kann. Generell sollten dabei die nachfolgend beschriebenen Empfehlungen und Aspekte berücksichtigt werden.

Es muss immer ein Konzept für die Stacks (ABAP, Java) erstellt werden, die für ein SAP System installiert sind. Es muss ausgeschlossen sein, dass ein Stack installiert ist und kein Administrationskonzept vorliegt.

In großen Unternehmen und Behörden empfiehlt sich, die Administration auf mehrere Personen aufzuteilen und so eine Funktionstrennung herbeizuführen. Generell sollte immer eine Trennung der Basis-Administration und der Administration auf Applikations- und Modul-Ebene umgesetzt werden.

Weiterhin empfiehlt sich mindestens eine Aufteilung in Administratoren für Benutzerverwaltung, Berechtigungsverwaltung, Verwaltung der System-Protokollierung, Backup und Änderungsmanagement. Je nach personeller Ausstattung kann die Trennung auch weiter fortgesetzt werden, etwa auf Basis einzelner Schnittstellen (z. B. RFC, ICF, SOAP) oder Dienste (z. B. Batch-Verarbeitung). Bei der Planung des Konzeptes sollten auch die relevanten Verantwortlichen für Geschäftsprozesse und Informationen einbezogen werden. Nur so ist sichergestellt, dass das Konzept auf die Anforderungen zugeschnitten ist, die sich aus den Geschäftsprozessen ergeben.

Bei der Aufteilung der administrativen Tätigkeiten ist jedoch zu bedenken, dass weder für den ABAP-Stack noch für den Java-Stack eine solche detaillierte Trennung vorkonfiguriert ist.

Daher muss mit erhöhtem Konfigurationsaufwand gerechnet werden, wenn eine feinere Trennung erreicht werden soll.

In kleinen Unternehmen und Behörden, die oft nur einen einzigen Administrator beschäftigen, ist eine Funktionstrennung schon aufgrund fehlender personeller Alternativen nicht möglich. In diesem Fall sollten die Folgen eines internen Angriffs oder mangelnder Systemkenntnis jedoch sorgsam bedacht und abgeschätzt werden. Hier kann eine regelmäßige externe Sicherheitsprüfung helfen, die Systemsicherheit aufrecht zu erhalten. Generell müssen auch interne Sicherheitskontrollen definiert werden, um das Risiko zu vermindern. Es ist dabei zu berücksichtigen, dass diese Kontrollen sowie deren Umsetzung und Durchführung auch verwaltet werden müssen.

Der ABAP-Stack eines SAP Systems darf nicht durch einen Benutzer mit SAP_ALL Berechtigungen administriert werden. Diese Administrationsvariante birgt zu viele Sicherheitsrisiken. Erfolgt die Basis-Administration durch genau einen Administrator, so kann folgendes Vorgehen sinnvoll sein:

  • Dem zur Administration genutzten Konto werden die Berechtigungsobjekte aus dem Profil SAP_ALL über eine Profil-Kopie zugeordnet.
  • Alle Berechtigungsobjekte, die nicht für die Basis-Administration benötigt werden - dies sind in der Regel Berechtigungen, die in Applikationen oder Modulen Verwendung finden - werden aus der Profil-Kopie gelöscht.

Damit besitzt der Administrator nicht automatisch alle Applikationsberechtigungen. Auch wenn nur ein Administrator genutzt wird, empfiehlt es sich, im Rahmen des Administrationskonzeptes festzulegen, welche administrativen Aufgaben der Administrator wahrnehmen darf und welche nicht. Die verbleibenden Berechtigungsobjekte sind dann entsprechend anzupassen. Auf diese Weise können bestimmte administrative Operationen durch den Administrator nur dann ausgeführt werden, wenn beispielsweise eine Genehmigungskette durchlaufen wurde.

Im Administrationskonzept sind auch Verfahrens- und Vorgehensweisen für die Notfall-Administration festzulegen.

Konzept zur Benutzerverwaltung

Die Komplexität des Benutzerverwaltungskonzeptes wird dadurch bestimmt, ob nur ein einziges oder mehrere SAP Systeme verwaltet werden sollen. Muss nur ein System verwaltet werden, so ist durch das Benutzerverwaltungskonzept Folgendes festzulegen:

  • Welche Konventionen für die Benutzernamen werden eingesetzt, so dass Benutzernamen eindeutig sind?
  • Wer besitzt innerhalb der Benutzerverwaltung welche Rechte?
  • Welche Benutzertypen werden wie eingesetzt?
  • Wie werden die Benutzer in Gruppen aufgeteilt?
  • Wie werden privilegierte Standardbenutzer geschützt?
  • Welche Benutzer sind Mitglied der Gruppe SUPER?
  • Welche Prozesse sind für die Benutzerverwaltung (z. B. Beantragung, Genehmigung, Anlegen, Verändern, Löschen) vorgesehen?

Es ist darauf zu achten, dass für alle anfallenden Verwaltungsarbeiten Prozesse definiert werden (z. B. Anlegen von Benutzern, Ändern oder Zuordnen von Rollen) und diese vollständig spezifiziert sind. Zusätzlich sind die jeweiligen Verantwortlichkeiten vollständig festzulegen. So wird verhindert, dass sich durch unklare Verantwortlichkeiten oder unvollständig definierte Prozesse Sicherheitslücken einschleichen.

Für den Java-Stack besteht zwar die Möglichkeit, unterschiedliche Benutzerspeicher einzusetzen, generell kann jedoch der Einsatz der "User Management Engine" (UME) empfohlen werden, da diese die größte Flexibilität in der Konfiguration anbietet. In der Regel sollte die UME dann so konfiguriert werden, dass der zugehörige ABAP-Stack als Benutzerspeicher genutzt wird. So wird sichergestellt, dass gleiche Benutzerkonten mit gleichem Namen durch den Java- und ABAP-Stack auf den gleichen Benutzerstammsatz abgebildet werden.

Müssen mehrere SAP Systeme verwaltet werden, so wird durch das Konzept zur Benutzerverwaltung der mit der Benutzerverwaltung einhergehende Administrationsaufwand maßgeblich bestimmt. Es muss entschieden werden, ob eine dezentrale oder zentrale Benutzerverwaltung eingesetzt wird. Die Entscheidung ist dabei abhängig vom Einsatzszenario für das SAP System und den Anforderungen der dabei insgesamt eingesetzten Systeme.

Neben den oben beschriebenen Aspekten sind dann außerdem durch das Benutzerverwaltungskonzept folgende Aspekte zu behandeln:

  • Auf welchem System werden welche Benutzerkonten verwaltet (Definition des führenden Systems)?
  • Wie erfolgt die Verteilung der Benutzerkonten auf die einzelnen Systeme?
  • Welche Systeme benötigen oder verlangen eine separate Benutzerverwaltung?

Eine zentrale Benutzerverwaltung ist sinnvoll, wenn es sich um eine möglichst homogene Art von Benutzern (z. B. behörden- oder unternehmensinterne Benutzer) handelt, die auf mehrere SAP Systeme zugreifen. Dabei sollten die Sicherheitsanforderungen in den Zugriffsszenarien nicht stark differieren. Ist die Benutzermenge inhomogen (z. B. behörden- oder unternehmensinterne Benutzer, Benutzer von Partnerunternehmen oder -behörden, Kunden mit loser Behörden- bzw. Unternehmensbindung), so kann es sinnvoll sein, mehrere Verwaltungsinseln (d. h. Systeme mit jeweils einer zentralen Benutzerverwaltung) einzurichten, die die Benutzer der unterschiedlichen Einsatzszenarien verwalten.

Bei der Entscheidung für oder gegen eine zentrale Benutzerverwaltung müssen auch technische Randbedingungen bedacht werden. Soll beispielsweise die Zentrale Benutzer Verwaltung (ZBV, Central User Administration, CUA) eines SAP Systems verwendet werden, wird eine funktionierende ALE-Landschaft vorausgesetzt (siehe auch M 5.128 Absicherung der SAP ALE (IDoc/BAPI) Schnittstelle ).

Dann ist es auch möglich die Zuordnung von Berechtigungen zu Benutzern zentral zu verwalten und in andere SAP Systeme zu transportieren.

Weitere Hinweise zur Sicherheit bei der Benutzerverwaltung finden sich in M 4.259 Sicherer Einsatz der ABAP-Stack Benutzerverwaltung und M 4.267 Sicherer Einsatz der SAP Java-Stack Benutzerverwaltung .

Hinweise auf weitere Dokumentationen zur Benutzerverwaltung in SAP Systemen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Berechtigungskonzept

Berechtigungen steuern, wer auf Funktionen und Daten zugreifen darf. Das Berechtigungskonzept ist daher wichtig für die Sicherheit beim Zugriff auf Funktionen und Daten eines SAP Systems. Eine bedarfsgerechte Planung der Berechtigungen durch ein ausgereiftes Berechtigungskonzept ist darum unerlässlich. Maßnahme M 2.342 Planung von SAP Berechtigungen enthält die Informationen, die dabei zu beachten sind.

Ressourcen-Planung

Ein SAP System kann ein Unternehmen oder eine Behörde nur dann optimal unterstützen, wenn die Rechner-Ressourcen auf das Einsatzszenario und auf die dabei benötigte SAP Software und deren Ressourcen-Anforderungen abgestimmt sind.

Im Ressourcen-Plan ist daher die Hardware-Ausstattung genau zu planen. Themen sind unter anderem:

  • Anzahl der benötigten Rechner
  • CPU- und Speicher-Ausstattung der Rechner
  • benötigte Festplattenkapazitäten
  • erforderliche Netz-Bandbreite
  • notwendige Netzsegmente und Netzkoppelelemente

Die relevante SAP Dokumentation zur Ressourcen-Planung wird in M 2.346 Nutzung der SAP Dokumentation genannt.

Planen der SAP Systemlandschaft

Ein SAP System besteht immer aus mehreren Komponenten mit unterschiedlichen Aufgaben, die miteinander über die Netzinfrastruktur kommunizieren. Die Sicherheit eines SAP Systems kann schon durch die genutzte Architektur der Systemlandschaft positiv beeinflusst werden. Umgekehrt kann eine nicht hinreichend geplante und aufgebaute Systemlandschaft zu Sicherheitsproblemen führen.

Da die aus Sicherheitssicht günstigste Systemlandschaft sehr vom Einsatzszenario eines SAP Systems und dem Schutzbedarf der gespeicherten Daten abhängt, können in einem IT-Grundschutz-Baustein nur grundsätzliche Empfehlungen gegeben werden. SAP bietet jedoch in der Regel für verschiedene Produkte und Einsatzszenarien Empfehlungen für den günstigsten Systemaufbau an.

Allgemein sollte die Planung so erfolgen, dass nur die unbedingt benötigten Zugriffe auf und zwischen Komponenten möglich sind. Insbesondere ist eine Trennung von Produktiv-System, Test- und Abnahme-System sowie

Entwicklungs-System vorzusehen. Durch entsprechende Planung ist sicherzustellen, dass Produktivdaten eines SAP Systems nicht unverändert in Systeme für Tests und Abnahmen oder für die Entwicklung übertragen und dort genutzt werden. Kann dies nicht sichergestellt werden, müssen die Test- und Abnahme-Systeme so geschützt sein, dass auch dort die Vertraulichkeit der Daten gewährleistet ist.

Durch die Definition der Systemlandschaft muss unter anderem Folgendes festgelegt werden:

  • Auf welchen Rechnern sind die einzelnen Komponenten zu installieren?
  • Wo sind die einzelnen Rechner und Komponenten netztechnisch angesiedelt?
  • Welche Komponenten müssen vor Zugriffen (intern, extern) durch entsprechende Firewalls oder Router geschützt werden?
  • Auf welche Komponenten müssen Benutzer (intern, extern) direkt zugreifen? (Die entsprechenden Komponenten können daher nicht vollständig durch Firewalls oder Router geschützt werden.)
  • Welche Komponenten müssen aufgrund des Zugriffsverhaltens in der DMZ (De-Militarisierte Zone) angesiedelt werden?
  • Wie kann die Verfügbarkeit des gesamten SAP Systems gewährleistet werden?

Weitere Hinweise für spezielle Einsatzszenarien finden sich M 2.343 Absicherung eines SAP Systems im Portal-Szenario und M 2.344 Sicherer Betrieb von SAP Systemen im Internet .

SAP Dokumentationen mit detaillierten Hinweisen zur empfohlenen Systemlandschaft finden sich in M 2.346 Nutzung der SAP Dokumentation .

Audit- und Logging-Konzept

Das Audit- und Logging-Konzept muss festlegen, welche Aktivitäten des SAP Systems und welche Aktivitäten der Benutzer zu protokollieren sind. Außerdem müssen folgende Aspekte berücksichtigt werden:

  • Wer hat die Berechtigung, die Audit- und Protokoll-Einstellungen zu verändern?
  • Wo werden die Protokolldaten abgelegt?
  • Wer hat Zugriff auf die erstellen Protokolldaten?
  • Wie erfolgt die Auswertung der erstellten Protokolldaten?
  • Durch wen und in welchem Umfang erfolgen Sicherheitsprüfungen (Audits) und in welchen Abständen?

Ein SAP System besitzt umfangreiche Möglichkeiten, um interne Abläufe und Benutzeraktivitäten zu protokollieren. Die hier wichtigen Aspekte werden in M 4.270 SAP Protokollierung thematisiert.

Neben der reinen Systemüberwachung, die durch die Protokollierung erreicht werden soll, ist im Rahmen von Audits die Sicherheit des SAP Systems regelmäßig zu prüfen. Audits können dabei sowohl durch Administratoren (Selbstkontrolle) als auch durch andere Prüfer erfolgen. Die Prüfer können dabei aus anderen Abteilungen stammen (Informationssicherheit, Revision) oder aber von externen Dritten (IT-Auditoren, Wirtschaftsprüfer, Aufsichtsorganisationen). Weitere Informationen dazu finden sich in M 2.347 Regelmäßige Sicherheitsprüfungen für SAP Systeme . Es ist zu beachten, dass Selbstkontrollen durch Administratoren nicht ausreichen, um die Sicherheit von SAP Systemen zu beurteilen.

Änderungsmanagement-Konzept

Die Aktualisierung eines SAP Systems durch Patches, Hot-Fixes und Updates ist wichtig, um die Sicherheit des Systems zu erhalten. Fehler in der Programmierung können nur behoben werden, wenn das System regelmäßig aktualisiert wird. Da sich die Änderungsmanagement-Prozesse von ABAP- und Java-Stack technisch unterscheiden, sind zwei separate Konzepte zu entwerfen. Folgende Fragestellungen sind jeweils durch das Konzept zu klären:

  • Nach welchem Prozess erfolgt die Systemaktualisierung über die Systemvarianten Entwicklung, Test und Abnahme, Produktion?
  • Wie wird sichergestellt, dass die eingespielten Updates den Betrieb nicht negativ beeinflussen?
  • In welchen Zeitabständen erfolgt die Aktualisierung?
  • Wer besitzt die Berechtigung, Aktualisierungen im Produktivsystem durchzuführen?
  • An welchen Stellen des Änderungsmanagement-Prozesses müssen Kontrollschritte erfolgen?
  • Wie wird sichergestellt, dass Aktualisierungen nicht durch eine einzelne Person durchgeführt werden können?
  • Wie ist der Zugriff auf die Werkzeuge und Funktionen einzuschränken, die für die Aktualisierung benötigt werden?
  • Wie werden Veränderungen protokolliert und dadurch nachvollziehbar gemacht?

Änderungen werden in den ABAP-Stack über das so genannte Transportsystem eingespielt. Dabei können mehrere SAP Systeme zu einem Transportverbund (Transportdomäne genannt) zusammengeschaltet werden. Im Rahmen der Planung des Änderungsmanagement-Konzeptes ist daher ein Transportkonzept zu erstellen. Hier sind unter anderem folgende Fragestellungen und Aspekte zu klären:

  • Wer darf Transporte erzeugen?
  • Der Freigabeprozess für Transporte muss klar definiert werden, es müssen Qualitätsziele definiert sein, die eingehalten werden, bevor neue Transporte oder Patches eingespielt werden.
  • Wer darf Transporte einspielen?
  • Wie kommen die Transporte (technisch) von einem System zum anderen?
  • Wie ist die Prozessreihenfolge zu definieren, so dass unterschiedliche Personen involviert werden, damit die benötigten Kontrollschritte durchgeführt werden?
  • Es dürfen keine direkten Transporte durch Entwickler von der Entwicklung in Test und Abnahme oder die Produktion möglich sein.
  • Welcher Integritätsschutz von Transportdateien soll eingesetzt werden?
  • Wie ist die Nachvollziehbarkeit sicherzustellen? (Frage: Wer hat wann was gemacht?)
  • Die Transportlandschaft muss geplant werden: Welche Instanzen und Mandanten sind jeweils involviert? Von welcher Quelle darf in welches Ziel transportiert werden?

Weitere Informationen und Empfehlungen finden sich in M 2.221 Änderungsmanagement , M 4.272 Sichere Nutzung des SAP Transportsystems und M 4.273 Sichere Nutzung der SAP Java-Stack Software-Verteilung .

Hinweise aus SAP Dokumentationen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Backup-Konzept

Bezüglich des Backup-Konzeptes bestehen keine außergewöhnlichen Anforderungen für ein SAP System (siehe M 6.97 Notfallvorsorge für SAP Systeme ).

Das SAP Backup-Konzept sollte sich in ein bestehendes Backup-Verfahren integrieren, so dass keine speziellen Ausnahmeprozeduren notwendig werden. Im Vordergrund sollte stehen, die Verantwortlichkeiten und Prozessabläufe für die Datensicherungen zu definieren und umzusetzen.

Notfallvorsorge-Konzept

Für geschäftskritische Notfälle muss ein Notfallvorsorge-Konzept für SAP Systeme und zugehörige Notfall-Prozeduren festgelegt werden (siehe auch M 6.97 Notfallvorsorge für SAP Systeme ).

Prüffragen:

  • Sind die Personalvertretung, der Datenschutzbeauftragte und die IT -Sicherheitsverantwortlichen ausreichend in alle Planungen zum SAP Einsatz mit einbezogen?

  • Liegt eine auf die Zusammenarbeit der individuellen SAP Systeme abgestimmte Gesamtplanung vor?

  • Stehen die erstellten SAP Sicherheitsteilkonzepte im Einklang mit bestehenden Sicherheitskonzepten?

  • Wurde die Funktionstrennung für administrative Aufgaben (Basis-Administration und Administration auf Applikations- und Modul-Ebene) korrekt umgesetzt?

  • Werden im Rahmen des Notfallvorsorge-Konzeptes für SAP Systeme regelmäßig Notfallübungen durchgeführt und die Prozesse anhand der dabei gemachten Erfahrungen angepasst?

  • Ist der SAP Einsatz umfassend geplant worden?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK