Bundesamt für Sicherheit in der Informationstechnik

M 2.343 Absicherung eines SAP Systems im Portal-Szenario

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Entwicklung, Leiter IT

Verantwortlich für Umsetzung: Administrator, Entwickler

SAP Systeme werden immer häufiger auch in Portal-Szenarien eingesetzt. Im Folgenden wird davon ausgegangen, dass es sich um ein internes Behörden- oder Unternehmensportal handelt, über welches auf ein SAP System zugegriffen wird. Diese Maßnahme behandelt nicht die Sicherheit des Behörden- oder Unternehmensportals, sondern die Sicherheit eines SAP Systems im Umfeld des Portales. Für SAP Systeme in Internetszenarien finden sich entsprechende Maßnahmen in M 2.344 Sicherer Betrieb von SAP Systemen im Internet . Der Zugriff in Portal-Szenarien erfolgt in der Regel über HTTP, und Benutzer setzen dafür einen Browser ein.

In Portalszenarien wird oft fälschlich angenommen, dass das eingesetzte Portal auf das "nachgelagerte" SAP System zugreift. Ein direkter Benutzerzugriff auf das SAP System wäre dann nicht notwendig. In der Regel erfolgt jedoch im Portal nur eine Umleitung auf das SAP System, so dass die Benutzeranfragen direkt an das SAP System erfolgen. Dies ist oft sogar transparent für den Benutzer, da die im Browser angezeigten Daten innerhalb der aufgerufenen Portalseite in einem Rahmen eingeblendet werden. Insofern ist auch in Portal-Szenarien die Maßnahme M 2.344 Sicherer Betrieb von SAP Systemen im Internet relevant.

Generell sind für SAP Systeme in Portal-Szenarien folgende grundsätzliche Aspekte wichtig:

Folgende Aspekte, die sich direkt aus dem Portal-Szenario ableiten, sind besonders zu berücksichtigen:

Systemzugriff einschränken

Alle SAP Systeme, die durch Browser-Umleitungen angesprochen werden, müssen für Benutzer zugreifbar sein. Dieser Umstand ist in der Risikobetrachtung zu berücksichtigen und hat Auswirkungen auf die Position des SAP Systems im Netz, da es beispielsweise in der DMZ (Demilitarisierte Zone) angesiedelt werden muss.

Der Zugriff auf die betroffenen SAP Systeme muss durch eine Firewall auf die Ports beschränkt werden, über die HTTP bzw. HTTPS abgewickelt wird. Je nach Szenario sollte der Zugriff auf das SAP System über einen Reverse Proxy geleitet werden, so dass auf das SAP System nicht direkt zugegriffen wird.

Dialogzugriff einschränken

In der Regel darf der SAPGui-Zugang für die über das Portal angesprochenen SAP Systeme nur eingeschränkt zugelassen werden. Insbesondere für Benutzer, die nur über das Portal mittels Browser zugreifen, muss der SAPGui-Zugang unterbunden werden. Hier können beispielsweise Benutzer vom Typ "Internetbenutzer" eingesetzt werden, wenn der Port-Zugang nicht durch die Firewall beschränkbar ist. Es ist generell zu bedenken, dass der SAPGui-Zugang für Administratoren möglich sein muss, so dass die Firewall entsprechend zu konfigurieren ist. Alternativ kann auch eine separates Administrationsnetz genutzt werden.

Wird der Internet Transaction Server (ITS) zum Zugriff auf das SAP System nicht genutzt, sollte der ITS Zugang deaktiviert werden, da dieser einen SAPGui-ähnlichen Zugang zum SAP System bietet. Die ITS Komponente muss vor der Version 6.40 des SAP Web Application Servers als separate Komponente (WGate, AGate) installiert werden. In diesem Fall sollten diese Komponenten nicht installiert oder aber deinstalliert werden.

Ab Version 6.40 ist der ITS integriert, so dass die entsprechenden Dienste im ABAP-Stack (z. B. webgui) und Java-Stack (z. B. mi oder me) deaktiviert werden müssen. Dies erfolgt im ABAP -Stack dadurch, dass der ICF-Dienst "webgui" deaktiviert ist (siehe auch M 5.127 Absicherung des SAP Internet Connection Framework (ICF) ). Im Java-Stack (siehe auch M 4.266 Sichere Konfiguration des SAP Java-Stacks ) sind die Applikationen "mi" und "me" über den Deploy-Dienst zu deaktivieren.

Authentisierung/Single Sign-On

In der Regel ist Single Sign-On zwischen dem Portal und dem SAP System konfiguriert. Daher ist sicherzustellen, dass Konten mit gleichen Namen in beiden Systemen der gleichen Person zugeordnet sind. Kann dies nicht sichergestellt werden, so muss der so genannte Benutzer-Mapping-Mechanismus des Portals genutzt werden.

Beim Zugriff auf das SAP System werden dann die hinterlegten Konten-Informationen genutzt. In diesem Fall ist dann auf die Konsistenz der Benutzer-Mapping-Informationen zu achten.

Berechtigungen

In Portal-Szenarien kann der Fall auftreten, dass Applikationen, die im Portal ablaufen (Frontend-Applikation), selbst direkt auf das SAP System zugreifen. Je nach Applikationsdesign wird dann ein technisches Konto oder das Konto des angemeldeten Benutzers zum Zugriff genutzt. Für dieses Konto darf im SAP System dann nur der Aufruf derjenigen ABAP-Funktionsgruppen erlaubt sein, die für die Portalanwendung benötigt werden.

Generell ist darauf zu achten, dass die Berechtigungen der im SAP System gehaltenen Benutzer minimal gestaltet werden. Bei den Planungen sollte davon ausgegangen werden, dass die Berechtigungsprüfung der Frontend-Applikation auch unterlaufen werden kann. Wird der Benutzer vom Portal lediglich umgeleitet, so greift er direkt auf das SAP System zu. Daher sollten die Berechtigungen im SAP System immer so eingerichtet sein, dass nur die Funktionen aufgerufen werden können, die durch die Portal-Applikation möglich sind. Dies ist insbesondere dann wichtig, wenn der Dialog-Zugriff von Portal-Benutzern nicht ausgeschlossen ist.

Sitzungsmanagement der Applikationen

Alle Applikationen des ABAP- und des Java-Stacks, die über das Portal genutzt werden, sollten ein sicheres Sitzungsmanagement implementieren. Insbesondere ist durch die Programmierung der Applikationen sicherzustellen, dass Sitzungsinformationen bei der Benutzerabmeldung vom Portal ungültig werden.

Es ist zu bedenken, dass die Abmeldung vom Portal nicht automatisch zur Abmeldung am SAP System führt. Dies ist immer dann ein Problem, wenn ein Client-Rechner von mehreren Personen genutzt wird, da dann ein nachfolgender Benutzer unter Umständen auf die Daten des vorherigen Benutzers im SAP System zugreifen kann.

SAP stellt Programmier-Frameworks (z. B. Business Server Pages, BSP) zur Verfügung, die eine automatisierte Abmeldung am SAP System anbieten. Bei Eigenentwicklungen sollte dies bei der Entscheidung, welche Technologie bzw. Framework zur Implementierung genutzt wird, berücksichtigt werden.

Prüffragen:

  • Sind SAP Systeme, die durch Browser-Umleitungen angesprochen werden und für Benutzer zugreifbar sein müssen, in der Risikobetrachtung berücksichtigt worden?

  • Wird der Zugriff auf die betroffenen SAP Systeme im Portal-Szenario durch eine Firewall auf HTTP bzw. HTTPS Ports beschränkt?

  • Ist der Dialogzugriff auf das SAP System unterbunden, wenn dieser nicht benötigt wird?

  • Ist sichergestellt, dass Konten mit gleichen Namen in Portal und SAP System den gleichen Personen zugeordnet sind?

  • Sind die Berechtigungen im SAP System minimal gehalten, so dass nur die Funktionen aufgerufen werden können, die durch die Portal-Applikation möglich sind?

  • Sind die eingesetzten Applikationen mit einem sicheren Sitzungsmanagement ausgerüstet, das auch in Portal-Szenarien funktioniert?

Stand: 13. EL Stand 2013