Bundesamt für Sicherheit in der Informationstechnik

M 2.344 Sicherer Betrieb von SAP Systemen im Internet

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Entwicklung, Leiter IT

Verantwortlich für Umsetzung: Administrator, Entwickler

SAP Systeme werden immer häufiger auch in Internet-Szenarien eingesetzt. In der Regel sind dann entsprechende Zusatzapplikationen installiert, oder sie werden im Rahmen von Internet-Portal-Szenarien (siehe auch M 2.343 Absicherung eines SAP Systems im Portal-Szenario ) als "Backend-Systeme" eingesetzt. Der Zugriff in Internet-Szenarien erfolgt in der Regel über HTTP, und Benutzer setzen dafür einen Browser ein.

Daher sind in Internet-Szenarien folgende Aspekte zu berücksichtigen:

Systemzugriff nach Risikobetrachtung einschränken

Alle SAP Systeme, die direkt aus dem Internet angesprochen werden, sind einem erhöhten Risiko ausgesetzt. Dies ist in der Risikobetrachtung zu berücksichtigen. Der Zugriff auf die betroffenen SAP Systeme muss durch eine Firewall auf die Ports beschränkt werden, über die HTTP bzw. HTTPS abgewickelt wird.

Generell gelten für den Zugriff auf ein SAP System aus dem Internet die gleichen Anforderungen, wie für jedes andere System, beispielsweise einen Web-Server (siehe auch B 5.4 Webserver ). Daher sind die allgemeinen, relevanten Maßnahmen für vernetzte Systeme mit Internetanschluss zu berücksichtigen. So kann es beispielsweise sinnvoll sein, auf das SAP System über einen Reverse Proxy oder eine Applikationsfirewall (siehe auch Baustein B 3.301 Sicherheitsgateway (Firewall) ) zuzugreifen.

Kommunikationsschnittstelle prüfen und absichern

Über die HTTP-basierten Schnittstellen werden Applikationen angeboten. Sowohl für die System-Applikationen als auch für normale Applikationen muss eine Risikobetrachtung erfolgen. Weiterhin ist eine Sicherheitsprüfung der Web-Schnittstelle sinnvoll, um die Gefährdung gegenüber typischen Web-basierten Angriffen einschätzen zu können.

Generell ist zu bedenken, dass über die HTTP-Schnittstelle auch RFC-Zugriffe möglich sind. Daher dürfen nur die Dienste aktiviert werden, die benötigt werden und die sorgfältig auf ihre Eignung zum Betrieb im Internet hin geprüft wurden.

Dialogzugriff einschränken

Der direkte SAPGui-Zugriff auf SAP Systeme über das Internet sollte ausgeschlossen werden und durch eine Firewall auf die Protokolle HTTP und HTTPS beschränkt sein.

Internet Transaction Server

Wird der Internet Transaction Server (ITS) zum Zugriff auf das SAP System nicht genutzt, so sollte der ITS Zugang deaktiviert werden, da dieser einen SAPGui-ähnlichen Zugang zum SAP System bietet.

Die ITS Komponente muss vor der Version 6.40 des SAP Web Application Servers als separate Komponente (WGate, AGate) installiert werden. In diesem Fall sollten diese einfach nicht installiert sein. Ab Version 6.40 ist der ITS integriert, so dass die entsprechenden Dienste im ABAP -Stack (z. B. Webgui, siehe M 5.127 Absicherung des SAP Internet Connection Framework (ICF) ) und Java-Stack (z. B. mi oder me, siehe M 4.266 Sichere Konfiguration des SAP Java-Stacks ) deaktiviert werden müssen.

Wird der ITS genutzt, so muss in Hinblick auf die Berechtigungen im SAP System sorgfältig geprüft werden, ob nur die jeweils erlaubten Funktionen aufgerufen werden können. Stichprobenprüfungen reichen in diesem Fall nicht aus. Die Prüfung ist unter Umständen mit erheblichem Aufwand verbunden. Insbesondere sollten alle Transaktionen, auf die nicht zugegriffen werden soll, deaktiviert werden, um auszuschließen, dass diese durch kritische Berechtigungskombinationen aufgerufen werden können. Da ein SAP System mehrere tausend Transaktionen enthalten kann, ist dies ein zeitintensiver Konfigurationsprozess, der in der Regel nicht geleistet werden kann. Daher muss die Gefährdung durch ein sorgfältig durchdachtes Berechtigungskonzept möglichst gering gehalten werden.

Authentisierung/Single Sign-On

Single Sign-On Zugriffe aus dem Internet sollten nur zwischen den für den Internet-Zugriff freigegebenen Systemen aktiviert sein.

Für externe Systeme sollten keine Vertrauensstellungen konfiguriert werden, da die Sicherheit für diese nicht kontrolliert werden kann.

Berechtigungen

Es ist darauf zu achten, dass die Berechtigungen der im SAP System gehaltenen Benutzer minimal gestaltet werden. Es empfiehlt sich, für Benutzer, die keinen SAPGui-Zugriff benötigen, Konten vom Typ Kommunikations- oder Internet-Benutzer einzusetzen.

Validieren von Daten aus SAP Systemen mit Internet-Zugriff

Daten, die von SAP Systemen mit Internetzugriff an Systeme ohne Internetzugriff weitergegeben werden - etwa durch Anfragen oder durch Datentransport - müssen validiert werden, bevor sie an das Backend-System weitergesendet werden.

Verfügbare Daten

Werden Daten aus internen SAP Systemen über SAP Systeme mit Internet-Zugriff bereitgestellt, so sollte Folgendes geprüft werden:

  • Es sollte geprüft werden, ob es tatsächlich erforderlich ist, dass die Daten über direkte Zugriffe auf die internen Systeme bereitgestellt werden oder ob periodische Datenexporte und -importe möglich sind. Dies verhindert den Zugriff auf interne Systeme von außen.
  • Beim Exportieren von Daten sollte geprüft werden, ob alle Informationen exportiert werden müssen oder ob tatsächlich nur ein Teil der Informationen benötigt wird. Dies beschränkt die auf dem SAP System mit Internetzugriff gespeicherten Daten.

Bei Export-/Import-Lösungen ist zu beachten, dass dies die direkte Applikationsintegration (etwa für CRM oder SRM Systeme) unterbindet, so dass die Vorteile der direkten Integration nicht mehr genutzt werden können. Zusätzlich muss der Datentransport konfiguriert und verwaltet werden. Daher bietet sich diese Lösung in der Regel nur für einfache Szenarien an.

Prüffragen:

  • Sind SAP Systeme, die direkt aus dem Internet angesprochen werden, in der Risikobetrachtung berücksichtigt worden?

  • Wird bei Nutzung von ITS geprüft, ob nur die jeweils erlaubten Funktionen aufgerufen werden können?

  • Ist sichergestellt, dass im SAP-System Single Sign-On Zugriffe aus dem Internet nur zwischen den für den Internet-Zugriff freigegebenen Systemen aktiviert sind?

  • Ist sichergestellt, dass im SAP-System für externe Systeme keine Vertrauensstellungen konfiguriert sind?

  • Werden Daten, die von SAP Systemen mit Internetzugriff an Systeme ohne Internetzugriff weitergegeben werden validiert, bevor sie an das Backend-System weitergesendet werden?

  • Wird beim Exportieren von Daten geprüft, das nur der erforderliche Teil der Informationen exportiert wird?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK