Bundesamt für Sicherheit in der Informationstechnik

M 2.346 Nutzung der SAP Dokumentation

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Entwickler, Leiter IT

SAP stellt eine Vielzahl von Dokumenten und Informationen zur Verfügung. Die verfügbare Dokumentation muss insbesondere Administratoren bekannt sein und regelmäßig auf Aktualisierungen geprüft werden.

SAP stellt Informationen zentral über den SAP Service Marketplace (http://service.sap.com) zur Verfügung. Es ist zu beachten, dass zum Zugriff JavaScript im Browser aktiviert sein muss und meist eine Authentisierung erfolgen muss. Eine Ausnahme bildet das SAP Help Portal, über das die Produkt-Dokumentationen erhältlich sind.

Der SAP Service Marktplatz verweist auf weitere Informationsquellen. Im Folgenden werden einige Beispiele genannt:

  • Über den SAP Service Marktplatz werden SAP Hinweise oder zusätzliche Software angeboten. Wichtig sind hier auch die sicherheitsrelevanten Informationen, die unter dem Quicklink "/security" zu finden sind. Hier kann auch der SAP Security Newsletter abonniert werden, über den sicherheitsrelevante Informationen per E-Mail verteilt werden. Wichtig sind außerdem die SAP Produkt-Sicherheitsleitfäden, die unter dem Quicklink "/securityguide" angeboten werden. Im vorliegenden Kontext ist insbesondere der SAP NetWeaver Sicherheitsleitfaden relevant.
  • Über das SAP Help Portal (http://help.sap.com) sind für alle Produkte Anleitungen und umfangreiche Dokumentationen verfügbar.
  • Das SAP Developer Network (http://sdn.sap.com) ist als Informationsquelle für Entwickler gedacht. Hier ist eine kostenfreie Registrierung notwendig.

Im Folgenden sind die relevanten SAP Dokumente für die einzelnen Maßnahmen des vorliegenden Bausteines angegeben. Die Dokumente finden sich, wenn nicht anders angegeben, im SAP Help Portal.

M 2.341 Planung des SAP Einsatzes

Detailinformationen zur Benutzerverwaltung in SAP Systemen finden sich im SAP Dokument "Identity Management", Kapitel "Benutzer und Rollen (BC-Sec-USR)", in den Abschnitten "Benutzerpflege" und "Zentrale Benutzerverwaltung" sowie im Abschnitt "User Management Engine".

SAP bietet zum Thema Ressourcen-Planung (auch "Sizing" genannt) umfangreiche Informationen auf dem Service Marktplatz an. Unter dem Stichwort "Solution Life-Cycle Management" finden sich unter anderem die Themen "Quick Sizer Tool" und "Sizing Guidelines". Diese Informationen helfen, die Ressourcen-Planung durchzuführen.

SystemlandschaftDetaillierte Hinweise zur empfohlenen Systemlandschaft finden sich in der Regel in den Sicherheitsleitfäden zu den einzelnen SAP Produkten, die auf dem SAP Service Marktplatz unter dem Kürzel "securityguide" zu finden sind.

Detailinformationen zum Transportsystem finden sich im SAP Dokument "SAP NetWeave Technical Operations Manual" in den Abschnitten "Software Change Management" der ABAP - und Java-Stack-Beschreibungen.

M 2.347 Regelmäßige Sicherheitsprüfungen für SAP Systeme

Detaillierte Informationen zum Audit Information System ( AIS ) finden sich im SAP Hinweis 451960.

M 2.342 Planung von SAP Berechtigungen

Detailinformationen, die bei der Planung des Berechtigungskonzeptes genutzt werden können, finden sich im SAP Dokument "Identity Management", Kapitel "Benutzer und Rollen (BC-Sec-USR)", im Abschnitt "SAP Berechtigungskonzept".

M 2.349 Sicherheit bei der Software-Entwicklung für SAP Systeme

Weitere Hinweise zu Debugging-Berechtigungen finden sich in den SAP Hinweisen 13202 und 65968.

M 4.256 Sichere Installation von SAP Systemen

Weitere Detail-Informationen zur Betriebssystemabsicherung sind im SAP Dokument "SAP NetWeaver Security Guide" in den Abschnitten "SAP System Security Under UNIX/LINUX" und "SAP System Security Under Windows" enthalten.

M 4.258 Sichere Konfiguration des SAP ABAP-Stacks

Im SAP Dokument "Customizing (BC-CUS)" findet sich im Abschnitt "Einführungsleitfaden (IMG)" die IMG Dokumentation, die beim Einführungsleitfaden zu beachten ist.

Detailinformationen zum Umgang mit Profilen finden sich im SAP Dokument "Konfiguration" im Abschnitt "Profile".

Detaillierte Informationen zum Thema Systemänderbarkeit finden sich im SAP Dokument "Transport Organizer (BC-CTS-ORG)" im Abschnitt "Systemänderbarkeit einstellen".

Administratoren müssen sich mit den Auswirkungen der Mandanten-Konfiguration sehr genau vertraut machen. Entsprechende Detail-Dokumentation findet sich im SAP Dokument "Transport Organizer (BC-CTS-ORG)" im Abschnitt "Mandantensteuerung".

Detailbeschreibungen zum Absichern der Betriebssystemkommandos finden sich im SAP Dokument "SAP NetWeaver Security Guide" im Abschnitt "Logical Operating System Commands" sowie im Dokument "Konfiguration" im Abschnitt "Externe Betriebssystem-Kommandos: Inhalt".

Weitere Detailinformationen zu Single Sign-On finden sich im SAP Dokument "SAP NetWeaver Security Guide" im Abschnitt "User Authentication and Single Sign-On" sowie im Dokument "Verwendung von Anmeldetickets".

Weitere Informationen zu SNC finden sich im SAP Dokument "SAP NetWeaver Security Guide" im Abschnitt "Transport Layer Security".

M 4.259 Sicherer Einsatz der ABAP-Stack Benutzerverwaltung

Weitere Hinweise zur Benutzerverwaltung in SAP Systemen finden sich im SAP Dokument "Identity-Management" im Abschnitt "Vorgehen bei der Erstinstallation".

Detailhinweise zum Umgang mit Standardbenutzern finden sich im SAP Dokument "SAP NetWeaver Security Guide" im Abschnitt "Protecting Standard Users".

M 4.260 Berechtigungsverwaltung für SAP Systeme

Detailhinweise zum Aufbau der Berechtigungsverwaltung und zu relevanten Berechtigungen finden sich im SAP Dokument "Identity-Management" im Abschnitt "Organisation der Berechtigungsverwaltung".

Detailhinweise zur Berechtigungsverwaltung mit dem Profilgenerator finden sich im SAP Dokument "Identity-Management" im Abschnitt "Rollenpflege".

M 4.261 Sicherer Umgang mit kritischen SAP Berechtigungen

Allgemeine Hinweise zu Berechtigungsprüfungen finden sich im SAP Dokument "Identity-Management" im Abschnitt "Berechtigungsprüfungen". Bei der Identifikation kritischer Berechtigungen ist entsprechendes Wissen über die zugrunde liegenden Berechtigungsprüfungen notwendig.

Weitere Informationen zu SAP Systemberechtigungen finden sich im SAP Dokument "Identity-Management" im Abschnitt "Schutzmaßnahmen für besondere Profile".

M 4.262 Konfiguration zusätzlicher SAP Berechtigungsprüfungen

Weitere Informationen zum Deaktivieren von Berechtigungsprüfungen finden sich im SAP Dokument "Identity-Management" in den Abschnitten "Berechtigungsprüfungen" und "Umfang der Berechtigungsprüfungen verringern".

Weitere Informationen zur Konfiguration von Berechtigungsgruppen finden sich im SAP Dokument "ALV Grid Control (BC-SRV-ALV)" im Abschnitt "Berechtigungsgruppen pflegen und zuordnen".

M 4.263 Absicherung von SAP Destinationen

Weitere Detailinformationen zur Zugriffssteuerung auf Destinationen finden sich im SAP Dokument "RCF/ICF Security Guide" im Abschnitt "Controlling Access to RFC Destinations".

M 4.264 Einschränkung von direkten Tabellenveränderungen in SAP Systemen

Detailinformationen zu Parameter-Transaktionen finden sich an folgenden Stellen:

  • SAP Dokument "RFC Security Guide", Abschnitt "Authorization Object S_TABU_DIS (Table Maintenance)"
  • Dokumentation des Einführungsleitfadens (IMG, Transaktion SPRO) unter "SAP Web Application Server/ Systemadministration/ Benutzer und Berechtigungen/ Zeilenbezogene Berechtigungen"
  • SAP Dokument "Berechtigungen in mySAP HR" im Abschnitt "Anwendungsübergreifende Berechtigungsobjekte"

Weitere Informationen zu Parametertransaktionen und Berechtigungen im Zusammenhang mit Transaktion SE93 finden sich in folgenden SAP Dokumenten:

  • SAP Dokument "ABAP-Programmierung (BC-ABA)", Abschnitt "Parametertransaktion"
  • SAP Dokument "Identity-Management", Abschnitt "Berechtigungsprüfungen"

M 4.265 Sichere Konfiguration der Batch-Verarbeitung im SAP System

Weitere Details zur Batch-Verarbeitung finden sich im SAP Dokument "Hintergrundverarbeitung" im Abschnitt "Berechtigungen für die Hintergrundverarbeitung".

M 4.266 Sichere Konfiguration des SAP Java-Stacks

Hinweise zu den Java-Stack-Diensten und deren Funktion finden sich in den jeweiligen Handbüchern, wie etwa dem SAP Dokument "Technisches Betriebshandbuch für SAP NetWeaver" im Abschnitt "Administration des SAP Web Application Server (JAVA)" sowie in den zugehörigen Dokumenten "Architekturhandbuch", "Administrationshandbuch" und "Entwicklerhandbuch".

Der SAP Hinweis 606733 bietet zur HTTP PUT Problematik weitere Detailinformationen an.

M 4.269 Sichere Konfiguration der SAP System Datenbank

Die SAP Empfehlungen zur Absicherung der Datenbank finden sich im SAP Dokument "Operating System and Database Platform Security Guides" im Abschnitt " Database Access Protection". Die Empfehlungen erfolgen für die unterschiedlichen Datenbankprodukte.

M 4.270 SAP Protokollierung

Detailbeschreibungen zu den Systemüberwachungsfunktionen finden sich im SAP Dokument "Werkzeuge zur Systemüberwachung".

Weitere Informationen zur Änderungsverfolgung sind im SAP Hinweis 1916 und den darin referenzierten Hinweisen zu finden.

M 4.271 Virenschutz für SAP Systeme

Weitere Detailinformationen zur Schnittstelle für Computer-Viren-Schutzprogramme finden sich im SAP Dokument "Viren-Scan-Schnittstelle". Hinweise zu Produkten, die über die Schnittstelle angebunden werden können, finden sich auf dem SAP Service Marktplatz unter dem Quicklink "securitypartners" unter "Partners for Virus Scan interface (NW-VSI)".

M 4.272 Sichere Nutzung des SAP Transportsystems

Detailinformationen zum Transportmanagementsystem finden sich im SAP Dokument "Change and Transport System - Überblick (BC-CTS)" und "Transport Management System (BC-CTS-TMS)".

M 4.273 Sichere Nutzung der SAP Java-Stack Software-Verteilung

Weitere Detailinformationen zur Software-Verteilung im SAP Java-Stack finden sich im SAP Dokument "SAP NetWeaver Java Development Infrastructure".

M 5.125 Absicherung der Kommunikation von und zu SAP Systemen

Detailhinweise zur SNC-Konfiguration finden sich in den SAP Dokumenten "Administration Manual" im Abschnitt "Configuring SNC (SAP J2EE Engine to ABAP Engine)". Weitere Hinweise finden sich im SAP Dokument "Network and Transport Layer Security" im Abschnitt "Secure Network Communications (SNC)".

Detaillierte Anleitung zur Installation und Konfiguration von SSL finden sich im SAP Dokument "Systemsicherheit" im Abschnitt "SAP Web AS für SSL-Unterstützung konfigurieren" und im SAP Dokument "Administration Manual" im Abschnitt "Configuring the Use of SSL on the SAP J2EE Engine". Informationen über den SSL-Schutz bei internen LDAP Zugriffen des Java-Stacks sind im Dokument "Configuring SSL Between UME and LDAP Directory (SAP NW`04)" beschrieben.

M 5.126 Absicherung der SAP RFC-Schnittstelle

Detailhinweise zur RFC-Kommunikation finden sich im SAP Dokument "RFC/ICF Security Guide" im Abschnitt "RFC Scenarios".

Weitere Informationen zum Thema "Trusted Systems" finden sich in den SAP Dokumenten "RFC/ICF Security Guide" im Abschnitt "Authorization Object S_RFCACL" und im Dokument "Komponenten der SAP Kommunikationstechnologie" im Kapitel "RFC" im Abschnitt "Trusted System: Vertrauensbeziehungen zwischen SAP Systemen".

Weitere Detailinformationen zur sideinfo Datei finden sich im SAP Dokument "Komponenten der SAP Kommunikationstechnologie" im Abschnitt "Introduction to RFC Client Programs" und im Dokument "SAP Gateway" im Abschnitt "Side-Information-Tabellen".

Detailinformationen zu externen RFC-Servern finden sich im SAP Dokument "RFC/ICF Security Guide" in den Abschnitten "Security Measures - Overview (RFC)" und "RFC Communication between SAP Systems and External (Non-SAP) Systems". Informationen zum RFC SDK finden sich im Dokument "Komponenten der SAP Kommunikationstechnologie" im Abschnitt "The RFC API " und im Abschnitt "Contents of the RFC SDK".

Nähere Informationen zum SAP Gateway finden sich im SAP Dokument "SAP Gateway" im Abschnitt "Sicherheitseinstellungen beim SAP Gateway".

M 5.127 SAP Internet Connection Framework (ICF) absichern

Weitere Detailinformationen zum ICF finden sich im SAP Dokument "Komponenten der SAP-Kommunikationstechnologie" im Kapitel "Internet Communication Framework" im Abschnitt "Administration: HTTP Kommunikation mit dem SAP-System als Server" und im SAP Dokument "RFC/ICF Security Guide" im Abschnitt "ICF Scenarios".

M 5.128 Absicherung der SAP ALE (IDoc/BAPI) Schnittstelle

Weitere Informationen zur Absicherung der ALE-Schnittstelle finden sich im SAP Dokument "Security Guide ALE (ALE Applications)".

M 5.129 Sichere Konfiguration der HTTP-basierten Dienste von SAP Systemen

Weitere Detailinformationen zur SOAP-Schnittstelle finden sich im SAP Dokument "Komponenten der SAP-Kommunikationstechnologie" im Abschnitt "SOAP Framework" des Kapitels "Internet Communication Framework".

Weitere Hinweise zur Content-Server-Schnittstelle finden sich im SAP Dokument "SAP Content-Server Security Guide" und im Dokument "Knowledge Provider (BC-SRV_KPR)" im Abschnitt "SAP Content Server HTTP 4.5 Schnittstelle".

M 6.97 Notfallvorsorge für SAP Systeme

Detaillierte Hinweise zum Backup finden sich im "SAP NetWeaver Technical Operations Manual". Für den ABAP-Stack in den Abschnitten "Sicherung und Wiederherstellung" sowie "Erstellen einer homogenen Systemkopie", für den Java-Stack im Abschnitt "Sicherung und Wiederherstellung des SAP Web Application Server (Java)".

Prüffragen:

  • Sind den Administratoren die von SAP zur Verfügung gestellten Dokumente bekannt?

  • Werden die von SAP zur Verfügung gestellten Dokumente regelmäßig auf Aktualisierungen geprüft?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK