Bundesamt für Sicherheit in der Informationstechnik

M 2.347 Regelmäßige Sicherheitsprüfungen für SAP Systeme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Revisor

Die Sicherheit eines SAP Systems kann nur dann auf Dauer gewährleistet werden, wenn dieses regelmäßig geprüft wird. Auf diese Weise können Fehlkonfigurationen und Schwachstellen aufgedeckt und behoben werden.

Sicherheitsprüfungen sollten in regelmäßigen Abständen durch unterschiedliche Personen erfolgen. So sollten beispielsweise Administratoren in relativ kurzen Abständen (etwa monatlich) Kurzprüfungen durchführen. Es empfiehlt sich dabei, eine Prüfliste aufzubauen, damit ein definierter Prüfumfang gewährleistet ist. Festgestellte kleinere Probleme können meist sofort durch die Administratoren korrigiert werden, größere Probleme sind entsprechend der Prozessvorgaben weiterzumelden. In mittleren Zeitabständen (mehrere Monate) sollten Sicherheitsprüfungen durch andere, interne Rollen (z. B. Informationssicherheit, IT-Revision) erfolgen. In längeren Zeitabständen können dann auch Prüfungen durch externe Prüfer sinnvoll sein. Folgende Aspekte sind bei Prüfungen zu berücksichtigen:

Regelmäßige Recherche von sicherheitsrelevanten Informationen

Generell müssen sich Administratoren und für die Informationssicherheit verantwortliche Personen regelmäßig über Neuerungen und Änderungen informieren, die die verantworteten Systeme betreffen. Dazu sind insbesondere die SAP Informationsquellen regelmäßig zu sichten.

Siehe dazu auch M 2.346 Nutzung der SAP Dokumentation .

Berechtigungen für Revisionsbenutzer

Für das SAP Benutzerkonto, das zur Prüfung der Systemkonfiguration durch externe Personen genutzt wird, sollten nur lesende Berechtigungen vergeben sein. Veränderungen dürfen durch den Revisionsbenutzer nicht durchgeführt werden. Im ABAP -Stack darf dem Revisionsbenutzer nicht das Profil SAP_ALL zugeordnet werden.

Können die Berechtigungen des Revisionsbenutzers nicht auf den lesenden Zugriff beschränkt werden, so darf der Zugriff nur im 4-Augen-Prinzip erfolgen.

SAP bietet ein eigenes Audit System (Audit Information System, AIS ) an, das es Revisoren ermöglicht, ein SAP System zu untersuchen. Dabei sind bereits unterschiedliche Rollen und Berechtigungen verfügbar, die dem Benutzerkonto des Revisionsbenutzers zugeordnet werden können. Die verfügbaren Rollen sind in der Regel so gestaltet, dass nur lesender Zugriff besteht. Die Rollen können im Profilgenerator (Transaktion PFCG) über die Suche "SAP*AUDITOR*" eingesehen werden.

Zugriff auf AIS konfigurieren

Für die Prüfung kann das Audit Information System (AIS) eingesetzt werden. Das AIS liegt in unterschiedlichen Versionen vor: als Transaktion SECR und in der rollenbasierten Version.

Über die Transaktion SECR können Prüfungen teilweise automatisiert erfolgen. Das AIS erlaubt es außerdem, das Prüfergebnis zu dokumentieren und den Prüfstatus (Ampel-Status: rot, gelb, grün) vorzuhalten.

Es empfiehlt sich, eine Untermenge der angebotenen Prüfmöglichkeiten zu definieren (Top 10 Security Reports) und diese abzuarbeiten. Dabei ist die festgestellte Ist-Konfiguration gegen die Soll-Konfiguration zu prüfen.

Es ist zu bedenken, dass das AIS kritische Systeminformationen preisgibt. Der Zugriff muss daher auf die berechtigten Prüfer eingeschränkt werden (S_TCODE, Transaktion SECR).

Im Gegensatz zur Transaktion SECR besteht das rollenbasierte AIS aus vorgefertigten Rollen, Berechtigungen und Programmen, die es ermöglichen, einem Benutzer die für ein Audit notwendigen Berechtigungen auf System- und Modul-Ebene zu erteilen. Im Fokus stehen dabei vornehmlich kaufmännische Audits. Das rollenbasierte AIS muss entsprechend eingerichtet und konfiguriert werden.

Detaillierte Informationen dazu finden sich in M 2.346 Nutzung der SAP Dokumentation .

Prüfen der Veränderungen der Systemänderbarkeit

Die Einstellungen zur Systemveränderbarkeit sind regelmäßig zu prüfen. Dazu kann die Transaktion SE03 "Administration/Systemänderbarkeit" genutzt werden. Zu prüfen sind die globalen Einstellungen und die Einstellungen für jeden Mandanten. Informationen zur Systemänderbarkeit finden sich auch in M 4.258 Sichere Konfiguration des SAP ABAP-Stacks .

Für den Java-Stack besteht nicht die Möglichkeit, die Systemänderbarkeit durch Systemeinstellungen zu konfigurieren.

Security Auditlog

Das Security Auditlog enthält sicherheitsrelevante Protokoll-Einträge. Eine regelmäßige Auswertung muss daher erfolgen. Für die Auswertung können die Transaktionen SM20, SM20N oder RZ27_Security eingesetzt werden, wobei die Transaktion SM20N aufgrund der besseren Benutzungsschnittstelle zu bevorzugen ist. Um die Transaktionen SM20 und SM20N verwenden zu können, muss vorher mit der Transaktion SM19 der Auswerteumfang definiert und das Auditlog aktiviert werden (siehe auch M 4.270 SAP Protokollierung ).

Profilparameter

Die eingestellten Profilparameter sind gegen die geplanten Soll-Werte zu prüfen (siehe auch M 4.258 Sichere Konfiguration des SAP ABAP-Stacks ). Die gültigen Profilparameter lassen sich auch direkt über die Transaktion SM20N anzeigen. Alternativ kann der Report RSPARAM über die Transaktion SE38 ausgeführt werden.

Benutzerinformationssystem

Über das Benutzerinformationssystem (Transaktion SUIM) sollten regelmäßig Prüfungen erfolgen. Folgende Informationen sind dabei sicherheitsrelevant:

  • Benutzer mit Falschanmeldungen
    Dies kann auf Angriffsversuche hindeuten.
  • Benutzer mit Anmeldedaten und Kennwortänderungen
    So lassen sich Benutzer identifizieren, die nie angemeldet sind oder ihr Passwort nicht geändert haben, sofern dies nicht automatisch erzwungen wird.
  • Benutzer mit kritischen Kombinationen von Berechtigungen für den Transaktionsstart
    Es sollte ein Abgleich mit dem Berechtigungskonzept erfolgen.
  • Benutzer mit kritischen Berechtigungen
    Es sollte ein Abgleich mit dem Berechtigungskonzept erfolgen.
  • Änderungsbelege für Benutzer, Rollenzuordnungen, Rollen, Profile und Berechtigungen
    Hierbei ist insbesondere auf Änderungen an administrativen Objekten zu prüfen.

Erreichbare SAP Gateways

Über die Transaktion RSGWLST können die von einem SAP System erreichbaren SAP Gateways anderer SAP Systeme bestimmt werden. Dies zeigt die Verbindungs- und Zugriffsmöglichkeiten auf. Es können die Einstellungen der Datei "secinfo" der entfernten Gateways eingesehen werden, über die die Autorisierungen zum Ansprechen und Registrieren des entfernten SAP Gateways definiert werden. Zusätzlich können die Destinationen und die registrierten RFC-Server-Programme der ansprechbaren entfernten SAP Gateways abgeprüft werden.

Die Auswertung erfordert jedoch entsprechende technische Kenntnisse. Da über die Transaktion RSGWLST auch sensitive Systeminformationen erlangt werden können, muss die Transaktion zugriffsbeschränkt werden.

Der Status des SAP Gateways des lokalen Systems kann über die Transaktion SMGW (Gateway Monitor) geprüft werden.

Prüfen der Single Sign-On (SSO) Möglichkeiten

Benutzer können sich an einem SAP System zunächst mit gültigen Authentisierungsinformationen (z. B. Benutzername/Passwort, Zertifikat) anmelden und dann über den SSO Mechanismus ohne erneute Eingabe von Authentisierungsinformationen auf andere SAP Systeme zugreifen.

Über die Transaktion STRUST können die Zertifikate anderer SAP Systeme eingesehen werden, die das lokale SAP System bei SSO-Zugriffen akzeptiert. Hier sollten nur vertrauenswürdige Systeme eingetragen sein. Alternativ kann die Prüfung auch über die Transaktionen SSO2 oder SSO2_ADMIN erfolgen.

Regelmäßige Prüfung der Berechtigungen

Das vollständige Prüfen von Berechtigungen ist in der Regel aufgrund des Mengengerüstes nicht manuell möglich. Daher ist ein gutes Berechtigungskonzept unbedingt notwendig. Aber auch dann müssen die Berechtigungen regelmäßig auf Konsistenz mit dem Berechtigungskonzept geprüft werden. Hier können Stichproben (siehe auch "Benutzerinformationssystem" oben) für wichtige Benutzergruppen durchgeführt werden. Das Berechtigungskonzept muss sicherstellen, dass Prozesse aufgesetzt sind, die verhindern, dass Berechtigungen angesammelt werden.

Zusätzlich können Werkzeuge zum Einsatz kommen, die ein integriertes Änderungs- und Risikomanagement anbieten, so dass beispielsweise die Möglichkeit des Betrugs durch Benutzer aufgrund von Berechtigungsproblemen verringert werden kann. SAP bietet dazu den so genannten "SAP GRC Access Control" an, der die konfigurierten Berechtigungen dahingehend prüft, ob Benutzer Berechtigungen besitzen, die aus Sicherheitssicht als kritisch zu betrachten sind. Solche Prüfungen finden typischerweise auch im Sarbanes-Oxley-Umfeld statt, sind generell jedoch für jede Behörde oder jedes Unternehmen sinnvoll. Die Prüfung muss die unter diesen Gesichtspunkten kritischen Berechtigungen für Transaktionen (wie etwa SE80, SE16, SQVI oder kritische Autorisierungsobjekte für Benutzer, beispielsweise S_PROGRAM, S_USER_GRP, S_TABU_DIS, S_RFC, S_USR_RFC) erkennen und anzeigen. Ähnliche Prüfwerkzeuge sind auch von Drittherstellern erhältlich.

Aktualität der Updates prüfen

Für das SAP System ist die Aktualität der installierten Updates zu prüfen. Dazu kann die Transaktion SPAM eingesetzt werden. Der aktuelle Patch-Stand des Systems muss dann mit den verfügbaren Patches verglichen werden. Dies erfordert, dass dem Prüfer die von SAP verfügbaren Patches bekannt sind.

Die Prüfung muss auch auf Fehler oder Warnungen bei Updates erfolgen. Dabei ist zu beachten, dass Warnungen auch dann existieren können, wenn der Update-Status auf "grün" steht.

Sicherheit der Kommunikationsschnittstellen prüfen

Die Sicherheit der unterschiedlichen Kommunikationsschnittstellen (siehe auch M 5.125 Absicherung der Kommunikation von und zu SAP Systemen ) sollte geprüft werden. Dies betrifft beispielsweise die RFC-, ICF- und ALE-Schnittstellen des ABAP-Stack und die Schnittstellen des Java-Stacks.

Hier ist insbesondere zu prüfen, wer administrative Berechtigungen besitzt und welche Dienste und Funktionen verfügbar sind.

Prüffragen:

  • Werden im SAP System in regelmäßigen Abständen Sicherheitsprüfungen mit definiertem Prüfumfang durchgeführt?

  • Werden im SAP System die Einstellungen zur Systemänderbarkeit (globale Einstellungen, Einstellungen für jeden Mandanten) regelmäßig geprüft?

  • Erfolgt eine regelmäßige Auswertung des Security Auditlog im SAP System?

  • Werden die eingestellten Profilparameter im SAP System gegen die geplanten Soll-Werte geprüft?

  • Erfolgt im SAP System regelmäßig eine Prüfung zum Benutzerinformationssystem?

  • Werden im SAP System die Berechtigungen regelmäßig auf Konsistenz mit dem Berechtigungskonzept geprüft?

  • Wird für das SAP System die Aktualität der installierten Updates geprüft?

  • Werden im SAP System die Kommunikationsschnittstellen ( z. B. RFC, ICF und ALE) geprüft, insbesondere wer administrative Berechtigungen besitzt und welche Dienste und Funktionen verfügbar sind?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK