Bundesamt für Sicherheit in der Informationstechnik

M 2.350 Aussonderung von SAP Systemen

Verantwortlich für Initiierung: Informationssicherheitsmanagement, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wird entschieden, ein SAP System nicht weiter zu betreiben, weil es beispielsweise durch eine neuere Systemversion auf neuer Hardware abgelöst wird, so sind die nachfolgend beschriebenen Punkte zu beachten. Die Maßnahmen sollen verhindern, dass ein Angreifer die freigewordene Identität des SAP Systems missbrauchen kann. Der Aussonderungsprozess muss also dafür Sorge tragen, dass die Identität des SAP Systems gelöscht und unbrauchbar wird.

Löschen/Entsorgen der Speichermedien

Die Speichermedien aller betroffenen Rechner sind vor der Wiederverwendung sicher zu löschen (siehe M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten ). Wird die Hardware entsorgt, so muss dies ebenfalls auf sichere Weise geschehen (siehe M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln ).

System aus dem SAP Verbund löschen

In der Regel ist ein SAP System in einen SAP Verbund eingebunden. Andere Systeme besitzen daher Referenzen auf das auszusondernde System.

Alle Referenzen auf das ausgesonderte System in anderen SAP Systemen oder Komponenten müssen gelöscht werden. Dies betrifft unter anderem

  • Identitäten (d. h. technische Benutzer), unter denen das ausgesonderte System zugreift,
  • Vertrauensstellungen,
  • Destinationen,
  • Konfigurationen des Transportsystems,
  • Konfigurationen der zentralen Benutzerverwaltung,
  • Konfigurationen der Systemüberwachung (Monitoring).

Es muss beachtet werden, dass dabei auch Referenzen in Systemen externer Partner betroffen sein können. Der Aussonderungsprozess muss daher auch dafür sorgen, dass entsprechende Prozesse bei betroffenen externen Partnern angestoßen werden.

System aus dem Netzverbund löschen

Alle Referenzen auf Netz- und Betriebssystem-Ebene sind zu löschen. Dies betrifft unter anderem

  • DNS -Einträge,
  • Firewall-Regeln,
  • SAPGui/SAPLogon-Konfiguration (Systemlisten),
  • Einträge in "host" und "services" Dateien.

Für die Listen verfügbarer Systeme für das SAP Logon - diese werden in der Datei saplogon.ini gespeichert - empfiehlt es sich, eine zentrale Verwaltung zu nutzen und die Datei auf die Clients zu verteilen.

Prüffragen:

  • Werden die Speichermedien aller betroffenen Rechner von SAP Systemen vor der Wiederverwendung oder Aussonderung sicher gelöscht?

  • Sind bei der Aussonderung von SAP Systemen alle Referenzen auf das ausgesonderte System in anderen SAP Systemen oder Komponenten gelöscht?

  • Werden bei der Aussonderung von SAP Systemen auch alle Referenzen auf Netz- und Betriebssystem-Ebene gelöscht?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK