Bundesamt für Sicherheit in der Informationstechnik

M 4.256 Sichere Installation von SAP Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Für die Installation eines SAP Systems sind die nachfolgend beschriebenen Aspekte zu berücksichtigen, denn schon in der Installationsphase werden wichtige Weichen für dessen Sicherheit gestellt.

Verwendete Betriebssysteme absichern

Die Komponenten eines SAP Systems werden als Programme auf einem IT-System installiert und in Form von Prozessen ausgeführt. Damit ist die Sicherheit des genutzten Betriebssystems auch wichtig für die Sicherheit des SAP Systems (siehe auch M 4.257 Absicherung des SAP Installationsverzeichnisses auf Betriebssystemebene ). Die Bausteine der IT-Grundschutz-Kataloge, die für die genutzten IT-Systeme relevant sind, müssen daher in die Modellierung einbezogen und angewendet werden. Außerdem sollten die IT-Systeme gehärtet werden (Hardening), also nicht benötigte Dienste und Programme deaktiviert oder besser entfernt werden.

Hinweise auf weitere Informationen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Nur benötigte Komponenten installieren

Ein SAP System besteht potentiell aus vielen Komponenten unterschiedlichster Ausprägung. Ungenutzte Komponenten jeglicher Art bergen jedoch Sicherheitsrisiken, da diese oftmals vergessen werden und daher ohne angepasste Konfiguration sind.

Für ein SAP System muss insbesondere entschieden werden, ob nur ein oder beide Stacks benötigt werden, sofern die eingesetzte Systemversion die separate Installation noch unterstützt. Ist dies nicht der Fall, muss der nicht benötigte Stack-Teil so abgesichert werden, dass dessen Funktionen nicht unberechtigt genutzt werden können.

Wahl von sicheren Passwörtern

Schon während der Installation müssen wichtige Authentisierungsdaten eingegeben werden. Dies sind beispielsweise Passwörter für technische Benutzer, die von den SAP Systemkomponenten (z. B. der Komponente, die die Verbindung zwischen Java-Stack und ABAP -Stack realisiert) zur Authentisierung bei internen Kommunikationsverbindungen genutzt werden.

Es ist darauf zu achten, dass dabei sichere Passwörter gewählt werden. Die Passwörter sollten sich an den internen Passwortvorgaben orientieren. Es ist auch dann ein neues Passwort einzugeben, falls die Installationsroutine bereits ein Passwort vorgibt.

Im Rahmen der Risikobetrachtung für das SAP System ist zu bedenken, dass der Administrator, der das SAP System installiert und die Passwörter festlegt, dadurch die Möglichkeit besitzt, die Sicherheitsmechanismen des SAP Systems zu unterwandern. Die technischen Benutzer, für die die Passwörter anzugeben sind, besitzen in der Regel hohe Privilegien. Daher müssen die Passwörter nach der Installation durch vertrauenswürdige Administratoren verändert werden. Alternativ kann die Passworteingabe im Vier-Augen-Prinzip erfolgen, wobei je einer von zwei Administratoren die Hälfte des Passwortes eingibt. Dies gilt insbesondere in Outsourcing-Szenarien.

Bei der Passwortlänge ist zu beachten, dass ABAP- und Java-Stack unterschiedliche Restriktionen besitzen: Für den ABAP-Stack können Passwörter maximal aus 8 Zeichen bestehen. Groß- und Kleinschreibung wird dabei nicht unterschieden. Für den Java-Stack gelten diese Beschränkungen nicht. Bei der Passworteingabe ist daher zu berücksichtigen, ob der zugehörige technische Benutzer im ABAP- oder Java-Stack angelegt wird.

Die eingestellten Passwörter sind gemäß der geltenden Passwortrichtlinie zu dokumentieren und aufzubewahren. Hinweise zur Passwortgestaltung finden sich auch in M 2.11 Regelung des Passwortgebrauchs .

Installationsquellen absichern

In der Regel werden SAP Systeme nicht direkt von CD oder DVD installiert. Vielmehr wird eine Verzeichnisstruktur lokal oder im Netz genutzt, um die Daten anzubieten, die zur Installation benötigten werden. Die Daten der CD- bzw. DVD-Medien werden dann dorthin kopiert. Es wird empfohlen, die Daten nicht lokal auf dem Rechner zu halten, auf dem das SAP System installiert wird, sondern auf einem separaten Rechner. Auf die Daten kann dann über das Netz zugegriffen werden. In großen Behörden und Unternehmen kann dieses Verzeichnis genutzt werden, um zusätzliche SAP Systeme zu installieren. Werden die Systeme nicht in einem separaten und abgeschirmten Netzsegment installiert, so ist es sinnvoll, den Installationsrechner vom Netz zu nehmen, solange er nicht benötigt wird.

Es wird empfohlen den Zugriff auf die Installationsquellen mit Mitteln des Betriebssystems abzusichern, so dass nur berechtigte Administratoren darauf zugreifen können. Unberechtigte Benutzer dürfen insbesondere keine schreibenden Rechte auf die Installationsquellen besitzen, damit die enthaltenen Daten nicht verändert werden können.

Werden die Installationsquellen lokal auf den Rechnern des SAP Systems vorgehalten, so wird empfohlen, diese nach Abschluss der Installation zu löschen.

SAP Hinweise für die Installation umsetzen

Die Installationsanleitung eines SAP Systems enthält in der Regel eine Vielzahl von Verweisen auf SAP Hinweise, in denen wichtige Informationen für eine reibungslose Installation oder zur Problemlösung bei Installationsproblemen enthalten sind. In der Regel verweisen die in der Dokumentation genannten SAP Hinweise selbst auch wieder auf weitere SAP Hinweise, so dass eine beträchtliche Informationsmenge zusammenkommen kann. Die Hinweise sind im Vorfeld der Installation zu besorgen. In der Regel ist es zunächst ausreichend, ausgehend von der Installationsdokumentation die dort angegebenen Hinweise zu lesen und einen weiteren Iterationsschritt durchzuführen. Oft wird bei Referenzen auf weitere Informationen explizit angegeben, ob diese verpflichtend abzuarbeiten sind oder nur unter bestimmten Bedingungen angewandt werden sollen. Es wird dringend empfohlen, alle relevanten Informationen tatsächlich abzuarbeiten, da es sonst leicht zu Fehlinstallationen kommen kann.

Insbesondere wenn die Installation zwar abgeschlossen wird, dabei jedoch Fehler aufgetreten sind, ist es möglich, dass Teilfunktionen eines SAP Systems nicht korrekt arbeiten. Dies kann auch sicherheitsrelevante Auswirkungen haben, so dass immer eine fehlerfrei abgeschlossene Installation anzustreben ist. Fehlermeldungen können nur dann ignoriert werden, wenn dies explizit durch die Installationsanleitung oder SAP Hinweise angegeben wird.

SAP Hinweise sind über den SAP Service Marktplatz (siehe M 2.265 Geeigneter Einsatz digitaler Signaturen bei der Archivierung ) zu erreichen. Es wird empfohlen, die SAP Hinweise auszudrucken und nach der Abarbeitung der Systemdokumentation beizulegen.

Aktuelle SAP Sicherheitsleitfäden berücksichtigen

Für immer mehr Produkte von SAP stehen Sicherheitsleitfäden zur Verfügung. Obwohl diese unterschiedlich in der Qualität der Sicherheitsempfehlungen sind, ist es sinnvoll, die Leitfäden für die zu installierenden SAP Komponenten zu verwenden. Die Sicherheitsleitfäden werden in Abständen aktualisiert, so dass es sich lohnt, neuere Leitfäden für bereits installierte Systeme zu berücksichtigen.

Die Sicherheitsleitfäden stehen vornehmlich für aktuelle System- und Produktversionen zur Verfügung. Es lohnt sich jedoch auch für Betreiber von älteren R/3 Systemen, die Sicherheitsleitfäden für neuere Produkt-Versionen zu nutzen, da viele Empfehlungen direkt anwendbar sind oder leicht adaptiert werden können.

Die existierenden SAP Sicherheitsleitfäden sind über den SAP Service Marktplatz (siehe M 2.346 Nutzung der SAP Dokumentation ) erreichbar.

Sichere Installation und Konfiguration der Datenbank

Die Datenbank, die das SAP System nutzt, um alle Informationen persistent zu speichern, ist eine kritische Komponente, die vor unberechtigtem Zugriff unbedingt geschützt werden muss. Neben den allgemeinen Aspekten einer sicheren Datenbank-Installation sind die spezifischen Empfehlungen in der Maßnahme M 4.269 Sichere Konfiguration der SAP System Datenbank zusammengefasst. Die Sicherheit von Datenbanken wird auch im Baustein B 5.7 Datenbanken behandelt.

Sichere Installation und Konfiguration der SAP Systemlandschaft

Entsprechend der Planung der Systemlandschaft (siehe M 2.341 Planung des SAP Einsatzes ) müssen die betroffenen SAP und Nicht-SAP Komponenten (z. B. Firewalls) installiert und konfiguriert werden.

Prüffragen:

  • Werden bei der Installation des SAP -Systems die IT -Systeme gehärtet (Hardening), also nicht benötigte Dienste und Programme deaktiviert beziehungsweise entfernt?

  • Wird bei der Installation des SAP -Systems der eventuell Nicht benötigte Stack-Teil gegen unberechtigte Nutzung abgesichert?

  • Orientiert sich die Passwortauswahl bei der SAP -Installation an den internen Passwortvorgaben?

  • Werden bei der SAP -Installation auch dann neue Passwörter eingegeben, wenn die Installationroutine bereits ein Passwort vorgibt?

  • Werden die während der SAP -Installation vergebenen Passwörter durch vertrauenswürdige Administratoren geändert?

  • Sind die SAP -Installationsquellen abgesichert, so dass nur berechtigte Administratoren darauf zugreifen können?

  • Werden die Installationshinweise zur SAP -Installation im Vorfeld und während der Installation berücksichtigt?

  • Erfolgt die sichere Installation und Konfiguration der betroffenen SAP und Nicht- SAP Komponenten entsprechend der Planung?

Stand: 13. EL Stand 2013