Bundesamt für Sicherheit in der Informationstechnik

M 4.257 Absicherung des SAP Installationsverzeichnisses auf Betriebssystemebene

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Während der SAP Installation werden durch das Installationsprogramm zunächst Daten aus den Installationsquellen (z. B. Verzeichnis im Netz, CD / DVD ) in ein Installationsverzeichnis (z. B. /sapinst) extrahiert. In diesem werden auch alle Aktivitäten während der Installation protokolliert.

Je nach Installationsprogramm können in den Protokolldateien auch schützenswerte Informationen enthalten sein. Dazu zählen die Informationen über die gewählten SAP System-IDs (SAPSID), Informationen über den lokalen Rechner (z. B. IP-Adresse, Rechnername), Namen der gewählten technischen Benutzer. Aber auch die Passwörter, die während der Installation eingegeben wurden, können im Klartext enthalten sein. Dies gilt insbesondere für ältere Installer-Versionen.

Daher wird nach Abschluss der Installation folgendes Vorgehen empfohlen:

  • Das gesamte Installationsverzeichnis ist zu sichern. Die Sicherung sollte so erfolgen, dass auf die Daten nicht von unberechtigten Personen zugegriffen werden kann.
  • Bei Problemen mit der SAP Installation müssen die gesicherten Daten und Protokolle durch SAP Experten gesichtet werden. Hierfür können diese an SAP gesandt oder durch SAP Berater eingesehen werden. Daher müssen in diesem Fall berechtigte Administratoren auf die Daten zugreifen können. Werden die Daten an SAP gesandt oder von Dritten eingesehen, so ist zu bedenken, dass damit diese Personen schützenswerte Systeminformationen erhalten. Daher muss eine entsprechende Vertraulichkeitsvereinbarung geschlossen werden.
  • Das gesicherte Installationsverzeichnis kann danach auf dem installierten System gelöscht werden.

Je nach Schutzbedarf des SAP Systems kann es sinnvoll sein, die Protokolldaten vor dem Zugriff durch Dritte auf Klartextpasswörter zu untersuchen und diese zu löschen oder zu maskieren. Dies wird von neueren Installer-Versionen bereits bei der Protokollerstellung umgesetzt, so dass dadurch keine Beeinträchtigung der Support-Leistung erfolgt, falls die so veränderten Protokolldateien im Support-Fall genutzt werden.

Prüffragen:

  • Wird nach Abschluss der SAP -Installation das gesamte Installationsverzeichnis gesichert?

  • SAP -Installationsverzeichnisses keine unberechtigten Personen zugreifen können?

  • Erforderliche Kenntnisnahme von SAP -Daten durch Dritte: Wird mit Dritten eine entsprechende Vertraulichkeitsvereinbarung geschlossen?

  • Wird nach der SAP -Installation das Installationsverzeichnis auf dem installierten System gelöscht?

Stand: 13. EL Stand 2013