Bundesamt für Sicherheit in der Informationstechnik

M 4.268 Sichere Konfiguration der SAP Java-Stack Berechtigungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei der Planung und Konfiguration der SAP Java-Stack Berechtigungen ist Folgendes zu berücksichtigen:

  • Das SAP Java-Stack Berechtigungskonzept unterscheidet sich fundamental vom Berechtigungskonzept des ABAP -Stacks, da hier die Konzepte der Java Spezifikation J2EE umgesetzt sind.
  • Für die korrekte und sichere Konfiguration sind detaillierte Kenntnisse des J2EE-Sicherheitsmodells und der -Sicherheitskonzepte notwendig. Daher sollte die Konfiguration nur durch geschulte Administratoren erfolgen.
  • Die Konfiguration der Zugriffbeschränkungen auf Ressourcen und für Java Protection Domains (Code Security) erfolgt über den "security" Service.
  • Zugriffsbeschränkungen auf die JNDI-Objekte (Java Objekt Registratur und Namensdienst) erfolgen über den "naming" Dienst.
  • Zugriffsbeschränkungen auf Java Bean-Methoden erfolgen über den "ejb" Dienst jeweils in den Eigenschaften der einzelnen Bean-Objekte auf der Registrierkarte "Security".
  • Die jeweils verfügbaren Objekte hängen von den installierten Applikationen ab.
  • Die Gruppe "root", die in Versionen vor 6.40 verfügbar ist, bezeichnet nicht eine Gruppe von Administratoren, sondern alle Benutzer. Die Gruppe entspricht daher eher der vergleichbaren Windows-Gruppe "Jeder/Everyone".
  • Nach der Installation müssen die voreingestellten Berechtigungen geprüft und unter Umständen entsprechend dem erstellten Berechtigungskonzept abgeändert werden.

Generell sind die Berechtigungen restriktiv zu vergeben. Im Rahmen der Berechtigungsplanung muss jeweils entschieden werden, welcher Benutzer welche Berechtigung auf welche Objekte besitzt.

Prüffragen:

  • Sind die Administratoren ausreichend zur Konfiguration der SAP Java-Stack Berechtigungen geschult?

  • Wurden nach der Installation des SAP Java-Stacks die voreingestellten Berechtigungen entsprechend dem Berechtigungskonzept angepasst?

  • Sind die Berechtigungen des SAP Java-Stacks restriktiv vergeben?

Stand: 13. EL Stand 2013