Bundesamt für Sicherheit in der Informationstechnik

M 4.273 Sichere Nutzung der SAP Java-Stack Software-Verteilung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Java-Stack nutzt ein eigenes Software-Verteilungsverfahren, das sich vom ABAP -Stack Transportsystem unterscheidet. Der so genannte Software Deployment Manager (SDM) dient dazu, neue Software in den JAVA-Stack einzuspielen. Der SDM ist Client-/Server-basiert aufgebaut, so dass Änderungen auch aus der Entfernung eingespielt werden können. Neben den allgemeinen Anforderungen (siehe M 2.221 Änderungsmanagement ) ist Folgendes im Kontext der Software-Verteilung (Deployment) unter Sicherheitsgesichtspunkten zu bedenken:

  • Es muss ein Konzept für die SAP Software-Verteilung geplant und erstellt worden sein. Das Software-Verteilungskonzept muss auf die Java-Besonderheiten abgestimmt sein, da hier im Vergleich zum ABAP-Stack unterschiedliche Verfahren und Werkzeuge eingesetzt werden müssen.
  • Für den Test-, Validierungs- und Abnahmeprozess sind die Verantwortlichkeiten zu definieren.
  • Durch Entwickler oder andere Personen dürfen keine Software-Verteilungen direkt aus den Entwicklungsumgebungen in Produktivsysteme erfolgen. Es ist zu bedenken, dass die SAP Entwicklungsumgebung Software direkt in den Java-Stack laden kann. Dies ist durch technische Maßnahmen (z. B. Firewall) auszuschließen.
  • Der für die Software-Verteilung eingesetzte Software Deployment Manager (SDM) Dienst muss sicher betrieben werden. Ältere Versionen des SDM bieten nu eine schwache Absicherung, da nur ein Benutzer unterstützt wird und keine weiteren Berechtigungen vergeben werden können.
  • Die SDM-Server-Komponente sollte nicht permanent laufen, sondern nur bei Bedarf gestartet werden.

Quellen für SAP Dokumentationen finden sich in M 2.341 Planung des SAP Einsatzes .

Prüffragen:

  • Existiert ein auf die Java-Besonderheiten abgestimmtes Konzept für die SAP Software-Verteilung?

  • Sind Verantwortlichkeiten und Prozesse etabliert, welche die Sicherheit bei der SAP Software-Verteilung gewährleisten?

  • Wird technisch verhindert, dass Software-Verteilungen direkt aus der Entwicklungsumgebung in das SAP Produktivsystem erfolgen können?

Stand: 13. EL Stand 2013