Bundesamt für Sicherheit in der Informationstechnik

M 5.125 Absicherung der Kommunikation von und zu SAP Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein SAP System kommuniziert über das lokale Netz mit SAP Clients, Browsern, Applikationen und anderen SAP Systemen. Auch zwischen den SAP Systemkomponenten findet Datenaustausch statt. In allen Fällen werden Daten übertragen, die geschützt werden müssen. Dies sind nicht nur die Daten, die genutzt werden, um Benutzer zu authentisieren (z. B. Benutzername und Passwort, SSO-Tickets, SAPSSO2-Cookie), sondern auch Geschäftsdaten, die im Rahmen der aufgerufenen Funktionen verarbeitet werden.

Es muss daher entschieden werden, ob und mit welchem Schutzmechanismus die Kommunikation abgesichert wird. Die Kommunikationsmethoden können im Wesentlichen in folgende Klassen unterteilt werden:

  • RFC-Kommunikation:
    Hier werden die Daten im Klartext übertragen. Protokolle, die auf RFC aufsetzten, beispielsweise DIAG, das von SAPGui-Clients genutzt wird, komprimieren die Daten. Dies ist jedoch kein Schutzmechanismus. Zudem kann die Kompression ausgeschaltet werden.
  • HTTP-basierte Kommunikation:
    Die Daten werden in Klartext-Form übertragen.
  • TCP/IP-Kommunikation:
    Die Daten werden in Klartext-Form übertragen.

Bei der Übertragung schützenswerter Daten von und zu SAP Systemen sollten diese verschlüsselt werden. Zum Schutz der Daten können unterschiedliche Verfahren eingesetzt werden. Es ist daher zu entscheiden, welches Verfahren unter Kosten-Nutzen-Aspekten das günstigste ist. Die Entscheidung ist nachvollziehbar zu dokumentieren.

Einsatz von IPSec

IPSec bietet eine generelle Absicherung der Kommunikation auf IP-Ebene: Alle Datenpakete werden verschlüsselt und integritätsgeschützt. Vorteilhaft an diesem Verfahren ist, dass auf SAP System-Ebene keine zusätzlichen Konfigurationen durchzuführen sind, da der IPSec-Schutz auf Betriebssystem-Ebene konfiguriert wird.

Werden SAP Systeme in reinen Windows-Netzen betrieben (Versionen ab Windows 2000), ist IPSec standardmäßig und ohne Mehrkosten (z. B. für Lizenzen) verfügbar. Es entsteht jedoch administrativer Aufwand für die Konfiguration. Weitere Informationen finden sich in M 5.90 Einsatz von IPSec unter Windows .

Beim Einsatz von IPSec wird sowohl die Kommunikation des ABAP - als auch des Java-Stacks geschützt.

Einsatz von SNC

Innerhalb des SAP Systems kann die Kommunikation mit SNC (Secure Network Communications) geschützt werden. SNC ist jedoch nur eine standardisierte Schnittstelle, so dass SNC-konforme Schutzbibliotheken (auch SNC-Bibliothek, SNC-Modul oder SNC-Implementierung genannt) zusätzlich erworben, lizenziert und installiert werden müssen.

SNC bietet unterschiedliche Schutzlevel an. Im Wesentlichen wird jedoch Authentisierung und Verschlüsselung angeboten. Je nach SNC-Bibliothek können dabei unterschiedliche Algorithmen eingesetzt werden. SNC bietet eine generelle Absicherung der Kommunikation auf SAP System-Ebene.

Bei der Beschaffung von SNC-Implementierungen ist Folgendes zu berücksichtigen:

  • Welche Algorithmen werden angeboten? Es ist auf ausreichend sichere Algorithmen mit ausreichend langen Schlüsseln zu achten. Proprietäre und nicht offen gelegte Verschlüsselungsverfahren sind zu vermeiden.
  • Wie ist das Preis- und Lizenzmodell? Für große Unternehmen oder Behörden können hier nicht zu vernachlässigende Kosten entstehen.
  • Die Authentisierung erfolgt bei SNC außerhalb des SAP Systems. Wie werden die SNC-Benutzer verwaltet? Müssen die Benutzer über ein separates Werkzeug verwaltet werden oder erfolgt eine Integration in bestehende Verwaltungsstrukturen (z. B. LDAP -Server, Windows Active Directory)?

Von SAP sind SNC-Implementierungen kostenfrei verfügbar, die unter Windows einsetzbar sind. Hier kann zwischen einer NTLM-basierten Variante, die lediglich Authentisierung bietet, und einer Kerberos-basierten Variante, die Authentisierung und Verschlüsselung unterstützt, gewählt werden.

SNC schützt beim Einsatz sowohl die Kommunikation des ABAP- als auch des Java-Stacks, ist jedoch jeweils separat zu konfigurieren.

Quellen für SAP Dokumentationen zur SNC-Konfiguration finden sich in M 2.346 Nutzung der SAP Dokumentation .

Einsatz von SSL

Für alle HTTP-basierten Zugriffe ist SSL grundsätzlich zu empfehlen. Dies gilt auch für die interne Kommunikation zwischen Komponenten des SAP Systems und anderen Komponenten, die die Möglichkeit der SSL-Absicherung bieten (z. B. beim LDAP-Zugriff).

Da SSL Verschlüsselungsmechanismen nutzt, SAP jedoch aufgrund unterschiedlicher Export-/Import-Bestimmungen in den verschiedenen Ländern Verschlüsselungsmechanismen nicht standardmäßig ausliefert, muss die Verschlüsslungsbibliothek (SAP Cryptographic Library, SAP Cryptolib) zusätzlich installiert werden. Es ist zu beachten, dass die SSL-Unterstützung für den ABAP-Stack und den Java-Stack separat zu installieren ist.

SSL verhandelt das eingesetzte Schutzverfahren dynamisch zwischen den Kommunikationspartnern. Daher sollten schwache Verfahren aus der Liste der erlaubten Verfahren (der so genannten Cipher-Suite) gelöscht werden.

Hinweise auf detaillierte Anleitung zur Installation und Konfiguration von SSL finden sich in M 2.346 Nutzung der SAP Dokumentation .

Prüffragen:

  • Wird die Kommunikation von und zu SAP Systemen angemessen abgesichert?

  • Ist nachvollziehbar dokumentiert, mit welchen Schutzmechanismen die Übertragung schützenswerter Daten von und zu SAP Systemen erfolgt?

  • SNC (Secure Network Communications) zur Kommunikation von und zu SAP Systemen: Wird auf sichere Algorithmen mit ausreichend langen Schlüsseln geachtet?

Stand: 13. EL Stand 2013