Bundesamt für Sicherheit in der Informationstechnik

M 5.127 Absicherung des SAP Internet Connection Framework (ICF)

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Das Internet Connection Framework (ICF) eines SAP Systems erlaubt den HTTP-basierten Zugriff auf Funktionen des ABAP -Stacks. Daneben wird durch das ICF auch das Simple Mail Transport Protocol (SMTP) unterstützt. Es können verschiedene Dienste (Services) angesprochen werden. Die Dienste sind in einer dateisystemähnlichen Baumstruktur hierarchisch angeordnet. Der HTTP-Zugriffspfad (URL-Pfad-Anteil) wird durch den Pfad in der Baumstruktur bestimmt. Für die Administration des ICF wird die Transaktion SICF benutzt.

Die nachfolgend aufgeführten Empfehlungen sollten im Zusammenhang mit dem ICF beachtet werden.

Hinweise auf SAP Dokumentationen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Aktive ICF-Dienste

Es sollten nur die benötigten Dienste aktiviert werden. Für jeden aktivierten Dienst sollte dessen Funktion bekannt sein. Es ist empfehlenswert, zu jedem Dienst kurz zu notieren, welche Funktion er hat und ob er aktiviert werden darf.

Nach der Installation eines SAP Systems sind alle ICF-Dienste deaktiviert. Dennoch wird eine Prüfung dieses Sachverhaltes empfohlen. Auch nach der Installation von Updates und neuer ICF-Dienste sollte dies geprüft werden.

Die Möglichkeit, die komplette ICF-Baumhierarchie, die unter einem ICF-Objekt hängt, auf einmal zu aktivieren, sollte nicht genutzt werden. Dienste sollten immer einzeln aktiviert werden.

SSL-Schutz

Für den Zugriff auf ICF-Dienste kann einzeln konfiguriert werden, ob die Kommunikation beim Zugriff mit SSL geschützt sein muss. Es kann hier generell empfohlen werden (siehe M 5.125 Absicherung der Kommunikation von und zu SAP Systemen ), SSL für alle Dienste zu aktivieren, um die übertragenen Daten vor unberechtigter Kenntnisnahme zu schützen. Da sich die auf einem ICF-Objekt eingestellten Eigenschaften in den Unterbaum vererben, genügt es, dazu die Konfiguration auf dem Wurzelknoten anzupassen.

Authentisierte Zugriffe

Für jeden ICF-Dienst muss definiert werden, mit welcher Authentisierungsvariante der Zugriff erlaubt werden soll. Dies gilt insbesondere für Eigenentwicklungen.

In der Regel empfiehlt sich folgende Konfiguration für die Benutzerauthentisierung:

  • Anonyme Anmeldedaten: keine Werte eintragen.
  • Sicherheitsanforderung: SSL
  • Basic Authentication: Standard SAP-Benutzer

Soll auf Dienste anonym zugegriffen werden, müssen Anmeldeinformationen unter "Anonyme Anmeldedaten" angegeben werden. Alle anonymen Zugriffe erfolgen dann unter dem eingetragenen Benutzer. In diesem Fall sollten ausschließlich technische Benutzer verwendet werden, die vom Typ Service sind. Dialogbenutzer sollten nicht genutzt werden.

Es muss beachtet werden, dass die Anmeldedaten für anonyme Zugriffe, die für ein ICF-Objekt definiert sind, auch für alle Unterobjekte im Unterbaum gelten. Unterschiedliche Anmeldedaten (z. B. Client, Benutzer, Sprache) die auf verschiedenen Objekten definiert sind, die auf dem Baumpfad zu einem bestimmten Objekt liegen, können sich auch überlagern.

Generell findet nach dem Aufruf eines ICF-Dienstes (z. B. einer Business Server Pages Applikation, BSP) auch immer die normale Prüfung auf die von der Applikation genutzten Berechtigungsobjekte statt.

ICF-Administration

Die administrativen Transaktionen SICF (ICF Dienst-Verwaltung) und SMICM (ICF-Monitor) sind vor unberechtigten Zugriffen zu schützen (Berechtigungsobjekt: S_TCODE).

In produktiven Systemen sollten die Funktionen, die das detaillierte Protokollieren von Client-Anfragen erlauben (z. B. Debugging, Trace, Laufzeitanalyse, Recorder), nicht genutzt werden. Fehlersituationen sollten im Test- und Akzeptanzsystem untersucht werden.

ICF-Zugriffsberechtigungen

Personen, die auf ICF-Dienste zugreifen, sollten nicht gleichzeitig über die Dialogschnittstelle (SAPGui) Zugriff auf das SAP System besitzen, so dass den Personen ein Service-Benutzer zugeordnet werden kann.

Die Zugriffsberechtigung auf ICF-Dienste sollte restriktiv vergeben werden. Das Berechtigungsobjekt S_ICF wird für die Berechtigungsprüfung herangezogen. Für die Zugriffskontrolle auf ICF-Dienste muss folgende Konfiguration gewählt werden:

  • Für das Feld ICF_FIELD muss der Wert "SERVICE" eingetragen werden.
  • Für das Feld ICF_VALUE muss die Zeichenkette genutzt werden, die im betroffenen ICF-Dienst unter "Service-Daten/Service Optionen/SAP-Berechtigung" eingetragen ist. Ist für mehrere Dienste die gleiche Zeichenkette eingetragen, so kann der Zugriff auf all diese Dienste über eine Berechtigung gesteuert werden (siehe dazu auch M 4.263 Absicherung von SAP Destinationen ).

Informationen auf Fehlerseiten

Die Fehlerseiten von ICF-Diensten sollten keine internen Informationen enthalten. Dies gilt insbesondere für selbst erstellte Dienste.

Prüffragen:

  • Sind im SAP System nur die benötigten ICF -Dienste aktiviert worden?

  • Wird zu jedem aktivierten ICF -Dienst im SAP System notiert, welche Funktionen er hat und geprüft ob er aktiviert werden darf?

  • Wird nach der Installation von Updates oder neuer ICF -Dienste im SAP System geprüft, ob keine ungewollten ICF -Dienste aktiviert sind?

  • Werden detaillierte Protokollierung von Client-Anfragen im produktiven SAP System vermieden und Fehlersituationen stattdessen im Test- beziehungsweise Akzeptanzsystem untersucht?

  • Werden im SAP System die Zugriffsberechtigungen auf ICF -Dienste restriktiv vergeben?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK