Bundesamt für Sicherheit in der Informationstechnik

M 5.128 Absicherung der SAP ALE (IDoc/BAPI) Schnittstelle

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Application-Link-Enabling-Schnittstelle (ALE) wird als Kommunikationsmechanismus zur Integration von Geschäftsprozessen über mehrere SAP Systeme oder andere externe Systeme hinweg genutzt. Über die Schnittstelle werden Geschäftsdaten und Systemdaten (z. B. beim Einsatz der Zentralen Benutzerverwaltung) zwischen Sender- und Empfänger-System transportiert. Die Verarbeitung erfolgt in den Empfänger-Systemen automatisiert. Daher muss die ALE-Schnittstelle abgesichert werden. Dabei ist Folgendes zu beachten:

  • ALE nutzt das RFC-Protokoll (genauer: transaktionaler RFC, tRFC) zur Datenübertragung. Daher sind alle RFC-spezifischen Sicherheitsmaßnahmen umzusetzen (siehe M 5.126 Absicherung der SAP RFC-Schnittstelle ).
  • ALE-Destinationen im Sender-System sind zu schützen, da hier Authentisierungsinformationen hinterlegt werden müssen (siehe M 4.263 Absicherung von SAP Destinationen ).
  • ALE-Berechtigungen im Empfänger-System sind restriktiv zu vergeben (siehe auch M 4.261 Sicherer Umgang mit kritischen SAP Berechtigungen ).
  • ALE-Administrationsberechtigungen dürfen nur den berechtigten Administratoren zugeordnet werden.
  • Für die Benutzerkennungen, die in Sender-Systemen für ALE-Destinationen eingetragen sind, dürfen im Empfänger-System keinen ALE-Administrationsberechtigungen bestehen.
  • Benutzerkennungen, die in Sender-Systemen für ALE-Destinationen eingetragen sind, müssen im Empfänger-System vom Typ "Kommunikation" sein.
  • Normale Benutzer dürfen keine ALE-Berechtigungen besitzen.
  • Für externe Nicht-SAP Systeme müssen die zum Zugriff auf die ALE-Schnittstelle genutzten Authentisierungsinformationen geschützt abgelegt sein. Die Informationen sollten nur für die Systemkomponenten oder ALE-Administratoren zugreifbar sein.

Hinweise auf weitere Informationen zur Absicherung der ALE-Schnittstelle finden sich in M 2.346 Nutzung der SAP Dokumentation .

Prüffragen:

  • Ist die ALE -Schnittstelle im SAP System abgesichert?

  • Sind im SAP System nur den berechtigten Administratoren die ALE -Administrationsberechtigungen zugeordnet?

  • Bei Zugriff auf die ALE -Schnittstelle über Nicht- SAP Systeme: Werden Authentisierungsinformationen geschützt abgelegt?

Stand: 13. EL Stand 2013