Bundesamt für Sicherheit in der Informationstechnik

M 5.129 Sichere Konfiguration der HTTP-basierten Dienste von SAP Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Über die HTTP-Schnittstelle können unterschiedliche Dienste eines SAP-Systems angesprochen werden. Der Zugriff auf die Funktionen und Applikationen des Java-Stack erfolgt in der Regel über HTTP. Der ABAP -Stack ist über das Internet Connection Framework (ICF) mittels HTTP zugreifbar. Die HTTP-Schnittstelle muss generell sicher konfiguriert sein, so dass einerseits Zugriffe, die schützenswerte Daten übertragen, mit SSL geschützt sind und andererseits nur die benötigten Dienste aktiviert werden.

Die folgenden über HTTP zugreifbaren Schnittstellen sind mit besonderen Risiken verbunden:

  • SOAP-Schnittstelle
  • WebDAV-Schnittstelle
  • Content-Server-Schnittstelle

Folgendes ist zu beachten:

SOAP-Schnittstelle

Das Simple Object Access Protocol (SOAP) ist ein Protokoll, über das Web-Dienste angesprochen werden können. Für die SOAP-Schnittstelle eines SAP Systems ist Folgendes zu berücksichtigen:

  • Die SOAP-Schnittstelle (ABAP-Stack und Java-Stack) sollte nur authentisiert zugreifbar sein.
  • Der SOAP-Zugriff ist über SSL zu schützen.
  • Der ABAP-Stack stellt einen SOAP Dienst zum Aufruf von RFC-fähigen Bausteinen (ICF-Pfad: /sap/bc/soap/rfc) zur Verfügung. Ist dieser aktiv, können RFC-Bausteine über HTTP aufgerufen werden. Der Schutz des RFC-Ports eines SAP Systems durch Firewalls wird dadurch umgangen. Daher sollte der Dienst nur mit ausreichenden Sicherheitsvorkehrungen aktiviert werden. Gleiches gilt für den XML-basierten RFC-Dienst (ICF-Pfad: /sap/bc/xrfc).
  • Der durch den Java-Stack angebotene Schutz durch WS-Security (Web Service Security, Standardsammlung der Organisationen W3C und OASIS) gilt nur für die in SOAP-Nachrichten übertragenen Daten. Damit ist auf Applikationsebene nicht prüfbar, ob die Daten über eine authentisierte Verbindung übertragen wurden. Authentisierungsdaten sollten daher im Rahmen der Applikation geprüft werden, wenn die Sender-Identität wichtig ist. Dazu müssen die Authentisierungsdaten in den SOAP-Nachrichten enthalten sein. Die Daten sind vor unberechtigter Kenntnisnahme zu schützen.

Generell muss auch die über SOAP angesprochene Applikation durch entsprechende Berechtigungsprüfungen die eigene Sicherheit sicherstellen.

SAP Dokumentationen finden sich in M 2.346 Nutzung der SAP Dokumentation .

WebDAV-Schnittstelle

Das WebDAV-Protokoll (Web-based Distributed Authoring and Versioning) erlaubt einen dateisystemähnlichen Zugriff auf Informationen über das HTTP-Protokoll. Der WebDAV-Zugriff kann durch den ABAP- und den Java-Stack angeboten werden, wenn entsprechende Produkte oder Applikationen zum Einsatz kommen. Für den ABAP-Stack ist dies beispielsweise Knowledge Warehouse (KW, ICF-Pfad: /sap/bc/kw/fs), für den Java-Stack ist dies beispielsweise die Komponente Collaboration Management (CM, SAP Enterprise Portal Komponente).

Da der WebDAV-Zugriff unter Umständen auch auf das lokale Dateisystem erfolgen kann, muss dieses vor unberechtigten Zugriffen geschützt werden. Dabei steht der Schutz der über WebDAV angeboten Daten zwar im Vordergrund, kann ein Angreifer aber so auf das lokale Dateisystem zugreifen, können dadurch weitere Angriffe vorbereitet werden. Daher sollte der Zugriff nur authentisiert und über SSL geschützt erfolgen. Zusätzlich ist immer auf die Vergabe von Berechtigungen zu achten.

Content-Server-Schnittstelle

Über die Content-Server-Schnittstelle kann auf Dokument-Archive (Repositories) zugegriffen werden. Ist die Schnittstelle ungeschützt, so können Informationen und Dokumente über verfügbare Repositories abgerufen werden. Folgendes ist zu beachten:

  • Die Content-Server-Schnittstelle (ICF-Pfad /sap/bc/contentserver) ist nur zu aktivieren, wenn sie benötigt wird.
  • Der Zugriff sollte nur authentisiert und über SSL erfolgen.
  • Beim Zugriff auf die Administrationsschnittstelle ist die Passwort-Abfrage zu erzwingen. Dazu ist der Parameter "AdminSecurity" in der Datei ContentServer.ini auf den Wert "1" zu setzen.
  • Es ist zu beachten, dass die Administration innerhalb des SAP Systems über die Transaktion CSADMIN (und auch ICF-Einstellungen) und außerhalb des SAP Systems (z. B. ini-Datei) erfolgen muss.

Hinweise auf weitere Dokumentationen finden sich inM 2.346 Nutzung der SAP Dokumentation .

Prüffragen:

  • Sind im SAP System für die HTTP -Schnittstelle nur die benötigten Dienste aktiviert?

  • Ist im SAP System die HTTP -Schnittstelle so konfiguriert, dass schützenswerte Daten mit SSL geschützt übertragen werden?

  • Ist im SAP -System der SOAP -Zugriff über SSL geschützt?

  • Erfolgt der WebDAV -Zugriff nur authentisiert und über SSL geschützt?

  • Ist sichergestellt, dass die Content-Server-Schnittstelle im SAP System nur aktiviert ist, wenn sie benötigt wird?

  • Erfolgt im SAP System der Zugriff auf die Content-Server-Schnittstelle nur authentisiert und über SSL ?

Stand: 13. EL Stand 2013