Bundesamt für Sicherheit in der Informationstechnik

M 6.97 Notfallvorsorge für SAP Systeme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wie für jedes andere IT-System muss auch für ein SAP System Notfallvorsorge betrieben werden. Damit die Vorbereitung zielgerichtet erfolgt, muss im Rahmen der Planungs- und Konzeptionsphase ein Notfallkonzept erstellt worden sein (siehe M 2.341 Planung des SAP Einsatzes ), in dem auch die Notfälle definiert sind, die im Rahmen der Notfallvorsorge berücksichtigt werden sollen.

Folgende Notfälle sollten mindestens berücksichtigt werden:

  • Ausfall eines SAP Servers
  • Ausfall der Datenbank eines SAP Systems
  • Kompromittierung eines SAP Systems
  • Ausfall des Transportsystems ( ABAP ) oder der Software-Verteilung (JAVA)
  • Ausfall eines kompletten Rechenzentrums

Generell unterscheidet sich ein SAP System im Hinblick auf die Notfallvorsorge nicht von anderen IT-Systemen. Daher sind auch die Notfallvorsorge-Maßnahmen anderer relevanter Bausteine umzusetzen, die auf die IT -Systeme ( z. B. Server-Rechner, Client-Rechner, Datenbank) anwendbar sind, aus denen das SAP System besteht.

Die Verantwortlichkeiten im Rahmen der Notfallvorsorge und für die definierten Notfall-Prozeduren müssen eindeutig Personen zugeordnet werden. Es empfiehlt sich, regelmäßig Notfallübungen durchzuführen und die Prozesse anhand der dabei gemachten Erfahrungen anzupassen.

Die Notfallvorsorge sollte mindestens folgende Maßnahmen umfassen und entsprechend der individuellen Anforderungen erweitert werden:

  • Ein Notfall-Administrator sollte eingerichtet und Regelungen für den Einsatz festgelegt werden.
  • Es müssen regelmäßige Datensicherungen des SAP Systems durchgeführt werden. Die Verfahrensweise und Häufigkeit ist im Datensicherungskonzept festzuhalten.
  • Verfahren für das Wiederherstellen eines SAP Systems müssen festgelegt werden.
  • Ein Ausweichsystem sollte bei entsprechend hohen Verfügbarkeitsansprüchen vorgehalten werden.

Je nach Einsatzszenario kann auch der Schutz vor Computer-Viren (siehe M 4.271 Virenschutz für SAP Systeme ) zur Notfallvorsorge gehören.

Notfall-Administration

Für den Fall, dass mit normalen Administrator-Benutzerkennungen nicht mehr auf ein SAP System zugegriffen werden kann, wird ein Notfall-Administrator-Konto benötigt. Da ABAP- und Java-Stack jeweils mit einer eigenen Benutzerverwaltung ausgestattet ist, muss in jedem Stack ein Notfall-Administrator-Konto definiert werden.

Im ABAP-Stack kann dieses mit Berechtigungen ausgestattet werden, die der Summe der Profile SAP_ALL und SAP_NEW entsprechen. Damit besitzt der Notfall-Administrator vollständige Kontrolle über den ABAP-Stack des SAP Systems.

Im Java-Stack muss das Konto der Gruppe der Administratoren zugeordnet sein. Standardmäßig besitzt die Gruppe der Administratoren vollständige Kontrolle über den Java-Stack.

Seit NetWeaver 04 (Java 6.40) ist die Benutzerverwaltung in Java über die User Management Engine (UME) realisiert (siehe auch M 4.267 Sicherer Einsatz der SAP Java-Stack Benutzerverwaltung ). Diese ist gruppen- und rollenbasiert und unterstützt unterschiedliche Ablageorte für Benutzerkonten. Die Gruppe der Administratoren ist je nach Ablageort unterschiedlich benannt. Werden Benutzerkonten in einer Datenbank oder einem LDAP -Verzeichnis gespeichert, so heißt sie "Administrators". Werden die Benutzerkonten im ABAP-Stack gespeichert, so heißt sie "SAP_J2EE_ADMIN". Benutzer in dieser Gruppe haben keine kompletten administrativen Rechte, sondern nur Rechte für die Basisadministration und Benutzerverwaltung des Java-Stacks. Der generelle Notfallbenutzer für den Java-Stack ist das von SAP vorgegebene Benutzerkonto "SAP*", das aber nur dann verwendet werden kann, wenn der Java-Stack in den so genannten Single-User-Modus geschaltet wurde. In diesem Modus kann sich jedoch ausschließlich der Benutzer "SAP*" anmelden. Daher ist ein weiterer Notfallbenutzer erforderlich, der auch im Normalbetrieb einsetzbar ist.

Die Konten, die zur Notfall-Administration genutzt werden, sind mit starken Passwörtern auszustatten. Die verantwortlichen Personen müssen über den Aufbewahrungsort der Passwörter informiert sein. Nach einem Notfall sind die Passwörter so zu ändern, dass diese nur dann bekannt werden, wenn die Verfahren zur Notfall-Administration angewendet werden.

Es ist zu bedenken, dass die Konten, die zur Notfall-Administration verwendet werden, immer zugreifbar sein müssen. Sie dürfen also auch nicht deaktiviert oder gesperrt werden. Aus diesem Grund müssen die Zugangsdaten stark geschützt sein.

Wird ein Konto zur Notfall-Administration genutzt, ist nicht mehr nachzuvollziehen, welche Person auf das SAP System zugegriffen hat. Daher müssen die System-Administratoren und das Sicherheitsmanagement über den Notfall zeitnah unterrichtet werden. Dabei sind folgende Informationen mitzuteilen:

  • Welcher Notfall lag vor?
  • Durch wen und wann erfolgte der Zugriff?
  • Welche Aktivitäten und Änderungen sind erfolgt?

Backup

Zu den regelmäßig durchzuführenden Maßnahmen der Notfallvorsorge gehört die Datensicherung eines SAP Systems. Im Rahmen des institutionsweiten Backup-Konzeptes muss während der Planungsphase auch die Datensicherung für ein SAP System konzipiert werden. Die Verantwortlichkeiten und Prozessabläufe sind zu definieren und umzusetzen.

Im Backup-Konzept muss unter anderem Folgendes festgelegt werden:

  • Wann werden welche Komponenten und Daten gesichert?
  • Wer besitzt die Berechtigung dazu?
  • Wer besitzt die Berechtigung zum Wiederherstellen von Daten?
  • Wer besitzt Zugriff auf die archivierten Backup-Daten?
  • Wo werden die Backup-Daten sicher gelagert? Hier ist besonders darauf zu achten, dass Backup-Daten räumlich getrennt von Produktivdaten gelagert werden.

Die Daten eines SAP Systems werden zwar vornehmlich in der Datenbank abgelegt, die Datensicherung reduziert sich jedoch nur bei reinen ABAP-Stack-Installationen (z. B. bei SAP R/3 Systemen) darauf, lediglich die Datenbank zu sichern. Insbesondere der Java-Stack erfordert, dass weitere Daten gesichert werden. Dies sind vor allem die Daten aus dem SAP Verzeichnisbaum des Dateisystems.

Für den Java-Stack sind außerdem Sicherungen der Daten (z. B. weitere Datenbanken oder Dateien) durchzuführen, auf die die installierten Applikationen zurückgreifen. Werden diese nicht gesichert, kann es zu Inkonsistenzen in den Applikationsdaten kommen. Die verantwortlichen Administratoren müssen außerdem über den Aufbewahrungsort der Backup-Medien und über den Prozess der Wiederherstellung informiert sein.

Weitere Dokumentationen werden in M 2.346 Nutzung der SAP Dokumentation beschrieben.

Ausweichsystem

Kleine Unternehmen und Behörden betreiben unter Umständen ein SAP System, bei dem alle Komponenten auf einem Rechner (Single-Server-Installation) installiert sind. Liegt ein Notfall vor, der nicht durch das Einspielen gesicherter Daten behoben werden kann, z. B. bei einem Hardware-Defekt, so ist ein Ersatzsystem zu beschaffen. Da eine Ersatzbeschaffung in der Regel Zeit kostet, kann es zu langen Ausfallzeiten kommen. Daher wird empfohlen, ein Ausweichsystem vorzuhalten, das so weit vorbereitet ist, dass nur noch die letzte Datensicherung eingespielt werden muss, um den Betrieb wieder aufzunehmen.

Prüffragen:

  • Wurde für SAP Systeme ein Notfall-Administrator-Konto eingerichtet und dessen Nutzung geregelt?

  • Werden regelmäßige Datensicherungen des SAP Systems durchgeführt?

  • Wurde ein Verfahren für das Wiederherstellen eines SAP Systems festgelegt?

  • Wird bei hohen Verfügbarkeitsansprüchen ein Ausweichsystem für das SAP System vorgehalten?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK