Security für den SAP-Kern

So sichern Sie Ihre SAP-Anwendungen

30. September 2013
José Manuel Prieto ist SAP Senior Technologie-Berater BASIS, Netweaver, Sicherheitsexperte und Technologie-Enthusiast bei QoS IT Consulting.
SAP-Systeme bilden in vielen Unternehmen das Herz der Business-IT. Kommt es hier zu Problemen, wird es meist kritisch. Unternehmen sollten deshalb besonderes Augenmerk darauf richten, ihren SAP-Kern gut abzusichern.

SAP-Systeme unterliegen besonderen Sicherheitsvorgaben. Da sie in der Regel kritische Daten für den Geschäftsbetrieb enthalten, sollte an dieser Stelle sämtlichen Security-Aspekten besonderes Augenmerk gelten. Betrachtet man SAP-Systeme zunächst aus der Innensicht als isolierte Einheiten, gelten folgende Maßnahmen als Grundsicherung:

  • Authentifizierung: Benutzer müssen in SAP-Systemen registriert sein, zum Beispiel durch einen Benutzerstammsatz im ABAP-Stack, und sich bei der Anmeldung identifizieren.

  • Berechtigung: Zudem muss geregelt sein, wer was tun darf. SAP verwendet für ABAP Berechtigungsmechanismen wie Rollen und Profile und für Java J2EE-Sicherheitsrollen und User-Management-Engine-(UME-)Aktionen.

  • Passwort-Richtlinien: Die Netweaver-Plattform erlaubt es, verschiedene Systemparameter zu setzen, mit denen Nutzer gezwungen werden, kompliziertere Passwörter einzugeben.

  • Risiko-Management: Kritische Berechtigungen sicher unter Kontrolle zu halten, Backup- und Recovery-Strategien, hohe Verfügbarkeit und Disaster-Recovery-Pläne können Risiken senken.

  • Prozesssteuerung: Die Steuerung von Geschäftsprozessen senkt Risiken auf Geschäftsebene. Mit Konzepten wie Funktionstrennung können sich Unternehmen vor Betrug schützen und stehen aus gesetzlicher Sicht auf der sicheren Seite.

Netzverbindung aus dem SAP-Backend-System: Mit Reverse Invoke initiiert der Internet Communication Manager (ICM) aus dem Backend heraus die Verbindung nach außen. Die innere Firewall blockiert alle externen Anfragen.
Netzverbindung aus dem SAP-Backend-System: Mit Reverse Invoke initiiert der Internet Communication Manager (ICM) aus dem Backend heraus die Verbindung nach außen. Die innere Firewall blockiert alle externen Anfragen.
Foto: QoS IT Consulting

Die SAP-Software Governance, Risk und ComplianceCompliance (GRC) Suite unterstützt Anwender dabei, diese firmeninternen Security-Aspekte unter Kontrolle zu behalten. Alles zu Compliance auf CIO.de

Allerdings funktionieren SAP-Systeme selten isoliert. Die meisten Geschäftsprozesse erstrecken sich heute über vielfältige Systeme und auch über Unternehmensgrenzen hinweg, zum Beispiel zwischen verschiedenen Firmen oder über mobile Zugriffe, so dass Daten auch öffentliche und unsichere Netze passieren. Deshalb sind zusätzliche Anstrengungen notwendig, um die Datenwege abzusichern. Nur so lässt sich die Datenvertraulichkeit und -integrität wahren - die beiden wesentlichen Elemente eines gesicherten Datentransfers. Folgende Techniken helfen, den Datenaustausch in SAP-Landschaften abzusichern.