Security für den SAP-Kern

So sichern Sie Ihre SAP-Anwendungen

30.09.2013
Von José Manuel Prieto

Transport Layer Security

Das eigene Netz lässt sich so weit absichern, wie sich die entsprechenden Ressourcen kontrollieren lassen. Sobald diese Kontrolle nicht mehr gegeben ist, gilt es, auf Verschlüsselungstechniken zurückzugreifen, um Vertraulichkeit und Integrität der Daten zu sichern.

Secure Sockets Layer

Secure Sockets Layer (SSL) ist ein weit verbreitetes Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet und darüber hinaus ein Mittel, um Abhörversuche und unbefugte Eingriffe zu verhindern. Der Begriff SSL wird auch für den Nachfolger, das Verschlüsselungsprotokoll TransportTransport Layer Security (TLS), verwendet: Top-Firmen der Branche Transport

  • Sie authentifizieren den Client, den Server oder beide über ein asymmetrisches Verschlüsselungssystem. Digitale Zertifikate spielen eine wichtige Rolle.

  • Sie sorgen mit Hilfe eines symmetrischen Verschlüsselungssystems dafür, dass Daten vertraulich bleiben.

  • Nachrichtenauthentifizierungscodes (Message Authentication Codes = MACs) gewährleisten zudem die Datenintegrität.

TLS und SSL sind heute fester Bestandteil der meistgenutzten Browser (Internet Explorer, Firefox, Chrome, Opera usw.) und werden von fast allen Web-Servern, einschließlich SAP-Systemen, unterstützt. Bei neuen Systemen mit SAP Netweaver 7.3x können Anwender SSL durch die richtige Konfiguration des ICM für ABAP- und Java-Stacks in SAP implementieren. Bei Java-Systemen, die mit früheren Versionen von SAP Netweaver arbeiten, muss stattdessen der SSL Service Provider eingerichtet werden. Unabhängig von der Version müssen folgende Anforderungen erfüllt sein:

  • Auf dem SAP-Server muss die SAP Cryptographic Library installiert sein.

  • Der Zugriff auf ein PKI-Untersystem, damit sich das digitale Zertifikat des SSL-Servers von Zertifizierungsstellen erzeugen und registrieren lässt.

  • Es wird ein Container für alle Zertifikate von SSL-Verbindungen benötigt. Dieser Container lässt sich in Form der Datei "SSL Server Personal Security Environment" (SSL Server PSE) implementieren. In der ABAP-Umgebung hat sich in Bezug auf ältere Versionen nichts geändert. Bei Java nutzen Vorgängerversionen von NW 7.3x einen speziellen Service, den "Key Storage", um die Sicherheit der SSL-Zertifikate zu gewährleisten.

Virtual Private Networks

Virtual Private Network (VPN) steht für verschiedene Techniken, um private Netze über öffentliche Netze wie das Internet so zu verbinden, dass ein Host-Computer, der sich in einem dieser privaten Netze befindet, Daten an andere so weiterleiten kann, als gäbe es nur ein logisches privates Netz. VPN stellt also einen Kanal zwischen zwei Punkten dar, in dem man nicht sehen kann, was sich darin befindet. Dieser Kanaleffekt wird durch Tunnelprotokolle erreicht, die Undurchsichtigkeit durch Verschlüsselungstechniken. Das VPN bietet ebenso wie SNC und SSL:

Vertraulichkeit, da Daten verschlüsselt versandt werden,

Absender-Authentifizierung, um den Zugriff nicht berechtigter Benutzer auf das VPN zu verhindern,

Nachrichtenintegrität, um zu erkennen, ob Nachrichten manipuliert wurden.

Es gibt allerdings verschiedene Tunnelprotokolle (zum Beispiel IPSec, TLS/SSL, PPTP). Normalerweise erfordert jedes dieser Protokolle eine spezielle VPN-Client-Software, was Kompatibilitätsprobleme zwischen den VPNs zur Folge hat. Trotzdem sind VPNs zur Verbindung entfernter Standorte heute weit verbreitet.

Fazit

Da Business-Software-Systeme heute über Unternehmensgrenzen hinweg via Internet zusammenarbeiten, ist die Sicherheit bezüglich Authentifizierung, Vertraulichkeit und Integrität entscheidend. Sicherheitskenntnisse entwickeln sich jedoch relativ schnell weiter. Insofern ist zu empfehlen, bezüglich neuer Probleme mit SAP-Produkten und deren Abhilfemaßnahmen stets auf dem Laufenden zu bleiben. SAP bietet dafür verschiedene Möglichkeiten:

  • Sicherheitshinweise finden sich auf https://service.sap.com/securitynotes.

  • SAP hat den "SAP Security Patch Day" eingeführt (jeder zweite Dienstag im Monat), um sicherzustellen, dass sämtliche Sicherheitsreparaturen für alle unterstützten SAP-Produkte auf dem SAP Marketplace zum Download bereitstehen.

  • Im SCN-Sicherheitszentrum - http://scn.sap.com/community/security - finden Anwender Blogs und weitere Informationen. (ba)

    QoS IT Consulting

    QoS IT Consulting ist ein europäisches Beratungsunternehmen, das sich auf komplexe IT-Projekte, die Optimierung technischer Umgebungen und effiziente Wertschöpfung spezialisiert hat. Mit Präsenz auf europäischen Märkten und in den USA hat sich QoS IT Consulting auf die zentralen Technologien von Microsoft und SAP konzentriert (www.qosit.eu)

Zur Startseite