Pascal Bastian
 - 31. August 2015

Patch Management System

Systemempfehlungen mit SAP Solution Manager

Warum ist ein Patch Management System wichtig? Eines der beunruhigensten Ergebnisse des 2015 Cyber Risk Report war, dass über 44% der Datenlecks, dadurch entstehen, dass Sicherheitslücken ausgenutzt werden, die bereits über zwei Jahre alt sind. Dadurch lässt sich ableiten, dass effektives Patchen die Wahrscheinlichkeit, Opfer eines Datendiebstahls oder -verlusts zu werden, drastisch senken kann. In Kombination mit anderen Gegenmaßnahmen, wie zum Beispiel Absicherung des Systems, kann das Risiko auf ein vernachlässigbares Niveau gesenkt werden.

Noch keinen aktuellen SAP Solution Manager 7.1?
Fachbereichsleiter Tobias Harmes

Wir installieren und konfigurieren den SAP Solution Manager 7.1 bei Ihnen im Unternehmen. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: SAP Solution Manager 7.1 installieren.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail harmes@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Stärken und Schwächen des Patch Management System

Die Entwicklung eines funktionierenden Patch Management Prozesses, der die Vielzahl der Bedrohungen denen ein SAP System ausgesetzt ist abwehrt, stellt für viele Unternehmen eine Herausforderung dar. Dadurch, dass eine hohe Verfügbarkeit der Systeme notwendig ist oder sich Veränderungen schlecht auf die Performance auswirken können, wird das Einspielen kritischer Patches oft mit einer großen Verzögerung durchgeführt. In manchen Fällen werden Patches gänzlich vernachlässigt.

Die Risiken, die durch Schwächen im Patch Prozess entstehen, sollten nicht vernachlässigt werden. Dies wird durch die Ergebnisse der HP Studie bestätigt. Die Statistik zeigt eine direkte Korrelation zwischen ineffektivem Patchen und einer höheren Anfälligkeit für Sicherheitslöcher, die zu Datenlecks führen können, auf.

RSECNOTE und EWA

Traditionell setzen Kunden der SAP auf Werkzeuge wie RSECNOTE und SAP EarlyWatch Alert (EWA), um Patches zu identifizieren und zu überprüfen, ob sie bereits eingespielt wurden. RSECNOTE kann über die Transaktionen SA38 oder ST13 ausgeführt werden. Der Report liefert relevante Hinweise zum Thema Sicherheit zurück und stellt fest, ob diese bereits erfolgreich eingespielt wurden oder noch eingespielt werden müssen. Bei EWA handelt es sich um einen Diagnosebericht, der aus dem SAP Solution Manager heraus auf wöchentlicher Basis für die verwalteten Systeme gestartet wird. Die Überprüfung der Systemkonfiguration, die von EWA durchgeführt wird, sollte relevante Hinweise zur Systemsicherheit beinhalten.

Jedoch liefert EWA keine Hinweise mehr, die für die Systemsicherheit relevant sind. Weniger als 10% der Patch Day Hinweise und Support Pack Hinweise, die von SAP im Jahr 2013 veröffentlicht wurden, wurden von EWA gefunden. 2014 hat EWA seine Relevanz für das Patchen komplett verloren. Keine der 389 von SAP veröffentlichten Patches wurden von EWA überprüft.
RSECNOTE ging es dabei nicht besser. Laut Hinweis 888889, der im September 2014 aktualisiert wurde, ist das Werkzeug obsolet, es sollte nicht mehr darauf zurückgegriffen werden.

Patch Management System

Hinweis 888889

RSECNOTE und EWA wurden durch mächtigere Werkzeuge ersetzt, die eine gründlichere Analyse von Sicherheitshinweisen und darüber hinaus auch Java Patches sowie Hinweisen zu Recht und Performance erlauben.

SysRec

Zu diesen Werkzeugen gehört Systemempfehlungen (SysRec), das durch den Arbeitsbereich des Change Managements im SAP Solutionmanager erreicht werden kann. SysRec verwendet die SAP-OSS RFC Schnittstelle, um sich direkt mit dem SAP Global Support zu verbinden und den Status von Hinweisen in verwalteten Systemen zu überprüfen. Die Ergebnisse sind von den jeweiligen Kernels, Patch und Support Package Level der Systeme abhängig, die sich in der Systemlandschaft des SAP Solution Managers befinden.

SysRec erlaubt die Einschränkung auf SAP System, Komponente und Zeitraum. Nur Komponenten, die auf das selektierte System zutreffen, werden von SysRec angezeigt.

Filtermöglichkeiten in den Systemempfehlungen

Filtermöglichkeiten in den Systemempfehlungen

Von jedem Hinweis wird die Priorität und der Status der Implementierung in der Ergebnismenge angezeigt. Mit der Schaltfläche Hinweis herunterladen können alle oder nur die selektierten Hinweise aus dem SAP Service Marketplace heruntergeladen werden.

SysRec kann sowohl ABAP als auch Java Patches ausfindig machen. Allerdings werden Java Patches nicht im Reiter für Sicherheitshinweise, sondern im Reiter für Korrekturen angezeigt.
Wenn sie Change Request Management (ChaRM) einsetzen, können sie über die Schaltfläche „Änderungsantrag anlegen“ einen Änderungsantrag erstellen, um die relevanten Hinweise einzuspielen.

Über die Einstellungen von SysRec können sie das Intervall, mit der Vorrat an Hinweisen aktualisiert werden soll festlegen. Möglich sind eine tägliche, wöchentliche oder monatliche Aktualisierung der Hinweise.

Sobald das System aktualisiert ist, sollten sie den Status der Implementierung der Hinweise über alle Systeme in ihrer Systemlandschaft überprüfen. Dies kann mit der Konfigurationsvalidierung durchgeführt werden.

Ihre Erfahrungen mit einem Patch Management System

Wie sind Ihre Erfahrungen mit dem Patchen von SAP Systemen gegen aktuelle Sicherheitsrisiken? Ich freue mich auf Ihre Kommentare.

Kostenloses E-Book zu SAP Testmanagement im Solution Manager als Download:

Jetzt das kostenlose E-Book zum Thema SAP Solution Manager downloaden:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:


SHARE



Ein Kommentar zu "Patch Management System"

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.