RZ10 live @home – SAP Basis & Security vom 13.05.2020

Livestream auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

Feedback? harmes@rz10.de

Gast: Luca Cremer / Fachbereichsleiter bei mindsquare für SAP Security

Die Themen

SAP Security Patch Day – May 2020

Der Security Patch Day der SAP findet immer am zweiten Dienstag im Monat statt. Beim Patch Day des Monats Mai gab es insgesamt sechs sogenannte „Hot News“. Top-Scorer mit einem Rating von 9.9/10 war ein Finding bei einem Plug-in beim Solution Manager. Dieses Plug-In weist eine Sicherheitslücke auf, mit der unautorisierte Zugriffe und Datenklau möglich sind.

Außerdem gab es noch eine Hot News bezüglich Business Client und Chromium, auf den sich ein Blick lohnt. Eine weitere Hot News weist auf eine fehlende Authentifizierungsprüfung in der Business-Intelligence-Plattform von SAP Business Objects (Live Data Connect) hin. Wenn das im Einsatz ist, sollte auch dieser Patch beachtet werden.

Die Patches des Monats Mai sind hier zu finden: SAP Security Patch Day – May 2020

Gesetzliche Anforderungen an SAP Sicherheit – Mindeststandards, die ich umsetzen muss

In unseren Projekten haben wir immer wieder mit gesetzlichen Anforderungen und der Revision zu tun. Dazu erreichen uns auch immer wieder Fragen zu den Mindeststandards, die in jedem Fall umgesetzt werden müssen. Diese lassen sich in drei Bereiche zusammenfassen:

• Zugriffs- & Zugangskontrollen (Berechtigungskonzept)
• Datenhaltung (Archivierung und Löschung)
• Internes Kontrollsystem

Zugriffs- und Zugangskontrollen sollen den Zugriff auf ein IT-System (z.B. das SAP) so regulieren, dass Autorisierungs- und Authentifizierungsmaßnahmen korrekt umgesetzt werden. Dafür müssen zunächst der Zugriff auf das System und dann die Zugänge innerhalb des Systems nur für die Benutzer ermöglicht werden, die auch Zugriffe erhalten dürfen. Das ist in der Regel in einem umfangreichen Berechtigungskonzept festgehalten.

Ein Thema, welches stark in der EU-DSGVO festgehalten wird, ist die Datenhaltung. Diese fordert die korrekte Archivierung und Löschung von bestimmten Daten nach einer gewissen Zeit oder nach gewissen Anforderungen. In unserem Artikel: SAP Information Lifecycle Management (ILM): EU-DSGVO sicher umsetzen haben wir die wichtigsten Informationen dazu zusammengefasst.

Unter anderem fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Internes Kontrollsystem (IKS). Dabei soll ein Unternehmen in „marktüblicher Herangehensweise“ eine Kontrollmaßnahme für das eigene IT-System nutzen. Das kann sowohl ein komplett automatisiertes IKS-Tool sein als auch ein Prozess oder ein Workflow. Je nach Branche des Unternehmens kann das dabei unterschiedlich ausfallen. In unserem Beitrag GoBD in SAP – Brauche ich ein IKS? haben wir die wichtigsten Infos zu diesem Thema bereitgestellt.

Visualisierung zum Beispiel mit einem Security Dashboard

Mit der SecurityBridge, einem Security Dashboard für SAP, kann das NIST Framework visualisiert werden. Speziell sind das die Schritte Identify, Protect und Detect. Mehr findet ihr im Beitrag von Christoph Nagy: Security Dashboard für SAP mit SecurityBridge, da gibt es auch weitere Informationen zur SecurityBridge.

Wie kann ich meine Benutzerstammdaten vereinheitlichen?

Wir erhalten öfter Anfragen dazu, wie man Benutzerstammdaten, die man möglichweise in verschiedenen Systemen hat, vereinheitlichen kann. Ein Beispiel wäre: Man hat ein SAP HCM, Active Directory und ein EHP. Wenn nicht definiert ist, welches das zentrale System ist, können die Daten in den verschiedenen Systemen alle einen anderen Stand haben. Möchte man das vereinheitlichen und automatisieren, gibt es verschiedene Herangehensweisen über:

• Die Zentrale Benutzerverwaltung
• Ein Identity Management
• LDAP Connector

Welches System dann als Grundlage bzw. als zentrales System dient, muss entsprechend festgelegt werden.

SAP Systemvermessung vereinfachen

Mit Peter Kogel, Managing Partner von CIO Roundtable, habe ich über die Compliance bei der SAP-Lizenzierung gesprochen. Bei der jährlichen SAP Systemvermessung kann rauskommen, dass ein Unternehmen unterlizensiert ist und das birgt Risiken in der Compliance. In Kooperation mit CIO Roundtable bieten wir eine individuelle „SAP Lizenz-Sprechstunde“ an. Ein Praxisbeispiel stellt Peter Kogl im Artikel  SAP Compliance sicherstellen – Nutzer einfach und kostengünstig lizensieren vor.

SAP GUI 7.70 Beta Programm

Das Beta Programm für die SAP GUI in der Version 7.7.0 ist verfügbar. Die Betaversion kann man nach einer Anmeldung ausprobieren. Meine Highlights in der neuen Version:

• Multiscaling Monitor Support (keine verwaschene GUI mehr)
• 64-bit RFC Libraries für Microsoft Office 64bit
• Die neue Version verwendet den Edge Chrome Engine und versorgt das SAP damit über Windows Updates
• Dark Mode 🙂

Ihr habt auch eine Frage? Gerne in die Kommentare, via RZ10 Fragen oder live im Chat bei YouTube.

Alle Videos und alle Streams auch auf unserem YouTube-Kanal.