Tobias Harmes
8. Juli 2022

SAP Security

30 | #sap security
SAP Security Automation

Das Thema SAP Security befasst sich mit der Beseitigung und Reduzierung der Risiken, die durch die Speicherung von sensiblen Informationsbeständen oder der Durchführung von geschäftskritischen Prozessen eines Unternehmens im SAP System entstehen.

Sicherheitslücken in SAP Systemen entstehen regelmäßig – durch Softwaremängel oder Fehlkonfiguration. Schlimme Folgen hat dies aber erst, wenn unzureichenden Investitionen in erforderlichen Sicherheitsstrategien gemacht werden. Unabhängig von der Ursache: Sicherheitsdefizite können immer zu finanziellem Betrug, Sabotage oder Betriebsspionage führen. Das Thema SAP Security sollte Teil der IT-Security-Strategie für jeden SAP Kunden sein.

Unser E-Book zu SAP GRC

E-Book SAP GRC

Roadmap zur Einführung Ihrer individuellen SAP GRC-Lösung - warum GRC mehr als nur lästige Pflicht ist.

Die Sicherung eines SAP Systems

Um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbestände eines Unternehmens im SAP System zu gewährleisten, müssen unterschiedlichen Komponenten und Konzepte des SAP Systems überprüft bzw. sichergestellt werden.

SAP Berechtigungskonzept

Das SAP Berechtigungskonzept stellt die grundlegenden Sicherheitsfunktion des SAP Systems dar. Es steuert alle relevanten Sicherheitsfunktionen durch den Schutz von Programmen, Transaktionen und Diensten im SAP System vor unbefugtem Zugriff. Die Implementierung eines standardisierten Berechtigungskonzeptes für die Sicherung von Daten im System ist dringend empfohlen.

SAP Security Patch Day

Am zweiten Dienstag jeden Monats werden am SAP Security Patch Day von der SAP Patches mit unterschiedlichen Relevanzen für die Sicherheit vorgestellt. Dabei ordnet SAP die “News” nach Wichtigkeit in low, medium, high und hot ein. Eine 9 oder 10 auf der von der SAP erstellten Skala ist eine “Hot News”. Bei einer 7 oder höher handelt es sich um eine “High News”, eine 3 oder höher wird als “Medium” eingestuft. Alle Zahlen darunter sind “Low News”.

SAP Security Notes

SAP Security Notes werden am Patch Day von SAP veröffentlicht und enthalten wichtige Sicherheitsupdates für gemeldete Sicherheitsschwachstellen der SAP Netweaver Technologie sowie der SAP Business Suite. Die Implementierung dieser Sicherheitspatches schützt das SAP System vor unbefugten Zugriff.

SAP Standardbenutzer und Standardpasswörter

Während einer SAP Systeminstallation oder der Durchführung von einigen administrativen Prozessen werden hoch privilegierte Standardbenutzer mit öffentlich bekannten Standardpasswörter automatisch erzeugt. Der Zugang zu solchen Benutzerkonten über diese Standardpasswörter durch nicht autorisierte Personen kann zu schweren Sicherheitsverstößen führen.

sap security

SAP Webapplikationen

Die Webapplikationen im SAP Application Server sind anfällig für Hackerangriffe wie z.B. XSS, XXE Tunneling, SQL Injection. Wenn nicht gegen solche Angriffe geschützt wird, kann es zur Ausführung von unerlaubten Funktionen durch Unbefugte kommen.

SAP Gateway

Das SAP Gateway ermöglicht eine Verbindung von Geräten, Umgebungen und Plattformen zum SAP System. Diese kann mit verschiedenen Entwicklungstechnologien durch den Einsatz von Webservices und OData Protokollen realisiert werden. Wenn dieses Gateway nicht ausreichend geschützt wird, können Sicherheitslücken entstehen.

SAP Message Server

Der SAP Message Server ist für die Kommunikation zwischen den Anwendungsservern verantwortlich. Wenn der Server nicht ordnungsgemäß gesichert ist, kann es zu unerlaubten Systemzugriffen kommen.

Die oben genannten Angriffspunkte sind nur einige Möglichkeiten, über welche der unautorisierte Zugriff auf SAP-Systeme möglich ist.

SAP Secure Operations Map

Grundlegend für einen Erfolg im Bereich SAP Security ist die Secure Operations Map. Die ist in 5 Layer und 16 Blöcke gegliedert:

Der Environment Layer als unterste Ebene der Secure Operations Map fokussiert sich auf die technische Infrastruktur von Non-SAP Systemen. Wichtige Bestandteile dieses Layers sind die Network Sicherheit, Betriebssystem- und Datenbanksichert und die Client-Sicherheit. Erfolg auf dieser Ebene ist wichtig für die laufende Betriebssicherheit.

Der System Layer dient als Grundlage für die Ausführung aller SAP-Anwendungen. Mit Steuerelementen wie Autorisierungstools auf Anwendungsebene ist Ihre Organisation sicherer und vor Schwachstellen auf niedrigerer Ebene wie SQL-Injektionen geschützt, die durch die Verwendung von unsicheren Codes ermöglicht werden.

Der Anwendungs-Layer konzentriert sich auf Steuerelemente, die in Standardanwendungen verfügbar sind, die von SAP bereitgestellt werden. Ebenso auch auf nicht standardmäßige Anwendungen, die von Kunden erstellt wurden. Zu den Themen gehören Schutzmaßnahmen in Bezug auf Benutzerzugriff und Berechtigungsstufen sowie das ordnungsgemäße Anwendungsdesign.

Der Prozess Layer der Secure Operations Map befasst sich maßgeblich mit der Einhaltung gesetzlicher Vorschriften. Ziel ist es, das richtige Anwendungsverhalten in Bezug auf die Richtlinien und rechtlichen Anforderungen zu erzielen, die mit den verschiedenen Gerichtsbarkeiten verbunden sind, in denen SAP-Lösungen tätig sind.

Die Organisationsschicht konzentriert sich auf den Personenaspekt der Secure Operations Map. Hier liegt der Fokus auf dem allgemeinen Bewusstsein für unternehmensweite Sicherheitsmaßnahmen. Awareness, Security Governance sowie Risikomanagement sind auf dieser Schicht zentrale Elemente.

In diesem Webinar erfahren Sie, wie Sie Ihr SAP System absichern und die Benutzerberechtigungen skalierbar und nachvollziehbar aufbauen können. Der Schwerpunkt liegt auf ERP-Systemen in der Version ECC 6.0 und S/4HANA – gilt aber grundsätzlich für alle ABAP-basierten Systeme.

FAQ zu SAP Security

Was ist SAP Security?

Das Thema SAP Security befasst sich mit der Beseitigung und Reduzierung der Risiken, die durch die Speicherung von sensiblen Informationsbeständen oder der Durchführung von geschäftskritischen Prozessen eines Unternehmens im SAP System entstehen.

Welche Funktionen bietet die SAP Security?

Um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbestände eines Unternehmens im SAP System zu gewährleisten, müssen unterschiedlichen Komponenten und Konzepte des SAP Systems mithilfe der SAP Security überprüft bzw. sichergestellt werden.

Übrigens: wir überprüfen die Sicherheit Ihrer SAP Systeme

Sie möchten gerne wissen, wie sicher Ihre SAP Systeme wirklich sind oder möchten sie sicherer machen? Unsere RZ10 Security-Berater führen bei Ihnen SAP Security Checks durch und unterstützen Sie bei der Beseitigung von Sicherheitslücken. Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.

Weiterführende Informationen


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice