Tobias Harmes
Tobias Harmes
8. Juli 2022

SAP Security

30 | #sap security
SAP Security Automation

Das Thema SAP Security befasst sich mit der Beseitigung und Reduzierung der Risiken, die durch die Speicherung von sensiblen Informationsbeständen oder der Durchführung von geschäftskritischen Prozessen eines Unternehmens im SAP System entstehen.

Inhaltsverzeichnis

  1. Die Sicherung eines SAP Systems
  2. SAP Berechtigungskonzept
  3. SAP Security Patch Day
    1. SAP Security Notes
  4. SAP Standardbenutzer und Standardpasswörter
  5. SAP Webapplikationen
  6. SAP Gateway
  7. SAP Message Server
  8. SAP Secure Operations Map
  9. FAQ zu SAP Security
    1. Was ist SAP Security?
    2. Welche Funktionen bietet die SAP Security?
  10. Übrigens: wir überprüfen die Sicherheit Ihrer SAP Systeme
    1. Weiterführende Informationen

Sicherheitslücken in SAP Systemen entstehen regelmäßig – durch Softwaremängel oder Fehlkonfiguration. Schlimme Folgen hat dies aber erst, wenn unzureichenden Investitionen in erforderlichen Sicherheitsstrategien gemacht werden. Unabhängig von der Ursache: Sicherheitsdefizite können immer zu finanziellem Betrug, Sabotage oder Betriebsspionage führen. Das Thema SAP Security sollte Teil der IT-Security-Strategie für jeden SAP Kunden sein.

Unser E-Book zu SAP GRC

E-Book SAP GRC

Roadmap zur Einführung Ihrer individuellen SAP GRC-Lösung - warum GRC mehr als nur lästige Pflicht ist.

Jetzt anfordern

Die Sicherung eines SAP Systems

Um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbestände eines Unternehmens im SAP System zu gewährleisten, müssen unterschiedlichen Komponenten und Konzepte des SAP Systems überprüft bzw. sichergestellt werden.

SAP Berechtigungskonzept

Das SAP Berechtigungskonzept stellt die grundlegenden Sicherheitsfunktion des SAP Systems dar. Es steuert alle relevanten Sicherheitsfunktionen durch den Schutz von Programmen, Transaktionen und Diensten im SAP System vor unbefugtem Zugriff. Die Implementierung eines standardisierten Berechtigungskonzeptes für die Sicherung von Daten im System ist dringend empfohlen.

SAP Security Patch Day

Am zweiten Dienstag jeden Monats werden am SAP Security Patch Day von der SAP Patches mit unterschiedlichen Relevanzen für die Sicherheit vorgestellt. Dabei ordnet SAP die “News” nach Wichtigkeit in low, medium, high und hot ein. Eine 9 oder 10 auf der von der SAP erstellten Skala ist eine “Hot News”. Bei einer 7 oder höher handelt es sich um eine “High News”, eine 3 oder höher wird als “Medium” eingestuft. Alle Zahlen darunter sind “Low News”.

SAP Security Notes

SAP Security Notes werden am Patch Day von SAP veröffentlicht und enthalten wichtige Sicherheitsupdates für gemeldete Sicherheitsschwachstellen der SAP Netweaver Technologie sowie der SAP Business Suite. Die Implementierung dieser Sicherheitspatches schützt das SAP System vor unbefugten Zugriff.

SAP Standardbenutzer und Standardpasswörter

Während einer SAP Systeminstallation oder der Durchführung von einigen administrativen Prozessen werden hoch privilegierte Standardbenutzer mit öffentlich bekannten Standardpasswörter automatisch erzeugt. Der Zugang zu solchen Benutzerkonten über diese Standardpasswörter durch nicht autorisierte Personen kann zu schweren Sicherheitsverstößen führen.

sap security

SAP Webapplikationen

Die Webapplikationen im SAP Application Server sind anfällig für Hackerangriffe wie z.B. XSS, XXE Tunneling, SQL Injection. Wenn nicht gegen solche Angriffe geschützt wird, kann es zur Ausführung von unerlaubten Funktionen durch Unbefugte kommen.

SAP Gateway

Das SAP Gateway ermöglicht eine Verbindung von Geräten, Umgebungen und Plattformen zum SAP System. Diese kann mit verschiedenen Entwicklungstechnologien durch den Einsatz von Webservices und OData Protokollen realisiert werden. Wenn dieses Gateway nicht ausreichend geschützt wird, können Sicherheitslücken entstehen.

SAP Message Server

Der SAP Message Server ist für die Kommunikation zwischen den Anwendungsservern verantwortlich. Wenn der Server nicht ordnungsgemäß gesichert ist, kann es zu unerlaubten Systemzugriffen kommen.

Die oben genannten Angriffspunkte sind nur einige Möglichkeiten, über welche der unautorisierte Zugriff auf SAP-Systeme möglich ist.

SAP Secure Operations Map

Grundlegend für einen Erfolg im Bereich SAP Security ist die Secure Operations Map. Die ist in 5 Layer und 16 Blöcke gegliedert:

Der Environment Layer als unterste Ebene der Secure Operations Map fokussiert sich auf die technische Infrastruktur von Non-SAP Systemen. Wichtige Bestandteile dieses Layers sind die Network Sicherheit, Betriebssystem- und Datenbanksichert und die Client-Sicherheit. Erfolg auf dieser Ebene ist wichtig für die laufende Betriebssicherheit.

Der System Layer dient als Grundlage für die Ausführung aller SAP-Anwendungen. Mit Steuerelementen wie Autorisierungstools auf Anwendungsebene ist Ihre Organisation sicherer und vor Schwachstellen auf niedrigerer Ebene wie SQL-Injektionen geschützt, die durch die Verwendung von unsicheren Codes ermöglicht werden.

Der Anwendungs-Layer konzentriert sich auf Steuerelemente, die in Standardanwendungen verfügbar sind, die von SAP bereitgestellt werden. Ebenso auch auf nicht standardmäßige Anwendungen, die von Kunden erstellt wurden. Zu den Themen gehören Schutzmaßnahmen in Bezug auf Benutzerzugriff und Berechtigungsstufen sowie das ordnungsgemäße Anwendungsdesign.

Der Prozess Layer der Secure Operations Map befasst sich maßgeblich mit der Einhaltung gesetzlicher Vorschriften. Ziel ist es, das richtige Anwendungsverhalten in Bezug auf die Richtlinien und rechtlichen Anforderungen zu erzielen, die mit den verschiedenen Gerichtsbarkeiten verbunden sind, in denen SAP-Lösungen tätig sind.

Die Organisationsschicht konzentriert sich auf den Personenaspekt der Secure Operations Map. Hier liegt der Fokus auf dem allgemeinen Bewusstsein für unternehmensweite Sicherheitsmaßnahmen. Awareness, Security Governance sowie Risikomanagement sind auf dieser Schicht zentrale Elemente.

Webinar: SAP ERP und S/4HANA Systeme besser berechtigen und schützen

In diesem Webinar erfahren Sie, wie Sie Ihr SAP System absichern und die Benutzerberechtigungen skalierbar und nachvollziehbar aufbauen können. Der Schwerpunkt liegt auf ERP-Systemen in der Version ECC 6.0 und S/4HANA – gilt aber grundsätzlich für alle ABAP-basierten Systeme.
Jetzt kostenlos anmelden!

FAQ zu SAP Security

Was ist SAP Security?

Das Thema SAP Security befasst sich mit der Beseitigung und Reduzierung der Risiken, die durch die Speicherung von sensiblen Informationsbeständen oder der Durchführung von geschäftskritischen Prozessen eines Unternehmens im SAP System entstehen.

Welche Funktionen bietet die SAP Security?

Um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbestände eines Unternehmens im SAP System zu gewährleisten, müssen unterschiedlichen Komponenten und Konzepte des SAP Systems mithilfe der SAP Security überprüft bzw. sichergestellt werden.

Übrigens: wir überprüfen die Sicherheit Ihrer SAP Systeme

Sie möchten gerne wissen, wie sicher Ihre SAP Systeme wirklich sind oder möchten sie sicherer machen? Unsere RZ10 Security-Berater führen bei Ihnen SAP Security Checks durch und unterstützen Sie bei der Beseitigung von Sicherheitslücken. Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.

Weiterführende Informationen


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Weitere Beiträge:

1 noch...

it-sa 2019: Recap

Ich habe den Forumstag auf der it-sa 2019, der IT-Security Messe und Kongress in Nürnberg, besucht. Mein Recap dazu in dieseem Beitrag.
Artikel lesen
SAP Security

TISAX in SAP - Anforderungen im SAP System umsetzen

TISAX in SAP umsetzen
Wollen Sie die TISAX Zertifizierung erlangen oder haben Sie schon eine temporäre Zertifizierung erhalten und arbeiten an den festgestellten Mängeln im SAP?
#sap security, #TISAX
Artikel lesen
SAP Berechtigungen » SAP schützen

Checkliste zur Vorbereitung auf ein SAP Berechtigungsredesign

Checkliste Berechtigungsredesign
In Ihrem Unternehmen steht eine Erneuerung der SAP Berechtigungen an? Mit unserer Checkliste können Sie sich auf das SAP Berechtigungsredesign vorbereiten.
#RedesignBerechtigungen
Artikel lesen
Angebote zu SAP Security:
Beratung & Support

SAP-Security und IT-Security-Beratung

IT-Security-Beratung für Unternehmen: Wir sichern Geschäftsprozesse ab, finden Lücken und helfen beim zuverlässigen Betrieb.
Angebot anschauen
Beratung & Support

SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit

1
Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems – mit unserem SAP Security Check und Audit.
#RedesignBerechtigungen
Angebot anschauen
Addons/Tools

HGB Check - SAP Sicherheitsprüfung selbst durchführen

SAP Sicherheitsprüfung – HGB Check
HGB Check ist ein Tool zur SAP Sicherheitsprüfung, das von jedem Anwender selbst ausgeführt werden kann und typische HGB-kritische Berechtigungen ermittelt.
Angebot anschauen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage