Sicherheitslücken durch SAP Sicherheitshinweise schließen

Autor: Tobias Harmes | 13. Mai 2014

5 | 1 | #SAP Hinweis

Auch die SAP bleibt nicht von Sicherheitslücken verschont,  wobei oft Unsicherheit besteht, ob auch SAP von bekannten Sicherheitslücken betroffen ist (siehe z.B. "SAP Heartbleed: Kein OpenSSL – kein Problem?"). Trotz bereitstehender Patches werden dieser leider sehr oft nicht eingespielt. Wie kann man hier besser und schneller werden?

Hinweis bevor Sie weiterlesen: SAP empfiehlt die Nutzung der System Recommendations, um Sicherheitslücken bzw. ausstehende Patches und Hinweise zu identifizieren. RSECNOTE ist nicht mehr aktuell.

Glücklicher Weise reagiert die SAP sehr schnell auf diese Risiken und veröffentlich zeitnah SAP Hinweise, um die SAP Sicherheitslücken zu schließen. Zusätzlich findet monatlich ein sogenannter Patch Day der SAP statt, zu dem auch sicherheitsrelevante SAP Hinweise veröffentlicht werden. Doch die schnelle Reaktionszeit der SAP bleibt völlig wirkungslos, wenn die SAP Hinweise nicht zeitnah implementiert werden. Oft ist aber auch gar nicht bekannt, welche SAP Sicherheitshinweise im eigenen System bereits vorhanden oder notwendig sind. Wie Sie sich an dieser Stelle das Leben leichter machen können, werde ich Ihnen im Folgenden darlegen.

RSECNOTE

Die SAP hat für diesen speziellen Fall ein eigenes Tool entwickelt, das Bestandteil der Software Komponente ST-A/PI ab Release 01M_* ist. Das Tool heißt RSECNOTE und wird über den SAP Hinweis 888889 im System implementiert. RSECNOTE untersucht ihr System nach bereits implementierten Sicherheitshinweisen und listet diese bzw. die noch zu implementierenden SAP Sicherheitshinweise auf.

Wichtig ist, dass Sie die Implementierungs-/Konfigurationsschritte gemäß dem Hinweis durchführen und sich die Berechtigungen wie im Hinweis beschrieben vergeben, damit Sie das Tool fehlerfrei verwenden können.

Nachdem Sie die Implementierung abgeschlossen haben, können Sie über die Transaktion ST13, in neueren Releases auch die Transaktion SA38, verwenden. Geben Sie dort, wie in der Abbildung dargestellt, jeweils im Eingabefeld das Programm RSECNOTE ein und führen Sie es aus.


Sie erhalten anschließend die schon angesprochene Liste mit implementierten bzw. noch zu implementierenden SAP Hinweisen.

sap sicherheitshinweise

Was sind Ihre Erfahrungen der SAP Sicherheitshinweise?

Wie halten Sie Ihre Systeme sicherheitstechnisch auf dem neusten Stand? Ich freue mich auf Ihre Kommentare.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

5 Kommentare zu "Sicherheitslücken durch SAP Sicherheitshinweise schließen"

Ihnen ist aber schon bewusst, dass der Report RSECNOTE seit geraumer Zeit keine sinnvollen Informationen mehr liefert?

Beste Grüße

Hallo Herr Bludau,

vielen Dank für Ihren Hinweis. Wir werden dem nachgehen.

Grüße,
Oliver Gehring

Hallo Herr Gehring,

ist der Hinweis noch relevant oder gibt es einen neuen Report?

Gruß
Jan

Die RSECNOTE wurde durch die “System Recommendations” im Solution Manager ersetzt.

Dazu gibt es auch eine Note die ich gerade leider nicht zur Hand habe.

Viele Grüße
Florian Leuerer

Hallo Herr Leuerer,

vielen Dank für den Hinweis, Sie haben recht. Die RSECNOTE ist zwar nicht gänzlich unbrauchbar, wird aber seitens der SAP nicht weiter gepflegt und ist damit nicht mehr “state of the art”.
Die RSECNOTE ist, wie Sie bereits geschrieben haben, durch die “System Recommendations” im Solution Manager abgelöst worden. Die “System Recommendations” ist im Change Management Work Center zu finden. Dabei ist zu beachten, dass die SAP Hinweise 1554475 und 157705 zwingend erforderlich sein müssen.

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support