SNOTE konfigurieren für digital signierte SAP Hinweise

Autor: Jonas Krüger | 15. April 2019

4 | 36 | #SNOTE
Berechtigungskonzept toolgestützt generieren

SAP wird ab 01.01.2020 alle SAP Hinweise (SAP Notes) im SAP Support Launchpad nur noch digital signiert bereitstellen. Prüfen Sie nun, ob Ihr System diese verarbeiten kann, denn nur so können Sie weiterhin SAP Notes einbauen! SAP möchte mit dieser Maßnahme die Sicherheit beim Einspielen der Updates erhöhen.

Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihr SAP System übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System, weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung darstellt.

Warn-Hinweis im SAP Support Launchpad

Warn-Hinweis im SAP Support Launchpad

Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und einen User mit den notwendigen Berechtigungen angelegt haben, müssen Sie die Note 2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen.

Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis, der ins System eingespielt werden soll, unverändert vorliegt.

Voraussetzungen um digital signierte SAP Hinweise zu nutzen

Um ihr SAP System für digital signierte Hinweise vorzubereiten müssen zuerst einige Voraussetzungen erfüllt sein:

Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann nicht möglich.

Der umsetzende Benutzer benötigt außerdem einige Berechtigungen, um die notwendigen manuellen Vor- und Nacharbeiten des Hinweises am System ausführen zu können:

  • Berechtigung für die Transaktion SLG1
  • Leseberechtigung für Berechtigungsobjekt S_APPL_LOG
  • Berechtigung zum Schreiben und Löschen von Daten aus dem Anwendungsverzeichnis
  • Upgrade der SAPCAR-Version auf Ihrem System auf die Version 7.20 oder höher
  • SAP Basis Version 700 oder höher, für ältere Versionen muss der Hinweis manuell eingepflegt werden

Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des Hinweises 2408073 beginnen.

E-Book SAP Basis

Mehr als 100 ausgewählte SAP Basis Fachartikel von rz10.de seit 2011! Auf über 900 Seiten Tipps, Tricks und Tutorials mit Screenshots aus echten SAP-Systemen.

Umsetzung SAP Hinweis Nummer 2408073

Wenn Sie alle die vorher beschriebenen Voraussetzungen erfüllt haben, können Sie beginnen, Ihr System auf die Verarbeitung digital signierter Hinweise vorzubereiten. Hierzu muss der SAP Hinweis mit der Nummer 2408073 eingespielt werden.

Dieser besteht aus einigen Schritten zur manuellen Vorarbeit, einigen automatisch ausführbaren Aktivitäten sowie Schritten zur Nacharbeit des Hinweises.

Der Hinweis sowie eine genaue Beschreibung kann unter dem folgenden Link gefunden werden: https://launchpad.support.sap.com/#/notes/2408073

Es wird empfohlen, den Dateinamen nach dem Download nicht zu verändern.

Der Hinweis 2408073 hat die Dateiendung „.sar“ und wird zunächst mit SAPCAR entpackt. Darin befindet sich ein zip-Archiv. Die darin befindliche Textdatei kann mit der Transaktion SNOTE über den Hinweis-Upload in den Note Assistant geladen werden.

Nach Abschluss dieser Schritte können Sie mit dem Einbau des Hinweises beginnen. Die einzelnen Schritte sind in im Hinweis selbst enthalten sowie in einem dem Hinweis angehängten Dokument ausführlich beschrieben. Deshalb werden im Folgenden nur einige besonders zu beachtende Punkte hervorgehoben.

Beim Anlegen und Klick auf Speichern des „CWBDS“ Objektes erscheint ggf. eine Meldung, die dazu auffordert ein Objekt aus dem zulässigen Namensraum zu wählen. Hier kann der Cursor im Objekt-Feld platziert und mit Enter bestätigt werden, dann erfolgt die Abfrage nach einem Transportauftrag.

Bei dem Anlegen der Nachrichtentexte in der „SCWN“ Nachrichtenklasse ist es normal, dass nach dem Speichern der Änderungen mehrmals (so oft wie Nachrichten angelegt wurden) die Frage nach dem Transportauftrag bestätigt werden muss.

Zusätzlich ist beim Anlegen der Nachrichtentexte zu beachten, dass die im Tutorial, welches dem Hinweis angehängt ist, bereitgestellten Texte auf Englisch vorhanden sind. Wenn Sie auf einem deutschen System arbeiten, sollten Sie die Texte beim Einpflegen entsprechend in die deutsche Sprache übersetzen. Die englischen Texte können anschließend im selben Fenster als Übersetzungen eingefügt werden. Hierzu wählen Sie „Springen -> Übersetzen“.

Fazit

Es ist ein unter Hackern beliebter Ansatz, Updates, die in der Regel Fehler beheben oder die Sicherheit erhöhen sollen, zum Einschleusen von Schadcode in das System zu nutzen. Dazu wird das Update so verändert, dass neben der gewünschten Korrektur noch weitere, schädliche Veränderungen am System vorgenommen werden. Daher ist es sehr zu begrüßen, dass die SAP nun zum 1. Januar 2020 Maßnahmen ergreift, um dies mittels einer digitalen Signatur für die SAP Hinweise zu verhindern.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Basis

Weiterführende Quellen:

Note Assistant https://support.sap.com/en/my-support/knowledge-base/note-assistant.html

Enable Note Assistant to Support Digitally Signed SAP Notes https://blogs.sap.com/2017/09/12/enable-note-assistant-to-support-digitally-signed-sap-notes/

SAP Support-Backbone Update – rechtzeitig Solution Manager aktualisieren und umstellen https://rz10.de/sap-solution-manager/sap-support-backbone-update-rechtzeitig-solution-manager-aktualisieren-und-umstellen/

2537133 – FAQ – Digitally Signed SAP Notes https://launchpad.support.sap.com/#/notes/2537133

Update 15.04.2019: Aktualisierung Stichtag, Bilder und Quellen. 


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Jonas Krüger

Autor

Jonas Krüger

B.Sc. Angewandte Informatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

4 Kommentare zu "SNOTE konfigurieren für digital signierte SAP Hinweise"

Hallo,
meine Frage wäre: ist für das einspielen der digitalen Notes der Solution Manager unabdingbar notwendig.
Danke und Gruss

Hallo,
SAP hat einen aktualisierten Guide herausgebracht (siehe Hinweis 2836302 – Automatische Anleitungsschritte zur Aktivierung des Note Assistant für TCI und digital signierte SAP-Hinweise, dort wird für die Installation nur die Voraussetzung SPAM Version 71 und höher sowie eine leere SPAM Queue genannt.
Bezüglich den Downloads hinterher, gibt der Hinweis 2537133 – FAQ – Digitally Signed SAP Notes Auskunft.
Zusammengefasst:
SAP_BASIS 700 bis 731 dürfen mit dediziertem S-User noch RFC für SAP Hinweise nutzen oder mit entsprechendem Patch den Download Service.
SAP_BASIS 740 und höher *müssen* ab 01.01.2020 entweder HTTPS nehmen oder den Download Service.
Und wichtig: Der Download Service ist gekoppelt am SAP Solution Manager.
Mit freundlichen Grüßen
Tobias Harmes

Hallo,

ist für den Einbau der SNOTES der Mandant 000 empfohlen / zwingend zu nutzen? Oder ist es irrelevant in welchem Mandanten man den Einbau durchführt?
Danke und Gruß

Hallo Herr Mangold,

in den meisten Fällen ist das irrelevant. Nämlich genau dann, wenn Workbench-Objekte angefasst werden.
Lediglich wenn es um Customizing geht, muss das im entsprechenden Mandanten passieren.

Viele Grüße

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice