SNOTE konfigurieren für digital signierte SAP Hinweise

Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihr SAP System übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System, weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung darstellt.

Warn-Hinweis im SAP Support Launchpad

Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und einen User mit den notwendigen Berechtigungen angelegt haben, müssen Sie die Note 2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen.

Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis, der ins System eingespielt werden soll, unverändert vorliegt.

Voraussetzungen um digital signierte SAP Hinweise zu nutzen

Um ihr SAP System für digital signierte Hinweise vorzubereiten müssen zuerst einige Voraussetzungen erfüllt sein:

Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann nicht möglich.

Der umsetzende Benutzer benötigt außerdem einige Berechtigungen, um die notwendigen manuellen Vor- und Nacharbeiten des Hinweises am System ausführen zu können:

• Berechtigung für die Transaktion SLG1
• Leseberechtigung für Berechtigungsobjekt S_APPL_LOG
• Berechtigung zum Schreiben und Löschen von Daten aus dem Anwendungsverzeichnis
• Upgrade der SAPCAR-Version auf Ihrem System auf die Version 7.20 oder höher
• SAP Basis Version 700 oder höher, für ältere Versionen muss der Hinweis manuell eingepflegt werden

Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des Hinweises 2408073 beginnen.

E-Book SAP Basis

Mehr als 100 ausgewählte SAP Basis Fachartikel von rz10.de seit 2011! Auf über 900 Seiten Tipps, Tricks und Tutorials mit Screenshots aus echten SAP-Systemen.

Jetzt anfordern

E-Book SAP Basis

×

Umsetzung SAP Hinweis Nummer 2408073

Wenn Sie alle die vorher beschriebenen Voraussetzungen erfüllt haben, können Sie beginnen, Ihr System auf die Verarbeitung digital signierter Hinweise vorzubereiten. Hierzu muss der SAP Hinweis mit der Nummer 2408073 eingespielt werden.

Dieser besteht aus einigen Schritten zur manuellen Vorarbeit, einigen automatisch ausführbaren Aktivitäten sowie Schritten zur Nacharbeit des Hinweises.

Der Hinweis sowie eine genaue Beschreibung kann unter dem folgenden Link gefunden werden: https://launchpad.support.sap.com/#/notes/2408073

Es wird empfohlen, den Dateinamen nach dem Download nicht zu verändern.

Der Hinweis 2408073 hat die Dateiendung „.sar“ und wird zunächst mit SAPCAR entpackt. Darin befindet sich ein zip-Archiv. Die darin befindliche Textdatei kann mit der Transaktion SNOTE über den Hinweis-Upload in den Note Assistant geladen werden.

Nach Abschluss dieser Schritte können Sie mit dem Einbau des Hinweises beginnen. Die einzelnen Schritte sind in im Hinweis selbst enthalten sowie in einem dem Hinweis angehängten Dokument ausführlich beschrieben. Deshalb werden im Folgenden nur einige besonders zu beachtende Punkte hervorgehoben.

Beim Anlegen und Klick auf Speichern des „CWBDS“ Objektes erscheint ggf. eine Meldung, die dazu auffordert ein Objekt aus dem zulässigen Namensraum zu wählen. Hier kann der Cursor im Objekt-Feld platziert und mit Enter bestätigt werden, dann erfolgt die Abfrage nach einem Transportauftrag.

Bei dem Anlegen der Nachrichtentexte in der „SCWN“ Nachrichtenklasse ist es normal, dass nach dem Speichern der Änderungen mehrmals (so oft wie Nachrichten angelegt wurden) die Frage nach dem Transportauftrag bestätigt werden muss.

Zusätzlich ist beim Anlegen der Nachrichtentexte zu beachten, dass die im Tutorial, welches dem Hinweis angehängt ist, bereitgestellten Texte auf Englisch vorhanden sind. Wenn Sie auf einem deutschen System arbeiten, sollten Sie die Texte beim Einpflegen entsprechend in die deutsche Sprache übersetzen. Die englischen Texte können anschließend im selben Fenster als Übersetzungen eingefügt werden. Hierzu wählen Sie „Springen -> Übersetzen“.

Fazit

Es ist ein unter Hackern beliebter Ansatz, Updates, die in der Regel Fehler beheben oder die Sicherheit erhöhen sollen, zum Einschleusen von Schadcode in das System zu nutzen. Dazu wird das Update so verändert, dass neben der gewünschten Korrektur noch weitere, schädliche Veränderungen am System vorgenommen werden. Daher ist es sehr zu begrüßen, dass die SAP nun zum 1. Januar 2020 Maßnahmen ergreift, um dies mittels einer digitalen Signatur für die SAP Hinweise zu verhindern.

Weiterführende Quellen:

Note Assistant https://support.sap.com/en/my-support/knowledge-base/note-assistant.html

Enable Note Assistant to Support Digitally Signed SAP Notes https://blogs.sap.com/2017/09/12/enable-note-assistant-to-support-digitally-signed-sap-notes/

SAP Support-Backbone Update – rechtzeitig Solution Manager aktualisieren und umstellen https://rz10.de/sap-solution-manager/sap-support-backbone-update-rechtzeitig-solution-manager-aktualisieren-und-umstellen/

2537133 – FAQ – Digitally Signed SAP Notes https://launchpad.support.sap.com/#/notes/2537133

Update 15.04.2019: Aktualisierung Stichtag, Bilder und Quellen.