Jonas Krueger
 - 15. April 2019

SNOTE konfigurieren für digital signierte SAP Hinweise

Schriftlichen Berechtigungskonzept toolgestützt generieren SAP wird ab 01.01.2020 alle SAP Hinweise (SAP Notes) im SAP Support Launchpad nur noch digital signiert bereitstellen. Prüfen Sie nun, ob Ihr System diese verarbeiten kann, denn nur so können Sie weiterhin SAP Notes einbauen! SAP möchte mit dieser Maßnahme die Sicherheit beim Einspielen der Updates erhöhen.

Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihr SAP System übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System, weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung darstellt.

Warn-Hinweis im SAP Support Launchpad

Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und einen User mit den notwendigen Berechtigungen angelegt haben, müssen Sie die Note 2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen.

Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis, der ins System eingespielt werden soll, unverändert vorliegt.

Voraussetzungen um digital signierte SAP Hinweise zu nutzen

Um ihr SAP System für digital signierte Hinweise vorzubereiten müssen zuerst einige Voraussetzungen erfüllt sein:

Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann nicht möglich.

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit Spezialist Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Online Expert Session

Der umsetzende Benutzer benötigt außerdem einige Berechtigungen, um die notwendigen manuellen Vor- und Nacharbeiten des Hinweises am System ausführen zu können:

  • Berechtigung für die Transaktion SLG1
  • Leseberechtigung für Berechtigungsobjekt S_APPL_LOG
  • Berechtigung zum Schreiben und Löschen von Daten aus dem Anwendungsverzeichnis
  • Upgrade der SAPCAR-Version auf Ihrem System auf die Version 7.20 oder höher
  • SAP Basis Version 700 oder höher, für ältere Versionen muss der Hinweis manuell eingepflegt werden

Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des Hinweises 2408073 beginnen.

Umsetzung SAP Hinweis Nummer 2408073

Wenn Sie alle die vorher beschriebenen Voraussetzungen erfüllt haben, können Sie beginnen, Ihr System auf die Verarbeitung digital signierter Hinweise vorzubereiten. Hierzu muss der SAP Hinweis mit der Nummer 2408073 eingespielt werden.

Dieser besteht aus einigen Schritten zur manuellen Vorarbeit, einigen automatisch ausführbaren Aktivitäten sowie Schritten zur Nacharbeit des Hinweises.

Der Hinweis sowie eine genaue Beschreibung kann unter dem folgenden Link gefunden werden:

https://launchpad.support.sap.com/#/notes/2408073

Es wird empfohlen, den Dateinamen nach dem Download nicht zu verändern.

Der Hinweis 2408073 hat die Dateiendung „.sar“ und wird zunächst mit SAPCAR entpackt. Darin befindet sich ein zip-Archiv. Die darin befindliche Textdatei kann mit der Transaktion SNOTE über den Hinweis-Upload in den Note Assistant geladen werden.

Nach Abschluss dieser Schritte können Sie mit dem Einbau des Hinweises beginnen. Die einzelnen Schritte sind in im Hinweis selbst enthalten sowie in einem dem Hinweis angehängten Dokument ausführlich beschrieben. Deshalb werden im Folgenden nur einige besonders zu beachtende Punkte hervorgehoben.

Beim Anlegen und Klick auf Speichern des „CWBDS“ Objektes erscheint ggf. eine Meldung, die dazu auffordert ein Objekt aus dem zulässigen Namensraum zu wählen. Hier kann der Cursor im Objekt-Feld platziert und mit Enter bestätigt werden, dann erfolgt die Abfrage nach einem Transportauftrag.

Bei dem Anlegen der Nachrichtentexte in der „SCWN“ Nachrichtenklasse ist es normal, dass nach dem Speichern der Änderungen mehrmals (so oft wie Nachrichten angelegt wurden) die Frage nach dem Transportauftrag bestätigt werden muss.

Zusätzlich ist beim Anlegen der Nachrichtentexte zu beachten, dass die im Tutorial, welches dem Hinweis angehängt ist, bereitgestellten Texte auf Englisch vorhanden sind. Wenn Sie auf einem deutschen System arbeiten, sollten Sie die Texte beim Einpflegen entsprechend in die deutsche Sprache übersetzen. Die englischen Texte können anschließend im selben Fenster als Übersetzungen eingefügt werden. Hierzu wählen Sie „Springen -> Übersetzen“.

Fazit

Es ist ein unter Hackern beliebter Ansatz, Updates, die in der Regel Fehler beheben oder die Sicherheit erhöhen sollen, zum Einschleusen von Schadcode in das System zu nutzen. Dazu wird das Update so verändert, dass neben der gewünschten Korrektur noch weitere, schädliche Veränderungen am System vorgenommen werden. Daher ist es sehr zu begrüßen, dass die SAP nun zum 1. Januar 2020 Maßnahmen ergreift, um dies mittels einer digitalen Signatur für die SAP Hinweise zu verhindern.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor Jonas Krüger ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Basis

Weiterführende Quellen:

Note Assistant https://support.sap.com/en/my-support/knowledge-base/note-assistant.html

Enable Note Assistant to Support Digitally Signed SAP Notes https://blogs.sap.com/2017/09/12/enable-note-assistant-to-support-digitally-signed-sap-notes/

SAP Support-Backbone Update – rechtzeitig Solution Manager aktualisieren und umstellen https://rz10.de/sap-solution-manager/sap-support-backbone-update-rechtzeitig-solution-manager-aktualisieren-und-umstellen/

Update 15.04.2019: Aktualisierung Stichtag, Bilder und Quellen. 

Jonas Krueger

Mein Name ist Jonas Krueger und ich bin SAP Security Consultant bei mindsquare. Mein Spezialgebiet ist sicheres Benutzer- und Berechtigungsmanagement im SAP sowie die Prüfung und Absicherung von SAP Systemen.

Sie haben Fragen? Kontaktieren Sie mich!

Jetzt das kostenlose E-Book zum Thema SAP Basis herunterladen:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:

RZ10.de Podcast für SAP Basis & Security



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support