SAP Security im Wandel – SAP HANA Berechtigungen

Autor: Alexander Depold | 23. Januar 2018

20
HANA Datenbank

Seit den letzten Jahren ist SAP HANA eines der großen Themen im SAP Umfeld. Viele Kunden stehen aktuell vor der Frage, ob Sie Ihr SAP System migrieren sollen oder nicht. Neben der eigentlichen Umstellung an sich, gibt es aber zahlreiche andere Themen bei denen Sie sich vorab schon informiert haben sollten, da diese den Erfolg von SAP HANA bei Ihnen beeinflussen. Was wissen Sie bereits über SAP HANA?

SAP HANA Szenario

Doch warum sprechen wir überhaupt über HANA Security? Warum ist es so wichtig, sich mit der neuen Technologie auch neue Sicherheitsstrategien zu überlegen? Mit HANA ist es möglich, Daten schnell zu analysieren. BW-Szenarien profitieren in erster Linie von der verwendeten In-Memory-Datenbank (IMDB), da sich hier Geschwindigkeitsvorteile beim Datenzugriff besonders positiv auswirken. Im Vergleich zu einem klassisches ERP / R3 Szenario wird die normale DB gegen HANA ausgetauscht. Es resultieren die gewünschten Geschwindigkeitsvorteile. Bei der Umstellung ist jedoch mit einem Migrationsaufwand zu rechnen. Verursacht wird dies, durch kundeneigene Entwicklungen im System. HANA ist jedoch keine Weiterentwicklung von SAP ERP, HANA ist die nächste Stufe eines ERP Systems.

In einem ERP-Systeme steckt bekanntlich das Kapital der Unternehmen. Daher ist auch ein neues HANA-System wie alle anderen ERP Systeme für Angreifer interessant. Zum einen enthält ein solches System die kritischen Geschäftsdaten die sich für eine Spionage anbieten. Darüber hinaus sind die meisten Geschäftsprozesse in einem solchen System abgebildet und bieten eine Angriffsfläche für Sabotage. Hinzu kommt, Nutzer kennen sich mit der neuen Technologie anfangs nicht gut aus. Dies gilt ebenso für Administratoren in dem Bereich einer neuen Technologie. Angreifer haben schnell einen gefährlichen Wissensvorsprung vor diesen Nutzergruppen. In SAP HANA gibt es viel neues, obwohl auf vieles existierendes von SAP ERP zurückgegriffen wird, daher besteht hier ein Risiko.

Workshop: SAP HANA Roadmap - Ihr Schritt zur Digitalisierung

Wir helfen Ihnen bei der Einführung, Ihrer SAP HANA Roadmap. Von der ersten Analyse bis zur Migration. Jetzt Infos holen!

informieren

Neue Risiken in SAP HANA

Neben den bekannten Risiken bestehen auch neue Risiken durch die Verwendung von SAP HANA. Ein sehr gutes Beispiel sind häufig verwendete Webanwendungen, die etwas neues im SAP Bereich darstellen. HANA Systeme bestehen im Gegensatz zu einem SAP ERP System hauptsächlich aus Webanwendungen, die in den vorherigen Versionen eher als optional zu betrachtet wurden. Diese Webanwendungen können durch diverse Suchmaschinen im Internet aufgefunden werden. Das gilt übrigens auch für das SAP Portal oder Netweaver. Es gibt URL-Schemata die zum Auffinden des Systems beitragen. Dies gilt auch für andere SAP Systeme, die Webanwendungen verwenden. Damit ist auch die neue Technologie für typische Webangriffe verwundbar. Zu nennen sind hier SQL Injection, ABAP Code Injection oder XSS.

Alle Risiken, die für ein normales SAP System bekannt sind, gelten auch für ein SAP-HANA System. Die Daten werden unverschlüsselt im RAM abgelegt. Erst dadurch gewinnt das System diesen Geschwindigkeitsvorteil. Hieraus resultieren Risiken wie ein auslesen durch Memory-scraping-malware. Diese greifen Daten im Arbeitsspeicher ab. Verschlüsselung kostet Performance, daher wird diese standardmäßig nicht verwendet. Gerade während einer Migration läuft HANA in einem Parallelsystem, daher kommt zu Ihrer Landschaft mindestens ein neues System dazu. Beachten Sie darüber hinaus: HANA hat eigene Tools und eigene Einstellmöglichkeiten die gekannt und konfiguriert werden müssen. Unterm Strich muss beim Betrieb des Systems einfach mehr beachtet werden. Viele Einstellmöglichkeiten resultieren nicht selten in mehr Fehlern.

Security

Drei – Punkte – Plan zur HANA Sicherheit

1. Rollen und Berechtigungen

Im einem bisherigen SAP System zählen Rollen und Berechtigungen sicherlich auch zu den Hauptsäulen eines sicheren Systems. Rollen und Berechtigungen funktionieren aber anders in einem HANA System. Es gibt zwei Nutzertypen:

1. Standard (eingeschränkt): Mit diesem Nutzertyp gibt es verschiedene Zugriffsmethoden auf die Datenbank. Hier werden beispielsweise die Technologien JDBC oder HTTP verwendet, um zwei Beispiele zu nennen. Diese Zugriffsmethode hängt ausschließlich von den Rechten ab, die dem Nutzer zugewiesen sind.

2. Systemuser: Nutzer dieser Nutzergruppe sind vergleichbar mit SAP*. Sie fungieren im System als Administrator. Daher sollten sie schnellstmöglich deaktiviert / auf inaktiv gesetzt werden, sobald der Systembetrieb sichergestellt ist. Die Behebung dieses Sicherheitsrisikos sollte Ihnen noch aus dem SAP ERP Umfeld bekannt sein.

In einem HANA-System gibt es Privilegien statt Berechtigungen. Der Unterschied besteht erst einmal in der Begrifflichkeit. Trotzdem werden die Berechtigungen auch anders zugeordnet (direkt / indirekt) über die Zuordnungen von Rollen. Diese sind somit Ansammlungen von Privilegien. Wie in älteren SAP-Systemen müssen die Systemuser deaktiviert werden und bestimmte Rollen die schon bestehen eingeschränkt werden. Im Vergleich zu einem SAP ERP System werden statt große Anwendungen kleine Apps berechtigt. Hier sollte auf jeden Fall auf eine individuelle Berechtigungsvergabe geachtet werden. Für die Nutzer sollte es selbstverständlich sein, sichere Passwortregeln implementiert zu haben.

Webinar: Von Anfang an richtig: SAP Berechtigungen nach S/4HANA migrieren

Entdecken Sie im Webinar, was Sie für eine reibungslose Migration der SAP Berechtigungen nach S/4HANA benötigen. Erfahren Sie, wie Sie Ihre Berechtigungsstrukturen effektiv planen, optimieren und an die neuen Anforderungen von S/4HANA anpassen können.
Jetzt anmelden

2. Einstellungen

Eine Absicherung des Systems bringt auch die Absicherung der darunter liegenden Infrastruktur mit sich. Vom Netzwerk bis zum Betriebssystem des Hosts muss alles abgesichert werden. Bei der Betrachtung der Systemlandschaft fällt auf, dass die neue Technologie viele Verbindungen mit bringt, die abzusichern sind. Auch das SAP Gateway, welches für die Verbindung zwischen Backend und Frontend zuständig ist, ist ein Sicherheitsrisiko und muss betrachtet werden. Alle Sicherheitseinstellungen der bisherigen und zukünftigen Komponenten müssen auf HANA Kompatibilität validiert werden. Sichere Kommunikation der Verbindungen erhalten Sie dann, wenn Sie den Zugriff einschränken wo möglich. Verschlüsselung der Daten eines HANA Systems ist standardmäßig deaktiviert. Achten Sie darauf, dass sie sensiblen Daten trotzdem verschlüsseln. Vor allem Daten die archiviert werden. Wenn ein Angriff auf Ihr System erfolgt, sollten forensische Analysen gefahren werden können, daher sollten Sie das Audit Log aktivieren. Darüber hinaus sollten nur wenig Nutzer Zugriff darauf haben.

3. Anwendungen

Ein SAP HANA System lebt von Anwendungen. Wenn Sie diese Anwendungen entwickeln, sollten Sie frühzeitig daran denken, diese absichern. HTTPS zu verwenden statt HTTP gehört zu den Basics. Darüber hinaus sorgen Sie für eine sichere Authentifizierung und implementieren einen Secure Software Development Lifecycle um die Sicherung in Ihren Eigenentwicklungen sicher zu stellen. Bei Ihren Anwendungen fangen Sie besser früh an, diese auf Risiken zu untersuchen und betreiben diesen Sicherungsprozess regelmäßig. Den Zugriff auf Quelltexte können Sie im weiteren Verlauf analysieren und einschränken. Bauen Sie sich ein Risikoregister auf und behandeln sie Sicherheitslücken risikobasiert.  Je später Sie ein Risiko entdecken, desto teurer wird die Behebung.

Unser E-Book zum SAP Berechtigungskonzept

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise und welche Tools erleichtern das Berechtigungsdesign?

Jetzt anfordern

Weitere Informationen zum SAP Security ergänzend zum Artikel finden sie hier. Haben Sie weitere Fragen oder Anregungen zur Thematik? Möchten Sie, dass wir weiter auf die Thematik eingehen? Ich freue mich auf Ihr Feedback!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Alexander Depold

Autor

Alexander Depold

B. Sc. Applied Computing

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Berechtigungen

Best Practice – Funktionsrollen mit dem RoleDesigner konzipieren

xams
Funktionsbezogene Businessrollen aus Nutzungsstatistiken aufbauen und kritische Berechtigungen rechtzeitig identifizieren – mit dem XAMS RoleDesigner.
Artikel lesen
SAP Berechtigungen

SAP_ALL Profil neu generieren

Wenn SAP_ALL wirklich gebraucht wird, dann sollte es bitte auch funktionieren. Wie funktioniert eine Generierung des Profils, was ist zu beachten?
2 #SAP_ALL
Artikel lesen
SAP Berechtigungen

Redesign der SAP Berechtigungen - was sind die größten Risiken?

Ein Redesign der SAP Berechtigungen ist zum Scheitern verurteilt wenn Risiken nicht betrachtet werden. Eine Übersicht über die häufigsten Stolpersteine.
#leserfrage
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage