SAP Security by Default: Härtung von SAP-Systemen
Autor: Jonas Krüger | 2. Dezember 2020
SAP Security by Default bedeutet, die Standard-Konfiguration in einem IT-System so auszuliefern, dass die Sicherheit und der Datenschutz bestmöglich berücksichtigt sind. So kann sich der Betreiber oder Nutzer des Systems auf die Sicherheit des Systems verlassen, solange er nichts an der Konfiguration anpasst. Erst bei aktiv vorgenommenen Anpassungen müssen mögliche Sicherheitsauswirkungen geprüft und berücksichtigt werden.
Auch wenn „Security by Default“ kein ganz neues Konzept ist und es durch gesetzliche Regelungen (z. B. DSGVO) teils sogar vorgeschrieben ist, wird es von SAP immer noch nur teilweise umgesetzt. Mit S/4HANA stellt die SAP Security by Default stärker in den Fokus, aber auch dort gibt es immer noch Risiken in der Standardkonfiguration, die Sie kennen und behandeln sollten.
Schwächen im SAP Standard
Bei der Neueinführung eines SAP-Systems gibt es viele Dinge zu beachten. Egal, ob Sie das SAP-System selbst aufgesetzt haben oder Ihr Hosting-Dienstleister oder ein Beratungspartner dies übernommen haben: Wurde dabei ein ausreichender Wert auf die sicherheitsrelevanten Einstellungen gelegt? In der Praxis sind bei einem SAP Einführungsprojekt, egal ob früher oder heute mit S/4HANA, die meisten Ressourcen darauf ausgerichtet, die Funktion des Systems sicherzustellen. Dagegen werden häufig die Dinge, die aus Sicherheitsgründen ein Risiko darstellen und die Vertraulichkeit, Integrität und Verfügbarkeit des Systems bedrohen, nur sehr spät adressiert.
Hier einige Beispiele, wo in der Standard-Konfiguration eines SAP-Systems Risiken lauern:
- Profilparameter
- SAP-Standardbenutzer
- Mandant 066
Wussten Sie: nach der EU-DSGVO sind Sie als Auftraggeber der Auftragsdatenverarbeitung dafür verantwortlich, die Schutzmaßnahmen von mit der Datenverarbeitung beauftragten Dienstleistern, beispielsweise Ihres SAP Hosting Poviders, zu kontrollieren. Daher rate ich Ihnen, die sicherheitsrelevanten Konfigurationsparameter in Ihrem System selbst zu überprüfen. Gerne unterstützen wir Sie dabei als unabhängiger Beratungspartner im Rahmen eines SAP Security Checks.
Härtung von SAP-Systemen
Als Betreiber des SAP-Systems sind Unternehmen gefordert, diese Schwächen in der Standardkonfiguration selbst zu beheben und ihr System zu härten. Auch wenn die SAP Hilfsmittel bereitstellt, um die Härtung vorzunehmen, obliegt die Umsetzung der Anpassung den Administratoren des Systems.
Um die Schwächen in der Standardkonfiguration zu schließen und Ihr System abzusichern empfehle ich folgende Ansatzpunkte:
- Early Watch Alert (EWA): Der SAP Early Watch Alert ist kein neues Hilfsmittel der SAP zur Überwachung des Systems, wird jedoch in vielen Unternehmen nicht wirklich verwendet. Er listet kostenlos relevante Security-Aspekte auf und kann somit genutzt werden, um Ansatzpunkte für eine bessere Systemabsicherung zu identifizieren. Nähere Informationen zum EWA finden Sie hier.
- Härtung des Systems unter Verwendung des SAP Solution Managers: Der Solution Manager bietet hilfreiche Werkzeuge, um die Konfiguration des Systems sicherheitstechnisch zu überprüfen und langfristig zu überwachen. Dazu hat mein Kollege in diesem Blogbeitrag Details beschrieben.
- Anpassung der eingestellten Systemparameter: Die Systemparameter sollten sicherheitstechnisch optimiert werden, wobei Sie dabei auch die Auswirkungen einer Anpassung im Blick behalten sollten. Gerne unterstützen wir Sie mit unseren erfahrenen Beratern bei der Härtung Ihres SAP-Systems. Weitere Informationen dazu finden Sie hier.
- Absicherung von RFC-Schnittstellen: Ich empfehle die Dokumentation und Absicherung der RFC-Schnittstellen und die Reduktion der Berechtigungen an Schnittstellen-Benutzern. Wir stellen Ihnen hierfür gerne unser praxisbewährtes Vorgehen vor, das Störungen und Ausfälle der Schnittstelle vermeidet: SAP_ALL aus RFC Verbindungen entfernen
Trotz vielfacher Forderungen, beispielsweise aus der DSAG, hat die SAP die „Security by Default“ noch nicht vollständig umgesetzt. Insofern sind Sie als Betreiber und Administratoren hier in der Pflicht, selbst für die Sicherheit Ihres Systems zu sorgen.
Wenn Sie das Thema SAP Systemhärtung angehen möchten, erarbeiten wir gemeinsam in einem Strategieworkshop SAP Security die Prioritäten und das individuell passende Vorgehen zur SAP-Systemabsicherung.
Haben Sie sich bereits mit der Härtung Ihres Systems befasst? Teilen Sie gerne Ihre Erfahrungen mit diesem Thema in den Kommentaren. Wenn Sie Fragen zum Thema haben, senden Sie uns eine E-Mail an info@rz10.de. Ich freue mich darauf, mit Ihnen dazu ins Gespräch zu kommen!