SAP-Systeme unterliegen besonderen Sicherheitsvorgaben. Da sie in der Regel kritische Daten für den Geschäftsbetrieb enthalten, sollte an dieser Stelle sämtlichen Security-Aspekten besonderes Augenmerk gelten. Betrachtet man SAP-Systeme zunächst aus der Innensicht als isolierte Einheiten, gelten folgende Maßnahmen als Grundsicherung:
-
Authentifizierung: Benutzer müssen in SAP-Systemen registriert sein, zum Beispiel durch einen Benutzerstammsatz im ABAP-Stack, und sich bei der Anmeldung identifizieren.
-
Berechtigung: Zudem muss geregelt sein, wer was tun darf. SAP verwendet für ABAP Berechtigungsmechanismen wie Rollen und Profile und für Java J2EE-Sicherheitsrollen und User-Management-Engine-(UME-)Aktionen.
-
Passwort-Richtlinien: Die Netweaver-Plattform erlaubt es, verschiedene Systemparameter zu setzen, mit denen Nutzer gezwungen werden, kompliziertere Passwörter einzugeben.
-
Risiko-Management: Kritische Berechtigungen sicher unter Kontrolle zu halten, Backup- und Recovery-Strategien, hohe Verfügbarkeit und Disaster-Recovery-Pläne können Risiken senken.
-
Prozesssteuerung: Die Steuerung von Geschäftsprozessen senkt Risiken auf Geschäftsebene. Mit Konzepten wie Funktionstrennung können sich Unternehmen vor Betrug schützen und stehen aus gesetzlicher Sicht auf der sicheren Seite.
Die SAP-Software Governance, Risk und Compliance (GRC) Suite unterstützt Anwender dabei, diese firmeninternen Security-Aspekte unter Kontrolle zu behalten.
Allerdings funktionieren SAP-Systeme selten isoliert. Die meisten Geschäftsprozesse erstrecken sich heute über vielfältige Systeme und auch über Unternehmensgrenzen hinweg, zum Beispiel zwischen verschiedenen Firmen oder über mobile Zugriffe, so dass Daten auch öffentliche und unsichere Netze passieren. Deshalb sind zusätzliche Anstrengungen notwendig, um die Datenwege abzusichern. Nur so lässt sich die Datenvertraulichkeit und -integrität wahren - die beiden wesentlichen Elemente eines gesicherten Datentransfers. Folgende Techniken helfen, den Datenaustausch in SAP-Landschaften abzusichern.
Netzsicherheit
Netzwerkzonen
Unternehmen setzen für ihre Intranets in den meisten Fällen TCP/IP-Netze ein. Die Technik gestattet es, Netze auf Basis von IP-Adressen, Netzmasken und Routing-Daten in Datenblöcke zu untergliedern. Diese miteinander verbundenen Segmente bezeichnet man als Netzwerkzonen. Der Sicherheit halber sollten Anwender ihre SAP-Systeme in eine separate Netzwerkzone legen. Das bringt folgende Vorteile:
-
Man kann eindeutig zwischen der Benut-zergemeinschaft und den Backend-Sys-temnetzen unterscheiden.
-
Für das Backend lässt sich ein strengeres Sicherheitsniveau anwenden.
-
Das Filtern des ein- und abgehenden Netzverkehrs erlaubt eine bessere Zugriffskontrolle für das Backend.
-
Der Netzverkehr lässt sich besser optimieren.
Firewalls
Wichtige Elemente einer effektiven Zugriffskontrolle sind Firewalls. Diese legen fest, welche Verbindungen sich zwischen Kommunikationspartnern herstellen lassen. Es gibt abhängig von der Information, die sie benutzen, um den Netzverkehr zu filtern, zwei Typen von Firewalls:
1. Paketfilter können den Netzverkehr auf Basis der Information filtern, die in den TCP- und/oder IP-Vorsätzen, zum Beispiel IP-Adresse und TCP-Ports, enthalten ist.
2. Application-Gateways filtern den Verkehr auf Basis von Informationen auf Anwendungsebene. Das heißt, sie können Informationen herausziehen, die sich tiefer in der Anwendung befinden.
SAP bietet keine Paketfilter-Firewall. Bei Application-Gateways stehen dagegen mehrere Möglichkeiten zur Verfügung:
-
Der SAProuter kann den Datenverkehr in der SAP-Netzschnittstelle, einer privaten Netzzwischenschicht, die von SAP-Protokollen wie RFC und DIAG genutzt wird, weiterleiten und filtern.
-
Der SAP Web Dispatcher kann an Netweaver-Anwendungs-Server gerichtete HTTP(S)-Anfragen filtern.
Damit lässt sich eine effiziente Zugriffskontrolle zu den Backend-Systemen erreichen:
-
Externe Geschäftspartner verbinden sich nicht direkt mit dem Backend-System. Stattdessen werden ihre Anfragen vom SAProuter/SAP Web Dispatcher in der Demilitarisierten Zone (DMZ) gefiltert und weitergeleitet.
-
Die Firewall der Backend-Netzzone lässt nur Verkehr zu, der von den Application-Gateways in der DMZ stammt.
-
Die Backend-Netzzone wird ferner durch eine zweite interne Firewall des internen Benutzernetzes geschützt.
Die Sicherheit lässt sich erhöhen, indem die DMZ in zwei Zonen unterteilt wird:
-
eine äußere DMZ,
-
eine innere DMZ.
Die äußere DMZ dient als Einstiegspunkt vom Internet in das Unternehmen. Die innere DMZ bildet den Zugang zum Backend-Netz, entweder von der äußeren DMZ oder vom internen Benutzernetz, wobei hier innere SAProuter, innere SAP Web Dispatcher oder Portalsysteme eingesetzt werden, die es gestatten, auf Inhalte im SAP-Backend zuzugreifen.
Reverse Invoke
"Reverse Invoke" ermöglicht den Aufbau von Netzverbindungen vom Backend aus. Das erhöht die Netzsicherheit, da die Firewalls keinerlei Verbindungsaufbau von außen zulassen. SAProuter wie auch SAP Web Dispatcher lassen sich für eine Nutzung mit Reverse Invoke einrichten.
Ein Beispiel: Eine Web-Anwendung wird durch ein SAP-System im Backend-Netz bedient. Möchte ein Benutzer die Web-Anwendung nutzen, startet er einen Web-Browser und verbindet sich mit einem SAP Web Dispatcher in der DMZ. Der SAP Web Dispatcher dient als Einstiegspunkt. Ist jedoch eine Reverse-Invoke-Verbindung eingerichtet, wird die Verbindung im SAP-System vom "Internet Communication Manager" (ICM) initiiert und nicht vom SAP Web Dispatcher. Daher lässt sich die innere Firewall so einstellen, dass keine eingehenden Verbindungen gestattet sind.
Secure Network Communications
"Secure Network Communications" (SNC) ist eine von SAP entwickelte Softwareschicht, die Datenkommunikationswege zwischen Komponenten eines SAP-Systems durchgängig schützt, die SAP-Protokolle wie RFC oder DIAG verwenden. Sie stellt eine zusätzliche Sicherheitsschicht dar für die Kommunikation zwischen:
-
SAP GUI und SAP-Systemen,
-
zwei SAP-System-Servern (ABAP und Java),
-
externen RFC-Servern und SAP-System-Servern,
-
SAProutern,
-
SAP-Systemen und SAP-Drucker-Servern.
Die SNC selbst enthält keinen Sicherheitsmechanismus, sondern stellt mit der "GSS-API V2" (Generic Security Services Application Programming Interface Version 2) eine Schnittstelle für externe Sicherheitsprodukte wie zum Beispiel Smartcards bereit. Der Security-Layer bietet drei Schutzstufen:
1. Authentifizierung - geringer Schutz: Es werden nur die Identitäten der Kommunikationspartner überprüft. Die Daten werden unverschlüsselt gesendet.
2. Integrität - mittlerer Schutz: Es lassen sich sämtliche unerwünschte Datenänderungen während der Übermittlung erkennen. Die Daten werden unverschlüsselt gesendet.
3. Privatsphäre - hoher Schutz: Die Daten werden zwischen den Partnern über Kabel verschlüsselt übermittelt.
SAP stellt als standardmäßiges SNC-Sicherheitsprodukt die "SAP Cryptographic Library" bereit. Allerdings lässt sich die SAP Cryptographic Library nur zur Implementierung von SNC zwischen Server-Komponenten verwenden, das heißt, um Verbindungen auf RFC-Basis zu schützen. Wenn gleichzeitig die Kundenkommunikation geschützt werden soll, zum Beispiel Verbindungen zwischen SAP GUI und dem SAP-System, benötigen Anwender ein zusätzliches Produkt, entweder von SAP (SAP Netweaver Single-Sign-on) oder einem Partner von SAP.
Transport Layer Security
Das eigene Netz lässt sich so weit absichern, wie sich die entsprechenden Ressourcen kontrollieren lassen. Sobald diese Kontrolle nicht mehr gegeben ist, gilt es, auf Verschlüsselungstechniken zurückzugreifen, um Vertraulichkeit und Integrität der Daten zu sichern.
Secure Sockets Layer
Secure Sockets Layer (SSL) ist ein weit verbreitetes Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet und darüber hinaus ein Mittel, um Abhörversuche und unbefugte Eingriffe zu verhindern. Der Begriff SSL wird auch für den Nachfolger, das Verschlüsselungsprotokoll Transport Layer Security (TLS), verwendet:
-
Sie authentifizieren den Client, den Server oder beide über ein asymmetrisches Verschlüsselungssystem. Digitale Zertifikate spielen eine wichtige Rolle.
-
Sie sorgen mit Hilfe eines symmetrischen Verschlüsselungssystems dafür, dass Daten vertraulich bleiben.
-
Nachrichtenauthentifizierungscodes (Message Authentication Codes = MACs) gewährleisten zudem die Datenintegrität.
TLS und SSL sind heute fester Bestandteil der meistgenutzten Browser (Internet Explorer, Firefox, Chrome, Opera usw.) und werden von fast allen Web-Servern, einschließlich SAP-Systemen, unterstützt. Bei neuen Systemen mit SAP Netweaver 7.3x können Anwender SSL durch die richtige Konfiguration des ICM für ABAP- und Java-Stacks in SAP implementieren. Bei Java-Systemen, die mit früheren Versionen von SAP Netweaver arbeiten, muss stattdessen der SSL Service Provider eingerichtet werden. Unabhängig von der Version müssen folgende Anforderungen erfüllt sein:
-
Auf dem SAP-Server muss die SAP Cryptographic Library installiert sein.
-
Der Zugriff auf ein PKI-Untersystem, damit sich das digitale Zertifikat des SSL-Servers von Zertifizierungsstellen erzeugen und registrieren lässt.
-
Es wird ein Container für alle Zertifikate von SSL-Verbindungen benötigt. Dieser Container lässt sich in Form der Datei "SSL Server Personal Security Environment" (SSL Server PSE) implementieren. In der ABAP-Umgebung hat sich in Bezug auf ältere Versionen nichts geändert. Bei Java nutzen Vorgängerversionen von NW 7.3x einen speziellen Service, den "Key Storage", um die Sicherheit der SSL-Zertifikate zu gewährleisten.
Virtual Private Networks
Virtual Private Network (VPN) steht für verschiedene Techniken, um private Netze über öffentliche Netze wie das Internet so zu verbinden, dass ein Host-Computer, der sich in einem dieser privaten Netze befindet, Daten an andere so weiterleiten kann, als gäbe es nur ein logisches privates Netz. VPN stellt also einen Kanal zwischen zwei Punkten dar, in dem man nicht sehen kann, was sich darin befindet. Dieser Kanaleffekt wird durch Tunnelprotokolle erreicht, die Undurchsichtigkeit durch Verschlüsselungstechniken. Das VPN bietet ebenso wie SNC und SSL:
Vertraulichkeit, da Daten verschlüsselt versandt werden,
Absender-Authentifizierung, um den Zugriff nicht berechtigter Benutzer auf das VPN zu verhindern,
Nachrichtenintegrität, um zu erkennen, ob Nachrichten manipuliert wurden.
Es gibt allerdings verschiedene Tunnelprotokolle (zum Beispiel IPSec, TLS/SSL, PPTP). Normalerweise erfordert jedes dieser Protokolle eine spezielle VPN-Client-Software, was Kompatibilitätsprobleme zwischen den VPNs zur Folge hat. Trotzdem sind VPNs zur Verbindung entfernter Standorte heute weit verbreitet.
Fazit
Da Business-Software-Systeme heute über Unternehmensgrenzen hinweg via Internet zusammenarbeiten, ist die Sicherheit bezüglich Authentifizierung, Vertraulichkeit und Integrität entscheidend. Sicherheitskenntnisse entwickeln sich jedoch relativ schnell weiter. Insofern ist zu empfehlen, bezüglich neuer Probleme mit SAP-Produkten und deren Abhilfemaßnahmen stets auf dem Laufenden zu bleiben. SAP bietet dafür verschiedene Möglichkeiten:
-
Sicherheitshinweise finden sich auf https://service.sap.com/securitynotes.
-
SAP hat den "SAP Security Patch Day" eingeführt (jeder zweite Dienstag im Monat), um sicherzustellen, dass sämtliche Sicherheitsreparaturen für alle unterstützten SAP-Produkte auf dem SAP Marketplace zum Download bereitstehen.
-
Im SCN-Sicherheitszentrum - http://scn.sap.com/community/security - finden Anwender Blogs und weitere Informationen. (ba)
QoS IT Consulting
QoS IT Consulting ist ein europäisches Beratungsunternehmen, das sich auf komplexe IT-Projekte, die Optimierung technischer Umgebungen und effiziente Wertschöpfung spezialisiert hat. Mit Präsenz auf europäischen Märkten und in den USA hat sich QoS IT Consulting auf die zentralen Technologien von Microsoft und SAP konzentriert (www.qosit.eu)