Systeme und ihr Umfeld

SAP-Sicherheit

Sichere SAP-Systeme im Web

Von Heiko Stock, Hamburg

Mit dem "Going Web" sind für Unternehmen eine Vielzahl von Sicherheitsrisiken verbunden. Bei der Implementierung sicherer Web-basierter SAP-Systeme hat sich in Projekten der Security-Beratung der SAP Deutschland die hier beschriebene Vorgehensweise bewährt.

In der Regel werden beim Einstieg ins Web vollständige Prozesse auf Internettechnologie verlagert; die dabei verarbeiteten vertraulichen Daten dürfen jedoch unter keinen Umständen in die Hände von Hackern oder der Konkurrenz fallen. Den Ausgangspunkt für die Implementierung sicherer Web-basierter SAP-Systeme bildet eine Risikoanalyse, die den Wert der zu schützenden Daten, die Wahrscheinlichkeit eines Schadens sowie die Auswirkungen bei dessen Auftreten ermittelt.

Aus der Risikoanalyse ergeben sich grundsätzliche Sicherheitsanforderungen, die unmittelbar Auswirkungen auf die resultierende Sicherheitsarchitektur haben. So werden zum Beispiel die Art der Authentifizierung – schwache Authentifizierung über Benutzerkennung und Kennwort oder starke Authentifizierung über X.509-Zertifikate – oder die Aufteilung des Netzwerks in verschiedene Sicherheitszonen durch diese Anforderungen vorgegeben.

SAP stellt als Global Solution Provider und Trusted Advisor technische Möglichkeiten für das Security Management und den Schutz der mit mySAP.com verarbeiteten Daten bereit. Die SAP-spezifischen Mechanismen müssen jedoch um zusätzliche Sicherheitstechnik, zum Beispiel Firewalls oder Intrusion Detection Systems (IDS), zu einer Sicherheitsarchitektur ergänzt werden, deren Entwurf in drei Schritten erfolgt:

  1. Die Festlegung der in Frage kommenden Schutzmechanismen erfolgt anhand der Risikoanalyse: Auf ihrer Grundlage werden die zum Einsatz kommenden Komponenten und gegebenenfalls ihre redundante Auslegung zur Gewährleistung einer hohen Verfügbarkeit bestimmt.
  2. Anordnung der Komponenten: Das Netzwerk sollte über verschiedene Sicherheitszonen und wenige, durch Firewalls geschützte Übergänge zwischen diesen Zonen verfügen. Besonders für die externen Zugänge zum Unternehmensnetz sollten so genannte demilitarisierte Zonen (DMZ) durch Kombination einer externen und einer internen Firewall geschaffen werden, um sicherzustellen, dass nur aus bestimmten Zonen Zugriff auf die Informationssysteme besteht.
  3. Bestimmung der Kommunikationsbeziehungen zwischen den Komponenten für die Übergänge zwischen den Sicherheitszonen: Dabei werden die zulässigen Dienste und Protokolle auf den Servern festgelegt und damit die Konfiguration der Firewalls vorgegeben.

[Illustration]
Sichere Netzwerkarchitektur mit "demilitarisierter Zone" (DMZ)

Nach der Ausarbeitung eines Vorschlags für die Sicherheitsarchitektur empfiehlt es sich, die Geschäftsführung einzubeziehen, damit auch auf oberster Ebene die Auswirkungen und Investitionskosten mitgetragen werden. Unternehmen und ihre Führung sind in Deutschland übrigens durch das "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) unter anderem verpflichtet, ein Überwachungssystem zur frühzeitigen Erkennung existenzgefährdender Entwicklungen einzurichten.

Systeme sichern

Bei der Installation des Betriebssystems auf den Server-Komponenten erfolgt in der Regel nur ein Grundschutz, der im Hinblick auf die Nutzung der Server für Web-basierte Geschäftsprozesse oftmals nicht ausreichend ist. Um eine Verwundbarkeit gegenüber Angriffen zu verhindern, die auf allgemein bekannten Schwächen der Betriebssysteme basieren, müssen betriebssystemspezifische Konfigurationsmaßnahmen durchgeführt werden. Hierzu zählt beispielsweise die Deaktivierung nicht genutzter Netzwerkdienste und -protokolle sowie die Anpassung von Zugriffsrechten (Access Control Lists).

Kommunikation sichern

Im nächsten Schritt gilt es, die Kommunikation zwischen den Komponenten zu schützen. Im Vordergrund steht dabei die Verschlüsselung der übertragenen Daten, verbunden mit einer Authentifizierung von Servern. Für die Kommunikation mit dem Web-Server empfiehlt sich der grundsätzliche Einsatz von HTTP über das Standard-Internetprotokoll Secure Sockets Layer (HTTPS = HTTP per SSL). Inzwischen unterstützen alle gängigen Web-Server und -Browser HTTPS praktisch weltweit auch mit starker Verschlüsselung.

Zur Verschlüsselung des Datenstroms zwischen den SAP-Komponenten (ITS WGate und ITS AGate sowie ITS AGate und SAP Applikationsserver) und zur Authentifizierung der Server stellt SAP im Internet eine kostenfreie Kryptographiebibliothek zur Verfügung (SAP Service Marketplace, [externer Link] http://service.sap.com/ – Anmeldung erforderlich).

Darüber hinaus sollte man die Firewalls der Sicherheitsarchitektur durch entsprechende Regeln so konfigurieren, dass nur die notwendigen Kommunikationsvorgänge entsprechend der zuvor definierten Datenströme zulässig sind.

Anwendungen sichern

Auf den einzelnen Servern müssen die jeweiligen Anwendungen mit den zur Verfügung stehenden anwendungsspezifischen Mechanismen geschützt werden. Dabei sind vor allem der Web-Server, der SAP Internet Transaction Server (ITS) sowie die SAP-Anwendung selbst zu berücksichtigen. Die Schutzmaßnahmen für den Web-Server hängen vom eingesetzten Produkt ab. Hier sind allgemeine Empfehlungen des jeweiligen Herstellers zu berücksichtigen.

Die Sicherheitsmechanismen der SAP-Software beschreibt ein Sicherheitsleitfaden, der im SAP Service Marketplace zum Download zur Verfügung steht (s. o.). Eine zentrale Rolle bei der Sicherung Web-basierter SAP-Systeme spielen die Authentifizierung sowie die Benutzer- und Rollenverwaltung.

In einer komplexen Systemlandschaft werden die verschiedenen Authentifikationsmechanismen immer unübersichtlicher. Bei der Vielzahl von Systemen kann sich kaum ein normaler Anwender alle Passwörter merken. Das SAP-Unternehmensportal ermöglicht daher die Einbindung von SAP- und Fremdkomponenten in das Single Sign-on mit einem eigenen, auf digitaler Signatur basierenden Logon-Ticket. Zudem kann sich das Portal auch selbst in andere Single-Sign-on-Bereiche einbringen, etwa das Windows-NT-Login.

Da sowohl eigene Mitarbeiter von innen wie auch Kunden und Partner von außen die Systeme nutzen, muss der Mechanismus, über den sich die Anwender anmelden und zweifelsfrei identifizieren, ebenso sicher wie einfach verwendbar sein. Falls eine starke Authentifizierung erforderlich ist, kommen digitale Zertifikate zum Einsatz, die von einem externen oder internen Trustcenter ausgestellt werden.

Das traditionelle SAP Benutzerkonzept implementiert die Zugriffsrechte der Anwender in Form von Rollen (vgl. S. 64). Eine Rolle enthält eine Reihe von Transaktionen und Reports, die zum Tätigkeitsprofil eines Mitarbeiters gehören, beispielsweise das Anlegen von Kundenaufträgen oder die Fakturierung von Bestellungen. Die Rollen werden den Benutzern innerhalb des SAP-Systems zugewiesen, eventuell unter Verwendung der zentralen SAP-Benutzerverwaltung.

Vor dem Hintergrund einer zunehmenden Komplexität der IT-Systemlandschaft ändern sich jedoch die Anforderungen an die Benutzer- und Berechtigungsverwaltung. Benutzerinformationen liegen typischerweise in unterschiedlichen Systemen vor (z. B. E-Mail-, Telefon- und Anwendungssysteme), die Daten in eigenen Verzeichnissen (Directories) speichern. SAP bietet daher die Möglichkeit, solche Benutzerinformationen per Lightweight Directory Access Protocol (LDAP) mit einem zentralen Verzeichnis (Meta Directory) auszutauschen, in dem die Daten aus verschiedenen Directories zusammenfließen und zentral zu administrieren sind. Mit dem Einsatz eines Verzeichnisdienstes erhält die Benutzerverwaltung einen "Single Point of Administration", der durch die Minimierung redundanter Datensätze und eine Zentralisierung der Administrationsprozesse ein Höchstmaß an Effizienz und Sicherheit bietet.

[Illustration]
Benutzerverwaltung mit Verzeichnisdienst

Sicherheitsmonitoring

Neben den präventiven Maßnahmen sollte eine geeignete Monitoring-Infrastruktur eine frühzeitige Erkennung von Sicherheitsverletzungen ermöglichen. Ein Sicherheitsmonitoring ist dabei nur dann effektiv, wenn es sich über das gesamte System und auf allen Ebenen erstreckt. Neben den SAP-eigenen Monitoring-Werkzeugen (Security Audit Log, Zugriffsprotokoll des ITS) dienen hierzu bevorzugt Intrusion Detection Systems (IDS), die Sicherheitsverletzungen auf Betriebssystem- und Netzwerkebene frühzeitig erkennen und entsprechende Gegenmaßnahmen einleiten können.

Richtlinie und Review

Außer technischen Maßnahmen gehören zu einer effektiven Sicherheitsarchitektur auch organisatorische Maßnahmen: vor allem eine Sicherheitsrichtlinie, welche die für einen sicheren Betrieb relevanten Verfahren dokumentiert. Neben den Prozessen zum Sicherheitsmanagement muss die Sicherheitsrichtlinie auch Vorgehensweisen und Zuständigkeiten beim Auftreten von Sicherheitsverletzungen (Incident Management) enthalten.

Um Sicherheitsrisiken auszuschließen, die auf Konzeptions- oder Konfigurationsfehlern basieren, empfiehlt sich zudem vor der Produktivsetzung des Systems die Durchführung eines Reviews durch eine neutrale Instanz. Einen entsprechenden Service bietet unter anderem die SAP Deutschland an.

Dipl.-Inform. Heiko Stock ist Program Manager Security bei der SAP Deutschland AG & Co. KG.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2001, Seite 43