Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.129 Sichere Konfiguration der HTTP-basierten Dienste von SAP Systemen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.129 Sichere Konfiguration der HTTP-basierten Dienste von SAP Systemen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Über die HTTP-Schnittstelle können unterschiedliche Dienste eines SAP-Systems angesprochen werden. Der Zugriff auf die Funktionen und Applikationen des Java-Stack erfolgt in der Regel über HTTP. Der ABAP-Stack ist über das Internet Connection Framework (ICF) mittels HTTP zugreifbar. Die HTTP-Schnittstelle muss generell sicher konfiguriert sein, so dass einerseits Zugriffe, die schützenswerte Daten übertragen, mit SSL geschützt sind und andererseits nur die benötigten Dienste aktiviert werden.

Die folgenden über HTTP zugreifbaren Schnittstellen sind mit besonderen Risiken verbunden:

Folgendes ist zu beachten:

SOAP-Schnittstelle

Das Simple Object Access Protocol (SOAP) ist ein Protokoll, über das Web-Dienste angesprochen werden können. Für die SOAP-Schnittstelle eines SAP Systems ist Folgendes zu berücksichtigen:

Generell muss auch die über SOAP angesprochene Applikation durch entsprechende Berechtigungsprüfungen die eigene Sicherheit sicherstellen.

SAP Dokumentationen finden sich in M 2.346 Nutzung der SAP Dokumentation.

WebDAV-Schnittstelle

Das WebDAV-Protokoll (Web-based Distributed Authoring and Versioning) erlaubt einen dateisystemähnlichen Zugriff auf Informationen über das HTTP-Protokoll. Der WebDAV-Zugriff kann durch den ABAP- und den Java-Stack angeboten werden, wenn entsprechende Produkte oder Applikationen zum Einsatz kommen. Für den ABAP-Stack ist dies beispielsweise Knowledge Warehouse (KW, ICF-Pfad: /sap/bc/kw/fs), für den Java-Stack ist dies beispielsweise die Komponente Collaboration Management (CM, SAP Enterprise Portal Komponente).

Da der WebDAV-Zugriff unter Umständen auch auf das lokale Dateisystem erfolgen kann, muss dieses vor unberechtigten Zugriffen geschützt werden. Dabei steht der Schutz der über WebDAV angeboten Daten zwar im Vordergrund, kann ein Angreifer aber so auf das lokale Dateisystem zugreifen, können dadurch weitere Angriffe vorbereitet werden. Daher sollte der Zugriff nur authentisiert und über SSL geschützt erfolgen. Zusätzlich ist immer auf die Vergabe von Berechtigungen zu achten.

Content-Server-Schnittstelle

Über die Content-Server-Schnittstelle kann auf Dokument-Archive (Repositories) zugegriffen werden. Ist die Schnittstelle ungeschützt, so können Informationen und Dokumente über verfügbare Repositories abgerufen werden. Folgendes ist zu beachten:

Hinweise auf weitere Dokumentationen finden sich in M 2.346 Nutzung der SAP Dokumentation .

Ergänzende Kontrollfragen: