M 5.125 Absicherung der Kommunikation von und zu SAP Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein SAP System kommuniziert über das lokale Netz mit SAP Clients, Browsern, Applikationen und anderen SAP Systemen. Auch zwischen den SAP Systemkomponenten findet Datenaustausch statt. In allen Fällen werden Daten übertragen, die geschützt werden müssen. Dies sind nicht nur die Daten, die genutzt werden, um Benutzer zu authentisieren (z. B. Benutzername und Passwort, SSO-Tickets, SAPSSO2-Cookie), sondern auch Geschäftsdaten, die im Rahmen der aufgerufenen Funktionen verarbeitet werden.

Es muss daher entschieden werden, ob und mit welchem Schutzmechanismus die Kommunikation abgesichert wird. Die Kommunikationsmethoden können im Wesentlichen in folgende Klassen unterteilt werden:

Bei der Übertragung schützenswerter Daten von und zu SAP Systemen sollten diese verschlüsselt werden. Zum Schutz der Daten können unterschiedliche Verfahren eingesetzt werden. Es ist daher zu entscheiden, welches Verfahren unter Kosten-Nutzen-Aspekten das günstigste ist. Die Entscheidung ist nachvollziehbar zu dokumentieren.

Einsatz von IPSec

IPSec bietet eine generelle Absicherung der Kommunikation auf IP-Ebene: Alle Datenpakete werden verschlüsselt und integritätsgeschützt. Vorteilhaft an diesem Verfahren ist, dass auf SAP System-Ebene keine zusätzlichen Konfigurationen durchzuführen sind, da der IPSec-Schutz auf Betriebssystem-Ebene konfiguriert wird.

Werden SAP Systeme in reinen Windows-Netzen betrieben (Versionen ab Windows 2000), ist IPSec standardmäßig und ohne Mehrkosten (z. B. für Lizenzen) verfügbar. Es entsteht jedoch administrativer Aufwand für die Konfiguration. Weitere Informationen finden sich in M 5.90 Einsatz von IPSec unter Windows .

Beim Einsatz von IPSec wird sowohl die Kommunikation des ABAP - als auch des Java-Stacks geschützt.

Einsatz von SNC

Innerhalb des SAP Systems kann die Kommunikation mit SNC (Secure Network Communications) geschützt werden. SNC ist jedoch nur eine standardisierte Schnittstelle, so dass SNC-konforme Schutzbibliotheken (auch SNC-Bibliothek, SNC-Modul oder SNC-Implementierung genannt) zusätzlich erworben, lizenziert und installiert werden müssen.

SNC bietet unterschiedliche Schutzlevel an. Im Wesentlichen wird jedoch Authentisierung und Verschlüsselung angeboten. Je nach SNC-Bibliothek können dabei unterschiedliche Algorithmen eingesetzt werden. SNC bietet eine generelle Absicherung der Kommunikation auf SAP System-Ebene.

Bei der Beschaffung von SNC-Implementierungen ist Folgendes zu berücksichtigen:

Von SAP sind SNC-Implementierungen kostenfrei verfügbar, die unter Windows einsetzbar sind. Hier kann zwischen einer NTLM-basierten Variante, die lediglich Authentisierung bietet, und einer Kerberos-basierten Variante, die Authentisierung und Verschlüsselung unterstützt, gewählt werden.

SNC schützt beim Einsatz sowohl die Kommunikation des ABAP- als auch des Java-Stacks, ist jedoch jeweils separat zu konfigurieren.

Quellen für SAP Dokumentationen zur SNC-Konfiguration finden sich in M 2.346 Nutzung der SAP Dokumentation .

Einsatz von SSL

Für alle HTTP-basierten Zugriffe ist SSL grundsätzlich zu empfehlen. Dies gilt auch für die interne Kommunikation zwischen Komponenten des SAP Systems und anderen Komponenten, die die Möglichkeit der SSL-Absicherung bieten (z. B. beim LDAP-Zugriff).

Da SSL Verschlüsselungsmechanismen nutzt, SAP jedoch aufgrund unterschiedlicher Export-/Import-Bestimmungen in den verschiedenen Ländern Verschlüsselungsmechanismen nicht standardmäßig ausliefert, muss die Verschlüsslungsbibliothek (SAP Cryptographic Library, SAP Cryptolib) zusätzlich installiert werden. Es ist zu beachten, dass die SSL-Unterstützung für den ABAP-Stack und den Java-Stack separat zu installieren ist.

SSL verhandelt das eingesetzte Schutzverfahren dynamisch zwischen den Kommunikationspartnern. Daher sollten schwache Verfahren aus der Liste der erlaubten Verfahren (der so genannten Cipher-Suite) gelöscht werden.

Hinweise auf detaillierte Anleitung zur Installation und Konfiguration von SSL finden sich in M 2.346 Nutzung der SAP Dokumentation .

Prüffragen: