Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.341 Planung des SAP Einsatzes - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.341 Planung des SAP Einsatzes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, Leiter IT

Vor der Installation und Inbetriebnahme eines SAP Systems müssen umfangreiche Planungen erfolgen. Eine sorgfältige Planung ist nicht nur unter Sicherheitsgesichtspunkten notwendig. Auch die Geschäftsprozesse und -abläufe, die durch das SAP System automatisiert und unterstützt werden sollen, müssen vollständig, korrekt und im notwendigen Detailgrad erfasst werden. Nur so ist eine erfolgreiche Umsetzung innerhalb eines SAP Systems möglich. Selbst eine Planungsphase von mehreren Monaten kann für große Systeme bei Neuplanung knapp bemessen sein.

Schon in der Konzeptionsphase sollten der Datenschutzbeauftragte und der Personal- oder Betriebsrat beteiligt werden. Zum einen werden mit SAP-Systemen in der Regel auch immer personenbezogene Daten verarbeitet, z. B. mit dem Modul HR oder im Rahmen der Protokollierung (siehe unten). Zum anderen sollte die notwendige Umstellung von Geschäftsprozessen und Arbeitsabläufen begleitet werden.

Planungen sind für jedes SAP System individuell durchzuführen, da sich jedes SAP System im Einsatzszenario unterscheidet. Auch für das Test- und Abnahme-System und das Entwicklungs-System, die einem Produktiv-System zugeordnet sind, sollte aufgrund der unterschiedlichen Verwendungszwecke eine individuelle Planung erfolgen. Es ist dabei zu beachten, dass jeweils auch die Abhängigkeiten zwischen SAP Systemen berücksichtigt werden müssen. Dies gilt besonders für die verschiedenen Ausprägungen (Entwicklung, Test und Abnahme, Produktion) eines SAP Systems, aber auch für unterschiedliche SAP Systeme in einem Verbund. Insofern muss eine auf die Zusammenarbeit der individuellen Systeme abgestimmte Gesamtplanung erfolgen.

Im Folgenden ist eine Liste von SAP Sicherheitsteilkonzepten angegeben, die im Hinblick auf die Sicherheit eines SAP Systems in der Planungsphase zu erstellen sind und die auch kontinuierlich gepflegt werden müssen. Die Liste ist nicht vollständig und muss auf die lokalen Gegebenheiten und Anforderungen angepasst werden, mindestens erforderlich sind aber die folgenden SAP Sicherheitsteilkonzepte:

Generell sind bei der Konzeption die bestehenden Sicherheitskonzepte der Behörde oder des Unternehmens zu berücksichtigen.

Planen der technischen Konfiguration

Aufbauend auf den vorstehend genannten Konzepten muss die technische Umsetzung durch die SAP Systemkonfiguration (Customizing) erfolgen. Dazu sind für den ABAP-Stack die notwendigen technischen Konfigurationsschritte im Rahmen eines projektbezogenen Implementation Guide (IMG) festzulegen. Die notwendigen Schritte für die gewünschte Konfiguration werden in der Regel aus dem SAP Referenz-IMG ausgewählt (siehe, M 4.258 Sichere Konfiguration des SAP ABAP-Stacks). Für den Java-Stack existiert der IMG-Mechanismus nicht, trotzdem sind die erforderlichen Konfigurationsschritte zu planen, um die gewünschten Konfiguration zu erhalten (siehe auch auch M 4.266 Sichere Konfiguration des SAP Java-Stacks).

Bei der Planung der technischen Konfiguration ist zu berücksichtigen, dass Rückkopplungsprozesse notwendig sind, um auf Änderungen reagieren zu können, die sich im Rahmen der Implementierung ergeben. In der Planungsphase können die SAP Systemdokumentationen herangezogen werden, um die notwendigen technischen Konfigurationen zu bestimmen und zu planen. Diese sind über das SAP Help Portal help.sap.com zugreifbar. Nach der Installation kann die technische Konfiguration, sofern notwendig, angepasst werden.

Administrationskonzept

Ein gutes Konzept für die Administration eines SAP Systems trägt wesentlich zur Sicherheit bei. Im Administrationskonzept ist festzulegen, wer welche administrativen Aufgaben wahrnimmt. Die technische Umsetzung muss dann dafür Sorge tragen, dass jeder nur die ihm zugeordneten Aufgaben wahrnehmen kann. Generell sollten dabei die nachfolgend beschriebenen Empfehlungen und Aspekte berücksichtigt werden.

Es muss immer ein Konzept für die Stacks (ABAP, Java) erstellt werden, die für ein SAP System installiert sind. Es muss ausgeschlossen sein, dass ein Stack installiert ist und kein Administrationskonzept vorliegt.

In großen Unternehmen und Behörden empfiehlt sich, die Administration auf mehrere Personen aufzuteilen und so eine Funktionstrennung herbeizuführen. Generell sollte immer eine Trennung der Basis-Administration und der Administration auf Applikations- und Modul-Ebene umgesetzt werden.

Weiterhin empfiehlt sich mindestens eine Aufteilung in Administratoren für Benutzerverwaltung, Berechtigungsverwaltung, Verwaltung der System-Protokollierung, Backup und Änderungsmanagement. Je nach personeller Ausstattung kann die Trennung auch weiter fortgesetzt werden - etwa auf Basis einzelner Schnittstellen (z. B. RFC, ICF, SOAP) oder Dienste (z. B. Batch-Verarbeitung). Bei der Planung des Konzeptes sollten auch die relevanten Verantwortlichen für Geschäftsprozesse und Informationen einbezogen werden. Nur so ist sichergestellt, dass das Konzept auf die Anforderungen zugeschnitten ist, die sich aus den Geschäftsprozessen ergeben.

Bei der Aufteilung der administrativen Tätigkeiten ist jedoch zu bedenken, dass weder für den ABAP-Stack noch für den Java-Stack eine solche detaillierte Trennung vorkonfiguriert ist. Daher muss mit erhöhtem

Konfigurationsaufwand gerechnet werden, wenn eine feinere Trennung erreicht werden soll.

In kleinen Unternehmen und Behörden, die oft nur einen einzigen Administrator beschäftigen, ist eine Funktionstrennung schon aufgrund fehlender personeller Alternativen nicht möglich. In diesem Fall sollten die Folgen eines internen Angriffs oder mangelnder Systemkenntnis jedoch sorgsam bedacht und abgeschätzt werden. Hier kann eine regelmäßige externe Sicherheitsprüfung helfen, die Systemsicherheit aufrecht zu erhalten. Generell müssen auch interne Sicherheitskontrollen definiert werden, um das Risiko zu vermindern. Es ist dabei zu berücksichtigen, dass diese Kontrollen sowie deren Umsetzung und Durchführung auch verwaltet werden müssen.

Der ABAP-Stack eines SAP Systems darf nicht durch einen Benutzer mit SAP_ALL Berechtigungen administriert werden. Diese Administrationsvariante birgt zu viele Sicherheitsrisiken. Erfolgt die Basis-Administration durch genau einen Administrator, so kann folgendes Vorgehen sinnvoll sein:

Damit besitzt der Administrator nicht automatisch alle Applikationsberechtigungen. Auch wenn nur ein Administrator genutzt wird, empfiehlt es sich, im Rahmen des Administrationskonzeptes festzulegen, welche administrativen Aufgaben der Administrator wahrnehmen darf und welche nicht. Die verbleibenden Berechtigungsobjekte sind dann entsprechend anzupassen. Auf diese Weise können bestimmte administrative Operationen durch den Administrator nur dann ausgeführt werden, wenn beispielsweise eine Genehmigungskette durchlaufen wurde.

Im Administrationskonzept sind auch Verfahrens- und Vorgehensweisen für die Notfall-Administration festzulegen.

Konzept zur Benutzerverwaltung

Die Komplexität des Benutzerverwaltungskonzeptes wird dadurch bestimmt, ob nur ein einziges oder mehrere SAP Systeme verwaltet werden sollen. Muss nur ein System verwaltet werden, so ist durch das Benutzerverwaltungskonzept Folgendes festzulegen:

Es ist darauf zu achten, dass für alle anfallenden Verwaltungsarbeiten Prozesse definiert werden (z. B. Anlegen von Benutzern, Ändern oder Zuordnen von Rollen) und diese vollständig spezifiziert sind. Zusätzlich sind die jeweiligen Verantwortlichkeiten vollständig festzulegen. So wird verhindert, dass sich durch unklare Verantwortlichkeiten oder unvollständig definierte Prozesse Sicherheitslücken einschleichen.

Für den Java-Stack besteht zwar die Möglichkeit, unterschiedliche Benutzerspeicher einzusetzen, generell kann jedoch der Einsatz der "User Management Engine" (UME) empfohlen werden, da diese die größte Flexibilität in der Konfiguration anbietet. In der Regel sollte die UME dann so konfiguriert werden, dass der zugehörige ABAP-Stack als Benutzerspeicher genutzt wird. So wird sichergestellt, dass gleiche Benutzerkonten mit gleichem Namen durch den Java- und ABAP-Stack auf den gleichen Benutzerstammsatz abgebildet werden.

Müssen mehrere SAP Systeme verwaltet werden, so wird durch das Konzept zur Benutzerverwaltung der mit der Benutzerverwaltung einhergehende Administrationsaufwand maßgeblich bestimmt. Es muss entschieden werden, ob eine dezentrale oder zentrale Benutzerverwaltung eingesetzt wird. Die Entscheidung ist dabei abhängig vom Einsatzszenario für das SAP System und den Anforderungen der dabei insgesamt eingesetzten Systeme.

Neben den oben beschriebenen Aspekten sind dann außerdem durch das Benutzerverwaltungskonzept folgende Aspekte zu behandeln:

Eine zentrale Benutzerverwaltung ist sinnvoll, wenn es sich um eine möglichst homogene Art von Benutzern (z. B. behörden- oder unternehmensinterne Benutzer) handelt, die auf mehrere SAP Systeme zugreifen. Dabei sollten die Sicherheitsanforderungen in den Zugriffsszenarien nicht stark differieren. Ist die Benutzermenge inhomogen (z. B. behörden- oder unternehmensinterne Benutzer, Benutzer von Partnerunternehmen oder -behörden, Kunden mit loser Behörden- bzw. Unternehmensbindung), so kann es sinnvoll sein, mehrere Verwaltungsinseln (d. h. Systeme mit jeweils einer zentralen Benutzerverwaltung) einzurichten, die die Benutzer der unterschiedlichen Einsatzszenarien verwalten.

Bei der Entscheidung für oder gegen eine zentrale Benutzerverwaltung müssen auch technische Randbedingungen bedacht werden. Soll beispielsweise die Zentrale Benutzer Verwaltung (ZBV, Central User Administration, CUA) eines SAP Systems verwendet werden, wird eine funktionierende ALE-Landschaft vorausgesetzt (siehe auch M 5.128 Absicherung der SAP ALE (IDoc/BAPI) Schnittstelle).

Dann ist es auch möglich die Zuordnung von Berechtigungen zu Benutzern zentral zu verwalten und in andere SAP Systeme zu transportieren.

Weitere Hinweise zur Sicherheit bei der Benutzerverwaltung finden sich in, M 4.259 Sicherer Einsatz der ABAP-Stack Benutzerverwaltung und M 4.267 Sicherer Einsatz der SAP Java-Stack Benutzerverwaltung.

Hinweise auf weitere Dokumentationen zur Benutzerverwaltung in SAP Systemen finden sich in M 2.346 Nutzung der SAP Dokumentation.

Berechtigungskonzept

Berechtigungen steuern, wer auf Funktionen und Daten zugreifen darf. Das Berechtigungskonzept ist daher wichtig für die Sicherheit beim Zugriff auf Funktionen und Daten eines SAP Systems. Eine bedarfsgerechte Planung der Berechtigungen durch ein ausgereiftes Berechtigungskonzept ist darum unerlässlich. Maßnahme M 2.342 Planung von SAP Berechtigungen enthält die Informationen, die dabei zu beachten sind.

Ressourcen-Planung

Ein SAP System kann ein Unternehmen oder eine Behörde nur dann optimal unterstützen, wenn die Rechner-Ressourcen auf das Einsatzszenario und auf die dabei benötigte SAP Software und deren Ressourcen-Anforderungen abgestimmt sind.

Im Ressourcen-Plan ist daher die Hardware-Ausstattung genau zu planen. Themen sind unter anderem:

Die relevante SAP Dokumentation zur Ressourcen-Planung wird in M 2.346 Nutzung der SAP Dokumentation genannt.

Planen der SAP Systemlandschaft

Ein SAP System besteht immer aus mehreren Komponenten mit unterschiedlichen Aufgaben, die miteinander über die Netzinfrastruktur kommunizieren. Die Sicherheit eines SAP Systems kann schon durch die genutzte Architektur der Systemlandschaft positiv beeinflusst werden. Umgekehrt kann eine nicht hinreichend geplante und aufgebaute Systemlandschaft zu Sicherheitsproblemen führen.

Da die aus Sicherheitssicht günstigste Systemlandschaft sehr vom Einsatzszenario eines SAP Systems und dem Schutzbedarf der gespeicherten Daten abhängt, können in einem IT-Grundschutz-Baustein nur grundsätzliche Empfehlungen gegeben werden. SAP bietet jedoch in der Regel für verschiedene Produkte und Einsatzszenarien Empfehlungen für den günstigsten Systemaufbau an.

Allgemein sollte die Planung so erfolgen, dass nur die unbedingt benötigten Zugriffe auf und zwischen Komponenten möglich sind. Insbesondere ist eine Trennung von Produktiv-System, Test- und Abnahme-System sowie Entwicklungs-System vorzusehen. Durch entsprechende Planung ist sicherzustellen, dass Produktivdaten eines SAP Systems nicht unverändert in Systeme für Tests und Abnahmen oder für die Entwicklung übertragen und dort genutzt werden. Kann dies nicht sichergestellt werden, müssen die Test- und Abnahme-Systeme so geschützt sein, dass auch dort die Vertraulichkeit der Daten gewährleistet ist.

Durch die Definition der Systemlandschaft muss unter anderem Folgendes festgelegt werden:

Weitere Hinweise für spezielle Einsatzszenarien finden sich M 2.343 Absicherung eines SAP Systems im Portal-Szenario und M 2.344 Sicherer Betrieb von SAP Systemen im Internet.

SAP Dokumentationen mit detaillierten Hinweisen zur empfohlenen Systemlandschaft finden sich in M 2.346 Nutzung der SAP Dokumentation.

Audit- und Logging-Konzept

Das Audit- und Logging-Konzept muss festlegen, welche Aktivitäten des SAP Systems und welche Aktivitäten der Benutzer zu protokollieren sind. Außerdem müssen folgende Aspekte berücksichtigt werden:

Ein SAP System besitzt umfangreiche Möglichkeiten, um interne Abläufe und Benutzeraktivitäten zu protokollieren. Die hier wichtigen Aspekte werden in M 4.270 SAP Protokollierung thematisiert.

Neben der reinen Systemüberwachung, die durch die Protokollierung erreicht werden soll, ist im Rahmen von Audits die Sicherheit des SAP Systems regelmäßig zu prüfen. Audits können dabei sowohl durch Administratoren (Selbstkontrolle) als auch durch andere Prüfer erfolgen. Die Prüfer können dabei aus anderen Abteilungen stammen (IT-Sicherheit, Revision) oder aber von externen Dritten (IT-Auditoren, Wirtschaftsprüfer, Aufsichtsorganisationen). Weitere Informationen dazu finden sich in M 2.347 Regelmäßige Sicherheitsprüfungen für SAP Systeme. Es ist zu beachten, dass Selbstkontrollen durch Administratoren nicht ausreichen, um die Sicherheit von SAP Systemen zu beurteilen.

Änderungsmanagement-Konzept

Die Aktualisierung eines SAP Systems durch Patches, Hot-Fixes und Updates ist wichtig, um die Sicherheit des Systems zu erhalten. Fehler in der Programmierung können nur behoben werden, wenn das System regelmäßig aktualisiert wird. Da sich die Änderungsmanagement-Prozesse von ABAP- und Java-Stack technisch unterscheiden, sind zwei separate Konzepte zu entwerfen. Folgende Fragestellungen sind jeweils durch das Konzept zu klären:

Änderungen werden in den ABAP-Stack über das so genannte Transportsystem eingespielt. Dabei können mehrere SAP Systeme zu einem Transportverbund (Transportdomäne genannt) zusammengeschaltet werden. Im Rahmen der Planung des Änderungsmanagement-Konzeptes ist daher ein Transportkonzept zu erstellen. Hier sind unter anderem folgende Fragestellungen und Aspekte zu klären:

Weitere Informationen und Empfehlungen finden sich in M 2.221 Änderungsmanagement, M 4.272 Sichere Nutzung des SAP Transportsystems und M 4.273 Sichere Nutzung der SAP Java-Stack Software-Verteilung.

Hinweise aus SAP Dokumentationen finden sich in M 2.346 Nutzung der SAP Dokumentation.

Backup-Konzept

Bezüglich des Backup-Konzeptes bestehen keine außergewöhnlichen Anforderungen für ein SAP System. Im Backup-Konzept muss unter anderem Folgendes festgelegt werden:

Die Verantwortlichkeiten und Prozessabläufe sind zu definieren und umzusetzen. Das SAP Backup-Konzept sollte sich in ein bestehendes Backup-Verfahren integrieren, so dass keine speziellen Ausnahmeprozeduren notwendig werden.

Ein funktionierendes Backup-Konzept ist insbesondere im Rahmen der Notfallvorsorge (siehe M 6.97 Notfallvorsorge für SAP Systeme) wichtig.

Notfallvorsorge-Konzept

Das Notfallvorsorge-Konzept für SAP Systeme muss geschäftskritische Notfälle und zugehörige Notfall-Prozeduren definieren. Folgende Notfälle sollten mindestens berücksichtigt werden:

Die Verantwortlichkeiten im Rahmen der Notfallvorsorge (siehe auch M 6.97 Notfallvorsorge für SAP Systeme) und für die definierten Notfall-Prozeduren müssen eindeutig Personen zugeordnet werden. Es empfiehlt sich, regelmäßig Notfallübungen durchzuführen und die Prozesse anhand der dabei gemachten Erfahrungen anzupassen.

Ergänzende Kontrollfragen: