SAP Security Tutorial für Anfänger: Was ist, Grundlagen & Definition

In diesem SAP Security-Lernprogramm für Anfänger lernen wir die grundlegenden Konzepte von SAP Security kennen.

Was ist SAP-Sicherheit?

SAP-Sicherheit ist ein Balanceakt zum Schutz der SAP-Daten und -Anwendungen vor unbefugter Verwendung und Zugriff. SAP bietet verschiedene Tools, Prozesse und Maßnahmen zur Sicherheitsüberprüfung an, um diese Daten zu schützen. Durch die SAP-Sicherheit wird sichergestellt, dass Benutzer nur die Funktionen von SAP nutzen können, die Teil ihres Auftrags sind.

SAP-Systeme enthalten sehr sensible und vertrauliche Daten ihrer Kunden und Unternehmen. Daher ist eine regelmäßige Überprüfung eines SAP-Computersystems erforderlich, um dessen Sicherheit und Datenintegrität zu überprüfen.

Beispielsweise darf ein Mitarbeiter in einem Lager, der für die Erstellung einer Bestellung verantwortlich ist, eine rechtmäßige Bestellung nicht genehmigen, oder er kann auf andere Weise so viele Bestellungen ohne Verwendung erstellen und genehmigen.

In einem solchen Szenario sollte die Bestellgenehmigung von einer höheren Behörde kontrolliert werden, was ein Standard-Sicherheitsmerkmal ist.

Als Nächstes lernen wir in diesem Tutorial zu SAP Security für Anfänger verschiedene Sicherheitskonzepte in SAP kennen.

Sicherheitskonzepte für SAP

Nachfolgend sind die wichtigsten Sicherheitskonzepte in SAP aufgeführt:

  1. STAD-Daten

Transaktionscodes sind die Eingangstür, um Zugriff auf die Funktionen von SAP zu erhalten. STAD-Daten bieten Sicherheit gegen unbefugten Transaktionszugriff. Werden Informationen darüber aufgezeichnet, wer auf bestimmte wichtige Funktionen zugegriffen hat? Und wann? STAD-Daten können zur Überwachung, Analyse, Prüfung und Pflege des Sicherheitskonzepts verwendet werden.

  1. SAP Cryptographic Library

Die SAP Cryptographic Library ist die Standardlieferung für Verschlüsselungsprodukte durch SAP. Es wird zur Bereitstellung einer sicheren Netzwerkkommunikation (Secure Network Communication, SNC) zwischen verschiedenen SAP-Serverkomponenten verwendet. Für Front-End-Komponenten müssen Sie ein SNC-zertifiziertes Partnerprodukt kaufen.

  1. ITS-Sicherheit (Internet Transaction Server)

Um die SAP-Systemanwendung für den Zugriff über einen Webbrowser verfügbar zu machen, wird eine Middleware-Komponente namens Internet Transaction Server (ITS) verwendet. Die ITS-Architektur verfügt über viele integrierte Sicherheitsfunktionen, z. B. zum Ausführen von Wgate und Agate auf separaten Hosts.

  1. Netzwerkgrundlagen (SAPRouter, Firewalls und DMZ, Netzwerkports)

Die grundlegenden Sicherheitstools, die SAP verwendet, sind Firewalls & DMZ, Netzwerkports, SAPRouter usw. Eine Firewall ist ein System von Software- und Hardwarekomponenten, die die Verbindungen definieren, die zwischen Kommunikationspartnern hin und her gehen sollen. SAP Web Dispatcher und SAPRouter sind Beispiele für Gateways auf Anwendungsebene, mit denen Sie den SAP-Netzwerkverkehr filtern können.

  1. Web-AS-Sicherheit (Lastausgleich, SSL, Enterprise Portal-Sicherheit)

SSL (Secure Socket Layer) ist eine Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Server und einem Client. Mit SSL können Sie die Kommunikationspartner (Server & Client) authentifizieren, indem Sie die Variablen der Verschlüsselung bestimmen.

Mit SAP Cyber ​​Security werden beide Partner authentifiziert. Die zwischen Server und Client übertragenen Daten werden geschützt, sodass Manipulationen an den Daten erkannt werden. Zusätzlich werden die zwischen Client und Server übertragenen Daten verschlüsselt. Der Sicherheitsleitfaden für Unternehmensportale kann hilfreich sein, um das System anhand der entsprechenden Richtlinien zu sichern.

  1. Einmalige Anmeldung

Mit der SAP Single Sign-On-Funktion können Sie dieselben Benutzeranmeldeinformationen für den Zugriff auf mehrere SAP-Systeme konfigurieren. Dies hilft, die Verwaltungskosten und das Sicherheitsrisiko zu reduzieren, die mit der Verwaltung mehrerer Benutzeranmeldeinformationen verbunden sind. Es gewährleistet Vertraulichkeit durch Verschlüsselung während der Datenübertragung.

  1. AIS (Audit Information System)

AIS oder Audit Information System ist ein Auditing-Tool, mit dem Sie Sicherheitsaspekte Ihres SAP-Systems detailliert analysieren können. AIS ist für Business Audits und System Audits konzipiert. AI präsentiert seine Informationen in der Audit InfoStructure.

Als Nächstes erfahren Sie in diesem Tutorial zur SAP-Sicherheit mehr über die SAP-Sicherheit für mobile Apps.

SAP-Sicherheit für mobile SAP-Apps

SAP-Anwendungen sind jetzt auf Mobilgeräten verfügbar, wobei die Anzahl der mobilen Benutzer zunimmt. Diese Exposition ist jedoch eine potenzielle Bedrohung. Die größte Bedrohung für eine SAP-App ist das Risiko, dass ein Mitarbeiter wichtige Kundendaten verliert.

Das Gute an mobilem SAP ist, dass die meisten mobilen Geräte mit Remote-Löschfunktionen ausgestattet sind. Viele der CRM-bezogenen Funktionen, die Unternehmen mobilisieren möchten, sind Cloud-basiert. Dies bedeutet, dass sich die vertraulichen Daten nicht auf dem Gerät selbst befinden.

Einige der beliebtesten mobilen SAP-Sicherheitsanbieter sind SAP Afaria, SAP Netweaver Gateway, SAP Mobile Academy und SAP Hana Cloud.

Als Nächstes lernen wir in diesem Tutorial zu SAP Security für Anfänger die Best Practices für die SAP-Sicherheit kennen.

Checkliste für Best Practices für SAP-Sicherheit

  1. Netzwerkeinstellungen und Bewertung der Landschaftsarchitektur
  2. Bewertung der Betriebssystemsicherheit, bei der SAP bereitgestellt wird
  3. DBMS-Sicherheitsbewertung.
  4. SAP NetWeaver Sicherheitsbewertung
  5. Interne Bewertung der Zugangskontrolle
  6. Bewertung von SAP-Komponenten wie SAP Gateway, SAP Messenger Server, SAP Portal, SAP Router, SAP GUI
  7. Bewertung des Änderungs- und Transportverfahrens
  8. Bewertung der Einhaltung der SAP-, ISACA-, DSAG- und OWASP-Standards

Zusammenfassung

  • Definition der SAP-Sicherheit: SAP-Sicherheit ist ein Balanceakt zum Schutz der SAP-Daten und -Anwendungen vor unbefugter Verwendung und Zugriff.
  • Sicherheitskonzepte für SAP
    1. STAD-Daten
    2. SAP Cryptographic Library
    3. ITS-Sicherheit (Internet Transaction Server)
    4. Netzwerkgrundlagen (SAPRouter, Firewalls und DMZ, Netzwerkports)
    5. Web-AS-Sicherheit (Lastausgleich, SSL, Enterprise Portal-Sicherheit)
    6. Einmalige Anmeldung
    7. AIS (Audit Information System)
  • Das Gute an der SAP-Sicherheit für mobile Apps ist, dass die meisten mobilen Geräte über Remote-Löschfunktionen verfügen.
  • Best Practices für SAP-Sicherheit
    1. Netzwerkeinstellungen und Bewertung der Landschaftsarchitektur
    2. Bewertung der Betriebssystemsicherheit, bei der SAP bereitgestellt wird
    3. DBMS-Sicherheitsbewertung
    4. SAP NetWeaver Sicherheitsbewertung

Interessante Beiträge...