SAP Security Recommendations

Juni 2012

Security Services von

SAP® Active Global Support
Sichere Anwendungen über den gesamten Lebenszyklus
Version 1.0
Security Services von SAP Active Global Support

Inhalt

4 Sicherheitsservices für jeden Bedarf

5 Sicherheitsinformationen, -richtlinien
und -standards

5 Remote Security Services

6 Sicherheitswerkzeuge in SAP Solution

Manager
Sichere Geschäftsprozesse haben für Unter-
nehmen höchste Priorität. Umso wichtiger,
dass Betriebe proaktiv und flexibel auf Stör-
faktoren reagieren. Dabei reicht es längst nicht
mehr, die eigene Infrastruktur durch Firewalls
und Virenscanner zu schützen. Die Sicherheit
einer Anwendung hängt wesentlich davon ab,
wie und in welcher Umgebung sie betrieben
wird. Nur wenn alle Komponenten einer IT-
Landschaft richtig „zusammenspielen“, ist
ein sicherer Betrieb möglich.
Auch für die SAP® AG ist das Thema Sicherheit ein unverzicht-
barer Bestandteil ihrer Produkte. Mit einer globalen Support-
Organisation unterstützt der Softwarehersteller seine Kunden
deshalb gezielt dabei, die Qualität und Zuverlässigkeit ihrer
Anwendungen sicherzustellen – und zwar über den gesamten
Lebenszyklus hinweg. Mehr als 2.000 Service- und Support-
Mitarbeiter in über 40 Ländern sorgen bei SAP Active Global
Support (SAP AGS) durch Optimierungsmaßnahmen, Quali-
tätsmanagement, Wissenstransfer und maßgeschneiderte
Problemlösungen dafür, dass die unternehmerischen Ge-
schäftsprozesse der SAP-Kunden möglichst reibungsfrei
geschützt und sicher laufen.
SAP Active Global Support unterstützt SAP-Kunden dabei,
die Qualität und Zuverlässigkeit ihrer Anwendungen sicher-
zustellen – und zwar über den gesamten Lebenszyklus ihrer
Anwendungen hinweg.
Sicherheitsservices für jeden Bedarf
Mit den Security Services stellt SAP AGS das gestiegene Sicher-
heitsbedürfnis der Kunden gezielt in den Fokus. Das Angebot
bündelt Wissen und Werkzeuge, um Unternehmensprozesse
in der vernetzten Welt zuverlässig und sicher zu gestalten.
SAP-Kunden profitieren dabei von den Erfahrungen und dem
Know-how, das der marktführende Hersteller integrierter
Unternehmenslösungen in drei Jahrzehnten bei mehr als
176.000 Kunden gewonnen und in maßgeschneiderte Services
umgesetzt hat. Die Security Services von SAP AGS machen
mögliche Sicherheitsprobleme, insbesondere Fehlkonfigurationen
oder einen nicht aktuellen Patch-Status in der IT-Landschaft
proaktiv sichtbar und helfen, sie zeitnah zu beseitigen. Auch
interne und branchenspezifische Compliance-Vorschriften
lassen sich mithilfe des Support-Angebotes leichter einhalten,
Schutzmechanismen lassen sich implementieren sowie bereichs-
und unternehmensübergreifende Prozesse besser absichern.
Dazu bietet die SAP-Support-Organisation eine Vielzahl von
Werkzeugen und Services an. Das dreigliedrige Sicherheits-
angebot umfasst folgende Säulen, die Kunden je nach Bedarf
nutzen können:
•• Sicherheitsinformationen, -richtlinien und -standards
•• Remote Services rund ums Thema Sicherheit
•• Leistungsstarke Security-Tools und Guided Self Services
auf Basis der Anwendungsmanagementlösung SAP Solution
Manager

Sicherheitsinformationen, -richtlinien
und -standards
Neben den Anwendungskorrekturen, die im Rahmen des
monatlichen SAP Security Patch Day auf dem SAP Service
Marketplace veröffentlicht werden, unterstützt SAP AGS seine
Kunden durch eine Vielzahl von Sicherheitsinformationen,
Empfehlungen und Richtlinien beim sicheren Betrieb ihrer
Anwendungen. Dazu gehören nicht nur die Sicherheitsinfor-
mationen im Help-Portal (http://help.sap.com) und die Security-
Guides (https://service.sap.com/securityguide), sondern
beispielsweise auch die Sicherheitsbausteine in der RunSAP-
Methodik sowie dem End-to-End (E2E) Solution Operations
Standard for Security.
RunSAP liefert E2E-Betriebsstandards, eine Roadmap sowie
Programme zur Schulung und Zertifizierung. Firmen können
auf Best-Practice-Prozesse zugreifen, um Abläufe zentral fest-
zulegen oder zu automatisieren. Dabei bündelt RunSAP das
Wissen, die Erfahrungen und die Best Practices aus Tausenden
von Installationen, um End-to-End-Lösungen effizient und
sicher zu implementieren und zu betreiben sowie Schwach-
stellen und Ausfallzeiten zu minimieren.
Mit dem E2E Solution Operations Standard for Security steht
SAP-Kunden eine Best-Practice-Empfehlung für den sicheren
Betrieb von SAP-Systemen und -Landschaften zur Verfügung.
Sie erläutert die wichtigsten Schutzvorkehrungen und verlinkt
auf detaillierte Sicherheitsinformationen auf dem SAP Service
Marketplace.
SAP Solution Manager stellt zahlreiche Tools
und Funktionalitäten bereit, um die Sicherheit
von Unternehmensanwendungen zu überwa-
chen und zu steuern.
Security-Services von SAP® Active Global Support
Über den SAP Security Optimization
Service können Unternehmen ihr Sicher-
heitskonzept verfeinern sowie geschäfts-
kritische Daten und Prozesse schützen.
Remote Security Services
Darüber hinaus stellt SAP AGS unterschiedliche Remote Services
bereit, um die Stabilität, Verfügbarkeit und Sicherheit vorhan-
dener Systeme weiter zu verbessern. So können Unternehmen
über den SAP Security Optimization Service ihr Sicherheits-
konzept verfeinern und geschäftskritische Daten und Prozesse
schützen. Dieser Service evaluiert Konfigurationsparameter
und identifiziert potenzielle Lücken sowie fehlende Berechtigun-
gen innerhalb der unternehmensweiten Anwendungslandschaft.
Zudem umfasst der Service mehrere Hundert Sicherheitschecks,
wie zum Beispiel die Prüfung kritischer Berechtigungen oder
eingesetzter Verschlüsselungsmethoden.
Im Anschluss an den ein- bis zweitägigen Prüfprozess erstellt
SAP AGS eine detaillierte Sicherheitsanalyse, klassifiziert nach
inhaltlichen Themenbereichen und Schweregrad. Konkrete
Lösungsempfehlungen, die sowohl vom Kunden als auch von
einem beauftragten SAP-Berater ausgeführt werden können,
runden den Remote Service ab. Alternativ lässt sich der Sicher-
heitscheck auch durch einen SAP-Berater vor Ort oder in Eigen-
regie durchführen. SAP Solution Manager liefert dazu sämtliche
Tools.
Angesichts dynamischer Geschäftsprozesse, häufig wechselnder
Zugangsberechtigungen sowie ständig neuer Angriffsszenarien
sollten Betriebe diesen Sicherheitscheck regelmäßig durch-
führen, insbesondere aber nach größeren Systemänderungen
oder vor einem Audit. Denn hiermit lässt sich nicht nur die
5
Wirksamkeit aktueller Sicherheitsmaßnahmen prüfen. Der SAP
Security Optimization Service liefert durch eine kontinuierliche
Aktualisierung der in ihm enthaltenen Prüfungen auch Ergeb-
nisse zu neuen Risiken und Empfehlungen.
Im Rahmen mehrtägiger Fernschulungen, sogenannter „Expert
Guided Implementations“, bildet SAP AGS Administratoren
zudem darin aus, die Sicherheitsfunktionalitäten von SAP
Solution Manager nach eigenen Bedürfnissen zeitnah und
zielgerichtet selbst zu nutzen und einzusetzen. Dazu erläutert
ein SAP-Experte pro Tag in einer zweistündigen Websession
Hintergründe und technische Anwendungsdetails der Sicher-
heitsfunktionalitäten. Anschließend setzt der Kunde das ver-
mittelte Wissen direkt in der eigenen Systemlandschaft um.
Ein direkter Kontakt zu SAP AGS während der Fernschulung
gewährleistet, dass dabei auftretende Fragen schnell und
unkompliziert gelöst werden können.
Sicherheitswerkzeuge in SAP Solution Manager
Die Security Services von SAP AGS nutzen als Plattform SAP
Solution Manager. Diese Anwendungsplattform stellt zahl-
reiche Tools und Funktionalitäten bereit, um die Sicherheit von
Unternehmensanwendungen zu überwachen und zu steuern.
Probleme und Sicherheitslücken lassen sich so schnell identifi-
zieren, analysieren und beheben – auch und gerade in hetero-
genen Umgebungen. Dazu tragen in SAP Solution Manager
unter anderem folgende Werkzeuge und Services bei:
•• SAP EarlyWatch Alert: Der proaktive, vollautomatische
SAP EarlyWatch Alert überwacht in periodischen Abständen
die Systeme, sammelt und analysiert Daten und fasst die
Ergebnisse für den Kunden in einem Bericht zusammen. Dabei
Interne und branchenspezifische Compliance-Vorschriften
lassen sich leichter einhalten, Schutzmechanismen imple-
mentieren, bereichs- und unternehmensübergreifende
Prozesse besser absichern.
werden auch kritische Sicherheitseinstellungen überprüft
und mögliche Abweichungen von wichtigen SAP-Empfehlungen
dokumentiert. Der Vorteil: SAP-Kunden erhalten regelmäßig
eine aktuelle Übersicht über den Status ihrer SAP-Systeme,
können sich abzeichnenden Problemen vorbeugen und Lü-
cken im Vorfeld schließen. Denn SAP EarlyWatch Alert regist-
riert unter anderem, ob sich bestimmte kritische Basisbe-
rechtigungen angehäuft haben, die vorhandene Kennwort
sicherheit aktuellen Anforderungen entspricht oder wichtige
SAP-Security-Patches ordnungsgemäß installiert sind.
•• Guided SAP Security Optimization Self Service: Der bei
den Remote Services bereits beschriebene SAP Security
Optimization Service ist in SAP Solution Manager auch als
„Guided Self Service“ verfügbar. Der Benutzer wird Schritt
für Schritt durch alle Abfragen geführt, die zur Durchführung
eines SAP Security Optimization Service erforderlich sind.
Anschließend werden vollautomatisch die erforderlichen
Konfigurationsdaten des betreffenden Systems eingesammelt,
mehrere Hundert Sicherheitschecks unter Berücksichtigung
kundenspezifischer „Whitelists“ ausgewertet und ein umfas-
sender Bericht der gefundenen Schwachstellen samt zuge-
höriger Beschreibungen und Empfehlungen bereitgestellt.
•• System Recommendations: Eine umfassendere Übersicht
über fehlende SAP-Security-Patches liefern die „System Re-
commendations“. Das Tool liefert passgenaue Empfehlungen
zu wichtigen SAP-Security-Hinweisen und Patches für ABAP™-
und Java-basierte SAP-Systeme. Außerdem informiert es
über wichtige – auch nicht Security betreffende – HotNews,
Hinweise zu Compliance-Änderungen oder allgemeine SAP-
Hinweise. Als in SAP Solution Manager integriertes Werkzeug
verfügt es außerdem über einen direkten Anschluss an das
Change Management.
•• Konfigurationsvalidierung: Die Konfigurationsvalidierung
(Configuration Validation) ermöglicht Unternehmen, die
Sicherheitskonfiguration der Systemlandschaft kontinuierlich
zu überwachen. So können Nutzer beispielsweise die Werte
der Konfigurationselemente mit definierten, unternehmens-
spezifischen Sicherheitsstandards vergleichen und so eine
höhere Compliance der IT-Systeme sicherstellen. Darüber
hinaus lassen sich mithilfe der Konfigurationsvalidierung
weitere sicherheitsrelevante Eigenschaften kontrollieren,
zum Beispiel ob Nutzer mit ausgewählten kritischen Berech-
tigungen vorhanden sind oder ob bestimmte Sicherheits-
hinweise auf den angeschlossenen Systemen auch tatsächlich
umgesetzt wurden.
Auf Basis der per Konfigurationsvalidierung ermittelten Daten
stellt SAP Solution Manager Plug-ins im ebenfalls auf SAP
Solution Manager verfügbaren Management Dashboard bereit.
Sie machen auf einen Blick ersichtlich, ob die Unternehmens-
anwendungen den betrieblichen Sicherheitsanforderungen
entsprechen oder es möglicherweise Optimierungsbedarf gibt.

Die Klassifikation technischer Security Services von SAP AGS

Abgleich gegen Abgleich gegen eine kunden-

SAP-Empfehlungen spezifische Security Policy

Überblick – Security im Kundenspezifische Management

SAP EarlyWatch Alert Security Policy Dashboard

Kundenspez. SAP
Detail – Detail-Services
Security Baseline

•• SAP Security Optimization

•• Service Security Notes
Report (RSECNOTE)
Zielsystem Configuration Validation
•• System Recommendations
•• Security-Notes-Seite
auf dem SAP Service
Marketplace

Security-Services von SAP® Active Global Support 7

www.sap.de

SAP Deutschland AG & Co. KG

Hasso-Plattner-Ring 7
69190 Walldorf
T 0800/5343424*
F 0800/5343420*
E info.germany@sap.com
* gebührenfrei in Deutschland

Kostenloser Online-Newsletter
www.sap.de/im-dialog

RQ 17934 (12/06) © 2012 SAP AG. Alle Rechte vorbehalten.

SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign, SAP
BusinessObjects Explorer, StreamWork, SAP HANA und weitere im Text
erwähnte SAP-Produkte und ­Dienstleistungen sowie die entsprechenden
Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland
und anderen Ländern.

Business Objects und das Business-Objects-Logo, BusinessObjects,

Crystal Reports, Crystal Decisions, Web Intelligence, Xcelsius und andere
im Text erwähnte Business-Objects-Produkte und ­Dienstleistungen sowie
die entsprechenden Logos sind Marken oder eingetragene Marken der
Business Objects Software Ltd. Business Objects ist ein Unternehmen
der SAP AG.

Sybase und Adaptive Server, iAnywhere, Sybase 365, SQL Anywhere und
weitere im Text erwähnte Sybase-Produkte und -Dienstleistungen sowie
die entsprechenden Logos sind Marken oder eingetragene Marken der
Sybase Inc. Sybase ist ein Unternehmen der SAP AG.

Crossgate, m@gic EDDY, B2B 360°, B2B 360° Services sind eingetragene
Marken der Crossgate AG in Deutschland und anderen Ländern.
Crossgate ist ein Unternehmen der SAP AG.

Alle anderen Namen von Produkten und Dienstleistungen sind Marken

der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen
lediglich zu Informationszwecken. Produkte können länderspezifische
Unterschiede aufweisen.

In dieser Publikation enthaltene Informationen können ohne vorherige

Ankündigung geändert werden. Die vorliegenden Angaben werden
von SAP AG und ihren Konzernunternehmen („SAP-Konzern“)
bereitgestellt und dienen ausschließlich Informationszwecken. Der
SAP-Konzern übernimmt keinerlei Haftung oder Garantie für Fehler
oder Unvollständigkeiten in dieser Publikation. Der SAP-Konzern steht
lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die
in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen
ausdrücklich geregelt ist. Aus den in dieser Publikation enthaltenen
Informationen ergibt sich keine weiterführende Haftung.