Newsletter

Warum SAProuter-Sicherheit wichtiger als je zuvor ist

Geposted von Felix Allgeier am 9. Juni 2025
Allgemein

In einer zunehmend digitalen Welt sehen sich Unternehmen mit einer wachsenden Zahl von digitalen Bedrohungen konfrontiert. Ihre SAP-Landschaft ist dabei nicht nur ein Werkzeug für Ihr Unternehmen, sondern auch ein potenzielles Angriffsziel. Unabhängig davon, ob es um die Einrichtung von Zugängen für den Remote-Support, die Verbindung von Systemen im gesamten Unternehmen oder die Interaktion mit Drittanbietern geht – jeder Zugangspunkt birgt das Potenzial einer Schwachstelle.

An dieser Stelle kommt SAProuter zum Einsatz – Ihre erste Verteidigungslinie und Ihr intelligenter Traffic-Controller. In diesem Blogerfahren Sie mehr über die Funktionalitäten von SAProuter, seine Bedeutung in der heutigen IT-Situation und wie Sie ihn effektiv schützen können.

Inhalt

Was ist SAProuter und warum es für die SAP-Netzwerksicherheit unerlässlich ist

SAProuter ist eine eigenständige Softwareanwendung, die Ihr SAP-Netzwerk vor unberechtigtem Zugriff schützt. Es fungiert als Proxy und verwaltet Netzwerkverbindungen zwischen SAP-Systemen oder zwischen SAP-Systemen und externen Netzwerken. SAProuter erhöht die Sicherheit Ihrer bestehenden Firewall, indem es eine zusätzliche Schutzschicht hinzufügt.

SAProuter wird auf dem Firewall-Host installiert und arbeitet über einen bestimmten Port, der als Gateway zu dem durch die Firewall geschützten System dient. Mit SAProuter können Sie spezifische Verbindungen definieren und kontrollieren, die über eine Route-Permission-Tabelle zugelassen sind. So stellen Sie sicher, dass nur autorisierter Datenverkehr zugelassen wird.

SAProuter as part of the Firewall
SAProuter als Teil der Firewall

Die Platzierung von SAProuter in eine Demilitarisierte Zone (DMZ) verbessert die Netzwerksegmentierung, indem externe Zugriffspunkte von der internen SAP-Umgebung isoliert werden. Die Firewall regelt den Zugang zur DMZ, während SAProuter strikte Routing-Regeln anwendet, die in seiner Route Permission Table definiert sind, um nur autorisierte Verbindungen zuzulassen. Die mehrschichtige Architektur minimiert die Angriffsfläche und ermöglicht eine granulare Kontrolle über die SAP-Kommunikationswege.

Top Use Cases von SAProuter

Eingehende Verbindungen kontrollieren und protokollieren

  • Verbindungen protokollieren: SAProuter protokolliert alle eingehenden Verbindungen zu einem SAP-System und ermöglicht es Administratoren, die Herkunft der Verbindungen zu verfolgen.
  • Zugangskontrolle für Support: SAP-Mitarbeiter oder externe Support-Teams können SRProuter nutzen, um sicher auf das SAP-System zuzugreifen, es zu warten, Probleme zu diagnostizieren und Patches einzuspielen. SAProuter stellt sicher, dass diese Verbindungen authentifiziert und protokolliert werden. Dadurch wird eine zusätzliche Ebene der Transparenz und Kontrolle über den Zugriff geschaffen.

Indirekte Verbindungen zwischen Anwendungen einrichten

  • Konflikte mit Adressierung lösen: SAProuter kann zur Behebung von Netzwerkproblemen eingesetzt werden, beispielsweise bei Adresskonflikten, die bei der Verwendung nicht registrierter IP-Adressen auftreten können, oder in Fällen, in denen sich IP-Adressen zwischen verschiedenen Netzwerksegmenten überschneiden.
  • Firewall-Einschränkungen umgehen: Sollten Firewall-Beschränkungen existieren, die eine direkte Kommunikation zwischen Systemen unterbinden, kann SAProuter eine sichere, indirekte Verbindung bereitstellen. Diese ermöglicht eine Kommunikation zwischen SAP-Systemen über Netzwerkgrenzen hinweg, selbst wenn bestimmte Ports oder IP-Adressen blockiert sind.

Verbesserung der Netzwerksicherheit

  • Passwortschutz: SAProuter unterstützt Sie dabei, die Kommunikation abzusichern, indem für den Zugang ein Passwort erforderlich ist. Dadurch wird sichergestellt, dass nur autorisierte Benutzer oder Systeme Verbindungen zu Ihrem SAP-System herstellen können. Der Passwort-Mechanismus bietet einen zusätzlichen Schutz gegen unbefugten Zugriff von außen.
  • Route Permission Table: SAProuter kann so konfiguriert werden, dass er kontrolliert, welche externen SAProuter eine Verbindung zu Ihrem System herstellen dürfen. Dazu ist es notwendig, eine Route-Permission-Tabelle anzulegen. Die SAP-Umgebung ist so konfiguriert, dass ausschließlich autorisierte SAProuter Verbindungen herstellen können. Dadurch wird sichergestellt, dass nur vertrauenswürdige Systeme Zugang erhalten.
  • SNC (Secure Network Communication): SAProuter ist in die SNC-Schicht integriert, um eine verschlüsselte Kommunikation zwischen bekannten, vertrauenswürdigen Partnern zu ermöglichen. Dadurch wird sichergestellt, dass die zwischen SAP-Systemen ausgetauschten Daten vor Abhören und Manipulationen geschützt sind.

Verbesserung von Leistung und Zuverlässigkeit

  • Entlastung der lokalen Kommunikation: Der Einsatz von SAProuter kann die Leistung und Stabilität in Situationen verbessern, in denen ein SAP-System sowohl mit einem lokalen Netzwerk (LAN) als auch mit einem Wide Area Network (WAN) kommuniziert. Durch eine effizientere Verwaltung des Datenverkehrs kann SAProuter beispielsweise die Arbeitslast des lokalen SAP-Systems verringern, wenn Daten über das WAN an entfernte Standorte oder externe Systeme gesendet werden. Dies trägt zur Optimierung des Netzwerkverkehrs, zur Verbesserung der Antwortzeiten und zur Reduzierung von Netzwerküberlastungen bei.
  • Verringerung der Systembelastung: In einigen Fällen, insbesondere bei komplexen Netzwerkkonfigurationen, kann SAProuter als Load Balancer fungieren. Dieser stellt sicher, dass der Datenverkehr effizient auf mehrere Systeme verteilt wird und die Belastung eines bestimmten SAP-Systems verringert wird. Dies kann dazu beitragen, die Zuverlässigkeit und Leistung des Gesamtsystems zu verbessern.

SAProuter bietet eine Reihe leistungsstarker Anwendungsfälle, die die Sicherheit, Konnektivität und Leistung in SAP-Umgebungen verbessern. Es ist jedoch wichtig, den vorgesehenen Anwendungsbereich zu verstehen. Es ist zu beachten, dass nicht jedes Kommunikationsszenario mit SAProuter kompatibel ist. In der folgenden Tabelle sind die unterstützten Szenarien aufgeführt (und in welchen Fällen der Einsatz von SAProuter nicht empfohlen wird), um eine sachgemäße Implementierung sicherzustellen und unerwartete Konnektivitätsprobleme zu vermeiden.

SAProuter Szenarien

SAProuter-Anforderungen: Was Sie vor der Installation benötigen

Für den Einsatz von SAProuter ist eine Netzwerkverbindung zwischen dem Kundennetzwerk und dem SAP-Netzwerk erforderlich. Um diese Verbindung herzustellen, ist eine Abstimmung mit dem SAP-Netzwerkteam erforderlich, um Ihre Umgebung vorzubereiten.

Um einen reibungslosen Ablauf zu gewährleisten, sind folgende Schritte erforderlich:

Anforderungen an neue Verbindungen

  • Vor der Protokollierung eines Tickets für die SAProuter-Netzwerkkonfiguration ist es erforderlich, einen Ansprechpartner mit grundlegenden Kenntnissen des Betriebssystems zu haben oder angeben zu können. Obwohl keine Netzwerkerfahrung erforderlich ist, ist es empfehlenswert, einen internen Ansprechpartner zu haben, der bei Bedarf Unterstützung leisten kann.
  • Um Ihr VPN einzurichten, benötigen Sie Zugriff auf den SAProuter-Host. Ihr IPSEC-Administrator kann Ihnen dabei behilflich sein.
  • Für die Einrichtung von IPSEC ist es erforderlich, dass zwei öffentliche IP-Adressen verfügbar sind.
  • Schließlich ist es notwendig, den SAP-Hinweis 28976 auszufüllen, um Ihre neue SAProuter-Installation zu registrieren.

Anforderungen an bestehende Verbindungen

  • Es ist erforderlich, dass sich eine Person in Ihrem Team am SAProuter anmeldet.
  • Für die physische Verbindung zu SAP ist der Zugriff auf die Hardware erforderlich.
  • Zudem ist eine Anmeldung des Netzwerkadministrators am SAProuter-Host erforderlich.

Step-by-Step Guide zur sicheren Installation und Konfiguration von SAProuter

Um SAProuter zu installieren, folgen Sie bitte den ausführlichen Anweisungen im offiziellen SAP Developer Guide. Dieser Leitfaden enthält detaillierte Anweisungen zum Herunterladen, Installieren und Konfigurieren von SAProuter auf verschiedenen Betriebssystemen.

Wie SAProuter funktioniert: Hinter den Kulissen des SAP-Netzwerk-Routings

Im Falle einer Verbindungsanfrage, die beispielsweise von einem Benutzer oder einem anderen SAP-System gestellt wird, wird diese nicht direkt an das Zielsystem weitergeleitet. Stattdessen wird die Anfrage über den SAProuter geleitet, der anhand einer Reihe von vordefinierten Regeln, die in der Datei Route Permission Table gespeichert sind, feststellt, ob die Anfrage zulässig ist.
Diese Regeln legen fest, welche Quell-IP-Adressen mit welchen Zieladressen und Ports kommunizieren dürfen. Unter der Voraussetzung, dass die Anfrage den geltenden Regeln entspricht, leitet SAProuter diese an den nächsten Punkt im Verbindungspfad weiter. Sollte die Anfrage nicht den Regeln entsprechen, wird diese blockiert und die Verbindung verweigert.

Der Pfad, dem eine Anfrage folgt, wird durch einen Routing-String definiert. Dieser String beschreibt die Reihenfolge der Hosts und Ports, die für die Kommunikation erforderlich sind und die gegebenenfalls mehrere SAProuter umfassen können. Der SAProuter interpretiert oder verändert die übertragenen Daten nicht; er leitet den Datenverkehr lediglich gemäß dem Routing-String und den Zugriffsregeln weiter.

Ein Standardeintrag für einen Routing-String hat folgende Syntax (P=Permit, S=Secure, D=Deny):
<P/S/D <source-host> <dest-host> <dest-serv> <password>

Neben der Zugriffskontrolle unterstützt SAProuter auch die verschlüsselte Kommunikation. Er kann Verschlüsselungsmechanismen verwenden oder sich auf Secure Network Communication (SNC) stützen. Dadurch können Sie sicherstellen, dass die Daten, die zwischen Systemen ausgetauscht werden, vertraulich und sicher bleiben. Dies ist insbesondere in Support-Szenarien von entscheidender Bedeutung.

Warum SAProuter-Sicherheit wichtig ist: Der Schutz des Gateways zu Ihren SAP-Systemen

Um die Sicherheit der Kommunikation zwischen internen SAP-Systemen und externen Netzwerken zu gewährleisten, ist der Einsatz von SAProuter unerlässlich. Wenn er nicht geschützt wird, kann er zum Einfallstor für Angreifer werden, die sich so unbefugt Zugang zu sensiblen SAP-Daten verschaffen. Der SAProuter spielt eine entscheidende Rolle für die Gesamtsicherheit einer SAP-Landschaft, da er die Kommunikation über potenziell nicht vertrauenswürdige Netzwerke hinweg ermöglicht.

Seine Schlüsselposition an der Schnittstelle zwischen internen Systemen und externem Zugriff macht ihn zu einem hochwertigen Ziel und muss daher als integraler Bestandteil der allgemeinen Sicherheitsarchitektur eines Unternehmens betrachtet werden. Die Integration von SAProuter in das Echtzeit-Monitoring, das Schwachstellenmanagement und die Anwendung von Best Practices im Sicherheitsbereich trägt zur Risikominimierung und zum Erhalt der Systemintegrität bei.

Mit unserer smarterSec Security Platform (SSP) bieten wir Ihnen einen umfassenden Einblick in SAProuter-spezifische Schwachstellen und Bedrohungen. So ermöglichen wir Ihnen proaktive Abwehrmaßnahmen und einen besseren Schutz Ihrer SAP-Infrastruktur.

Zentrale Erkenntnisse und nächste Schritte

SAProuter ist ein unentbehrliches Werkzeug für Unternehmen, die SAP-Systeme nutzen. Es gewährleistet die sichere Kommunikation zwischen SAP-Systemen und externen Netzwerken und bietet verschiedene Funktionen wie verschlüsselte Datenübertragung, Zugriffskontrolle, vereinfachte Netzwerkkonfiguration und transparentes Routing. Die Implementierung von SAProuter kann die Sicherheit deutlich erhöhen, die Systemwartung effizienter gestalten und die Performance durch Optimierung der Kommunikationswege verbessern.

Unternehmen integrieren zunehmend SAP in ihre Geschäftsprozesse. Dies erfordert ein tiefes Verständnis der Rolle und der Möglichkeiten von SAProuter, um eine robuste Sicherheit aufrechtzuerhalten und eine reibungslose Kommunikation zwischen SAP-Systemen und externen Netzwerken zu gewährleisten.

Der Einsatz unserer smarterSec Security Platform (SSP) ist ein wesentlicher Schritt zur Stärkung Ihrer Sicherheit und Gewährleistung der Effizienz und Konformität Ihrer SAP-Infrastruktur mit den Branchenstandards.

Sie möchten gerne mehr erfahren?

Melden Sie sich bei uns!

Kontakt