Newsletter

Secure by Default in SAP S/4HANA: Das Mindestmaß an Sicherheit!?

Geposted von Felix Allgeier am 27. September 2024
Allgemein

Vorwort

Jedes Unternehmen ist davon betroffen seine IT-Landschaft abzusichern. Auch wenn die Ressourcen begrenzt sind, tun sie ihr Bestes, um das Notwendige umzusetzen. Bei der Umsetzung umfassender Sicherheitsmaßnahmen stoßen die Verantwortlichen jedoch auf Hindernisse, die so viele Ressourcen binden, dass die Arbeit oft nicht zu Ende geführt oder gar nicht erst begonnen wird. SAP adressiert dieses Problem, indem sie mit dem „Secure by Default“-Konzept (im Folgenden mit SbD abgekürzt) ein Mindestmaß an Sicherheit gewährleisten will, das möglichst ressourcenschonend umgesetzt werden kann.

Was bedeutet „Secure by Default“?

Bislang hat SAP lediglich Empfehlungen für Konfigurationen abgegeben. Bei Updates oder Migrationen, bei denen das SU Toolset (Software Logistics Toolset) oder SUM (Software Update Manager) zum Einsatz kommt, werden die Empfehlungen nun automatisch gesetzt und müssen vom Benutzer deaktiviert werden (s. SAP Note 2926224). SbD setzt damit einen neuen sichereren Standard, anstatt nur Empfehlungen zu geben.

Welche Systeme verwenden das „Secure by Default“-Konzept?

SbD wird bei allen SAP S/4HANA und SAP BW/4HANA Systemen angewendet. Somit wird jeder auf dem Weg zu S/4HANA davon betroffen sein. Die folgende Grafik zeigt beispielhaft verschiedenen Szenarien auf, in denen das Konzept angewendet wird und in welchen nicht. 

Wie kann ich überprüfen, welche Konfigurationen geändert werden?

Bei einer Migration zu S/4HANA sollte zunächst geprüft werden, welche Konfigurationen durch SbD umgestellt werden würden und ob diese übernommen werden können. Das automatische Setzen von Einstellungen kann erhebliche Auswirkungen haben. Daher ist es empfehlenswert, vor der Transformation eine Kompatibilitätsprüfung durchzuführen.

SAP stellt hierfür eine Excel-Übersicht mit allen Konfigurationen zur Verfügung, die durch SbD automatisch gesetzt werden. Die Liste ist als Anhang der SAP Note 2926224 beigefügt. Es ist eine manuelle Überprüfung der Systemeinstellungen erforderlich, um festzustellen, ob sie sich auf dem gleichen oder einem niedrigerem Sicherheitsniveau befinden.

Beispielsweise wird die SACF Konfiguration (Switchable Authorization Check Framework) nun standardmäßig aktiviert. SACF erlaubt dabei die Aktivierung von zusätzlichen Berechtigungsprüfungen in bestimmten Szenarien. Ohne SACF-Szenarien werden zusätzliche funktionale Berechtigungsprüfungen nicht durchgesetzt.

Was passiert, wenn ich keine Kompatibilitätsprüfung durchführe?

Eine Kompatibilitätsprüfung ist zwingend erforderlich, um unerwartete Komplikationen während der Inbetriebnahme des neuen Systems zu vermeiden. Wird diese nicht durchgeführt können die Verfügbarkeit und Funktionalität von Anwendung maßgeblich gestört werden.

Kundenbeispiel

Das SACF war dem Kunden nicht bekannt und wurde daher bislang nicht konfiguriert. Im Rahmen der Migration zu S/4HANA wurden durch die SbD-Einstellungen die standardmäßigen SACF-Szenarien gesetzt und aktiviert. Dies hatte zur Folge, dass für die Nutzung der Applikationen zusätzliche Berechtigungen erforderlich waren, über welche die Mitarbeiter jedoch nicht verfügten. In der Konsequenz konnten die Applikationen von den Mitarbeitern nicht mehr aufgerufen und verwendet werden. Die Suche nach der Ursache des Problems war mit einem hohen Zeit- und Kostenaufwand verbunden.

Um potenzielle Migrationsprobleme wie diese zu vermeiden, ist es daher unerlässlich, im Vorfeld eine umfassende Kompatibilitätsprüfung durchzuführen.

Wie kann smarterSec dabei helfen?

Die smarterSec Security Platform (SSP) ermöglicht Ihnen die Automatisierung von Prozessen und Kontrollen für Ihre SAP-Systeme. Die SSP stellt Ihnen einen umfassenden Prüfkatalog zur Verfügung, der auf Knopfdruck alle Kompatibilitätsprobleme bei der Migration zu S/4HANA aufzeigt. Durch dieses Vorgehen lassen sich mögliche Probleme bereits im Vorfeld vermeiden und somit wertvolle Zeit und Kosten einsparen.

Ist meine SAP-Landschaft durch „Secure by Default“ ausreichend abgesichert?

Der Name „Secure by Default“ lässt vermuten, dass man bei Anwendung dieses Konzepts im Standard sicher sei. Allerdings gibt es noch viele offene Punkte, weshalb SAP empfiehlt, viel weitreichendere Maßnahmen zu ergreifen.

Unter Anderem müssen folgende Aspekte überprüft werden:

  • Unsichere Standardbenutzer
  • Custom Code Security
  • Zuweisung von kritischen Berechtigungen, Rollen und Profilen

Dennoch stellt SbD einen wichtigen Schritt zum Schutz Ihrer SAP-Landschaft dar. Wir halten es jedoch für unerlässlich, dass Sie bereits jetzt in Sachen SAP-Sicherheit aktiv werden und nicht erst mit der Umstellung auf S/4HANA warten. Um die Sicherheit ihrer SAP Systeme möglichst ressourcenschonend umzusetzen, empfehlen wir den Einsatz automatisierter Werkzeuge.

Was bietet die smarterSec Security Platform?

Für eine ausreichende Absicherung von SAP-Systemen, muss eine dauerhafte Überwachung durch umfassende Schwachstellenanalysen erfolgen. Die smarterSec Security Platform (SSP) überwacht kontinuierlich und vollständig automatisiert alle sicherheits- und compliance-relevanten Einstellungen und Ereignisse in Ihrer SAP Systemlandschaft.



Die integrierten Prüfungen decken dabei die Sicherheit von ABAP und HANA-basierten SAP-Systemen ab und sorgen so für einen plattformunabhängigen, umfassenden Schutz.

Verwandte Themen: smarterSec Security Platform // Managed Security Service für die smarterSec Security Platform

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Webinar: S/4HANA Migration – Secure by Default im Faktencheck

Haben Sie Fragen oder Anmerkungen?

Bitte kontaktieren Sie uns direkt!

Kontakt