Newsletter

UNIFIED CONNECTIVITY [UCON] ist das Security-Framework für RFC-Kommunikation

Geposted von Felix Allgeier am 4. November 2024
Allgemein

Inhaltsverzeichnis

Was ist UCON?

SAP hat UCON (Unified Connectivity) als neues Sicherheitsframework eingeführt, um die externe Kommunikation in SAP-Systemen besser zu verwalten, steuern und sichern. Ein besonderes Augenmerk liegt dabei auf der RFC-Kommunikation (Remote Function Call). UCON wurde primär entwickelt, um die Sicherheit von SAP-Systemen zu verbessern, indem die Schnittstelle zwischen externen Systemen oder Anwendungen und SAP-Systemen mit RFC-Funktionen sicherer gestaltet wird. RFCs sind ein wichtiger Bestandteil von SAP-Umgebungen, da sie die Kommunikation zwischen verschiedenen SAP-Systemen und externen Drittanbietersystemen vereinfachen.

Die untere Grafik zeigt, wie ein Benutzer ein RFM (remote-enabled function module) über RFC aufruft, um damit eine Anwendung von außerhalb des Systems auszuführen. Die linke Seite zeigt den Ablauf ohne UCON, während die rechte Seite den Ablauf mit aktiviertem UCON zeigt. 

Benutzerzugriff von außerhalb des Systems: Links ohne UCON, rechts mit UCON

Warum sollte ich UCON implementieren?

Um Sicherheitsprobleme bei der RFC-Kommunikation zu lösen

Viele SAP-Systeme haben offene oder ungesicherte RFC-Schnittstellen, was ein erhebliches Sicherheitsrisiko darstellt. Unautorisierter oder böswilliger Zugriff auf diese offenen RFC-Verbindungen kann zum Verlust sensibler Geschäftsdaten oder zur Beeinträchtigung kritischer Prozesse führen. UCON wurde entwickelt, um diesen Risiken zu entgegenzuwirken und eine Lösung für die sichere und kontrollierte RFC-Kommunikation bereitzustellen.

Um das Risiko von Angriffen zu minimieren

In früheren Versionen von SAP-Systemen waren alle RFC-fähigen Funktionsmodule standardmäßig zugänglich. Dadurch stieg das Risiko externer Angriffe, beispielsweise durch die missbräuchliche Nutzung ungeschützter oder unsicherer Schnittstellen. Mit der Einführung von UCON wird dieses Risiko deutlich reduziert. Systemadministratoren können nun überflüssige RFC-Schnittstellen deaktivieren und nur noch erforderliche Kommunikation zulassen.

Um Richtlinien und Sicherheitsstandards zu festigen

UCON stellt sicher, dass Unternehmen die anspruchsvollen Sicherheitsstandards und rechtlichen Vorgaben einhalten (z. B. DSGVO, SOX usw.). Dabei behalten Unternehmen die Kontrolle über den externen Systemzugriff und die Kommunikation.

Um den Übergang zur abgesicherten Zugangskontrolle zu ermöglichen

Die Einführung von UCON stellt eine zentrale, überwachte und sichere Methode zur Verwaltung von RFC-Verbindungen dar. Damit wird die Systemarchitektur von einer unsicheren und offenen Schnittstelle auf eine neue Sicherheitsstufe gehoben, bei der der Zugriff gezielt gesteuert und überwacht wird.

Wie kann ich UCON implementieren?

UCON Profilparameter aktivieren

Setzen Sie über die Transaktion RZ10 (produktive Nutzung) oder Transaktion RZ11 (testweise Nutzung) den Profilparameter UCON/RFC/ACTIVE auf 1.

Protokollierungs- und Auswertungsphase konfigurieren

  1. Geben Sie die Transaktion UCONCOCKPIT ein
  2. Wählen Sie unter dem Reiter „Szenario für Unified Connectivity“ das Szenario „RFC-Basisszenario“
  3. Gehen Sie über den Menüpunkt „Mehr“ auf „Operationen“ und schließlich auf „Unified-Connectivity-Customizing“
  4. Wählen Sie eine passende Protokollierungs- und Auswertungsphase (typischerweise zw. 30-60 Tagen)

UCON-Setup konfigurieren

  1. Geben Sie die Transaktion UCONCOCKPIT ein
  2. Wählen Sie unter dem Reiter „Szenario für Unified Connectivity“ das Szenario „RFC-Basisszenario“
  3. Gehen Sie über den Menüpunkt „Mehr“ auf „Operationen“ und schließlich auf „Unified Connect.: RFC-Basis einrichten“
  4. Wählen Sie für den Typ der Communication-Assembly „Lokal“
  5. Wählen Sie aus, ob UCON für alle Mandanten oder nur den aktuellen Mandaten aktiviert werden soll
  6. Lassen Sie die Checkbox „Transport RFC-Statusobjekte“ deselektiert

UCON Batch Job einplanen

Planen Sie über die Transaktion SM36 den Batch Job SAP_UCON_MANAGEMENT ein. Dieser sammelt alle RFC Statistiken.

Wie wird UCON gewartet?

Eine regelmäßige Wartung von UCON ist unerlässlich, um zu gewährleisten, dass Ihre SAP-Umgebung sicher und effizient bleibt. Durch eine regelmäßige Wartung können Sie sich an die sich entwickelnden Geschäftsanforderungen anpassen, Sicherheitsrisiken minimieren und die gesetzlichen Anforderungen erfüllen. Im Folgenden finden Sie die wichtigsten Strategien für eine fortlaufende UCON-Wartung:

Übersicht der Strategien zur UCON-Wartung

Kontinuierliches Monitoring

  • UCON-Cockpit verwenden: Nutzen Sie das UCON Cockpit (Transaktion UCONCOCKPIT) zur kontinuierlichen Überwachung aller Szenarien (RFC, Rollenbau, HTTP Whitelist). Mit diesem Tool können Sie die gesamte externe Kommunikation verfolgen, unbefugte Zugriffsversuche identifizieren und die Performance von RFC-Aufrufen bewerten.
  • Log-Analyse durchführen: Überprüfen Sie regelmäßig die während der Protokollierungsphase erstellten Protokolle, um Trends, Anomalien oder ungewöhnliche Aktivitätsmuster zu erkennen. Dieser proaktive Ansatz hilft Ihnen, potenzielle Sicherheitsverstöße frühzeitig zu erkennen.

Regelmäßige Audits

  • Security Audits durchführen: Planen Sie regelmäßige Audits der UCON-Einstellungen, -Regelwerke und -Protokolle, um die Einhaltung interner Sicherheitsrichtlinien und externer Vorschriften zu gewährleisten. Auf diese Weise können Sie überprüfen, ob die Zugriffskontrollen wirksam sind und ordnungsgemäß durchgesetzt werden.
  • Sicherheitsrichtlinien überprüfen: Bewerten und aktualisieren Sie die Sicherheitsrichtlinien regelmäßig auf der Grundlage von Prüfungsergebnissen und etwaigen Änderungen in Ihrer Organisationsstruktur oder Ihren Geschäftsprozessen.

Reviews und Anpassungen

  • Whitelists und Blacklists bewerten: Überprüfen Sie regelmäßig die in der Whitelist und Blacklist aufgeführten RFC-fähigen Funktionsbausteine. Entfernen Sie alle veralteten Einträge und fügen Sie neue hinzu, wenn sich die betrieblichen Anforderungen ändern.
  • Zugriffskontrollen anpassen: Passen Sie die Zugriffskontrollen an, wenn sich Ihr Unternehmen fortentwickelt, um sicherzustellen, dass nur autorisierte Benutzer und Systeme mit der SAP-Umgebung kommunizieren können.

System Updates

  • SAP Notes und Patches implementieren: Suchen Sie regelmäßig nach den neuesten SAP Notes und Security Patches, die für UCON relevant sind, und spielen Sie diese ein. Wenn Sie Ihr System auf dem neuesten Stand halten, schützen Sie sich vor Sicherheitslücken und verbessern die Funktionalität von UCON.
  • Über UCON-Erweiterungen informieren: Bleiben Sie auf dem Laufenden über neue Funktionen und Verbesserungen, die von SAP für UCON bereitgestellt werden, und binden Sie diese in Ihr System ein, um von den erweiterten Sicherheitsmaßnahmen zu profitieren.

User Awareness

  • Personal schulen: Bieten Sie regelmäßige Schulungen für Teammitglieder an, die für die Verwaltung von UCON zuständig sind. Vergewissern Sie sich, dass sie bewährte Praktiken und neue Funktionen verstehen und wissen, wie sie auf potenzielle Sicherheitsvorfälle reagieren sollen.
  • Sicherheitsbewusstseins fördern: Fördern Sie eine Kultur des Sicherheitsbewusstseins innerhalb Ihrer Organisation. Ermutigen Sie die Benutzer, verdächtige Aktivitäten oder potenzielle Sicherheitsrisiken im Zusammenhang mit RFC-Kommunikation zu melden.

Performance-Optimierung

  • Leistungskennzahlen analysieren: Prüfen Sie regelmäßig die Leistungskennzahlen der RFC-Verbindungen, um sicherzustellen, dass UCON die Systemleistung nicht beeinträchtigt. Identifizieren und beheben Sie Engpässe oder Ineffizienzen im RFC-Kommunikationsprozess.
  • Protokollierungsparameter anpassen: Passen Sie auf der Grundlage von Leistungsanalyse die Dauer und den Genauigkeitsgrad der Protokollierung nach Bedarf an, um ein Gleichgewicht zwischen Sicherheit und Systemleistung zu erreichen.

Incident Response

  • Incidence-Response-Plan erstellen: Entwickeln und pflegen Sie einen Plan zur Reaktion auf Zwischenfälle speziell für UCON-bezogene Sicherheitsereignisse. Dieser sollte Verfahren zur Untersuchung von unbefugten Zugriffsversuchen oder Datenverletzungen enthalten.
  • Vorfälle überprüfen: Führen Sie nach einem Sicherheitsvorfall eine gründliche Überprüfung durch, um die gewonnenen Erkenntnisse zu ermitteln und UCON-Konfigurationen oder -Richtlinien anzupassen, um einen erneuten Vorfall zu verhindern.

Wie kann smarterSec Sie unterstützen?

Unsere smarterSec Security Platform (SSP) ist die perfekte Lösung für die Prüfung, Analyse und Bewertung Ihrer UCON-Konfigurationen und -Logs. Darüber hinaus prüft sie nach SAP-Notes, die noch nicht eingespielt sind. Mit unserem SAP Security Assessment optimieren Sie das Sicherheits- und Risiko-Management Ihrer SAP-Systeme und profitieren von unserer Expertise.

Fazit

Unified Connectivity (UCON) ist ein entscheidendes Sicherheitswerkzeug von SAP. Es bietet einen effektiven Schutz gegen externe Angriffe durch RFC-Kommunikation. Die schnelle Implementierung und die simple Handhabung machen es für jedes Unternehmen zugänglich, das seine SAP-Sicherheitslage verbessern möchte. UCON reduziert die Angriffsfläche drastisch und stellt damit sicher, dass kritische Geschäftsprozesse zuverlässig geschützt bleiben – ohne den täglichen operativen Betrieb zu unterbrechen. Der stufenweise Implementierungsansatz ermöglicht eine sorgfältige Evaluierung, bevor einschneidende Maßnahmen vollständig durchgesetzt werden. Der kontinuierliche Schutz sowohl bestehender als auch neu eingeführter RFMs gewährleistet langfristige Sicherheit.

Kurz gesagt: UCON vereinfacht den Prozess der Absicherung von SAP-Systemen und ist damit eine unverzichtbare Lösung zur Minderung von Cybersicherheitsrisiken in der heutigen digitalen Landschaft.

SAP Dokumente zu UCON:

Related Topics: smarterSec Security Platform (SSP) // SAP Security Assessment

Haben Sie fragen?

Dann kontaktieren Sie uns gerne direkt!

Kontakt