{"id":4283,"date":"2023-10-02T12:48:00","date_gmt":"2023-10-02T10:48:00","guid":{"rendered":"https:\/\/smartersec.com\/?p=4283"},"modified":"2025-04-11T10:10:24","modified_gmt":"2025-04-11T08:10:24","slug":"sap-cloud-connector-security-die-haeufigsten-anfaengerfehler","status":"publish","type":"post","link":"https:\/\/smartersec.com\/de\/sap-cloud-connector-security-die-haeufigsten-anfaengerfehler\/","title":{"rendered":"SAP Cloud Connector Security – Die h\u00e4ufigsten Anf\u00e4ngerfehler"},"content":{"rendered":"\n

Was ist SAP Cloud Connector (SCC)?<\/h2>\n\n\n\n

SAP hat mit dem SAP Cloud Connector (SCC) eine Software entwickelt, die On-Premise-Installationen nahtlos in die (SAP) Cloud integriert.<\/p>\n\n\n\n

Der SCC ist die bevorzugte L\u00f6sung in (hybriden) Kundenumgebungen, um eine Verbindung von On-Premise zur (SAP) Cloud herzustellen. Beispiele hierf\u00fcr sind die SAP Business Technology Platform (BTP), SuccessFactors und andere. <\/p>\n\n\n\n

Bei Betrachtung des folgenden Diagramms wird unmittelbar ersichtlich, dass SCC ein wesentlicher Bestandteil Ihrer (SAP)-Sicherheitsstruktur darstellt.<\/p>\n\n\n

\n
\"\"
\u00dcbersicht der SAP Cloud Infrastruktur<\/figcaption><\/figure>\n<\/div>\n\n\n
<\/div>\n\n\n

Cloud Connector: Sicherheitsaspekte <\/h2>\n\n\n\n

Wir haben bei Audits und bei der Anpassung des SAP Cloud Connectors bei unseren Kunden mehrere Sicherheitsbereiche festgestellt, die unbedingt beachtet werden m\u00fcssen. Hier sind die wichtigsten „Hotspots“, auf die man achten sollte:<\/p>\n\n\n\n

    \n
  1. Patch-Management<\/a><\/li>\n\n\n\n
  2. Keine hohe Verf\u00fcgbarkeit<\/a><\/li>\n\n\n\n
  3. SCC Umgebung und Konfiguration im Netzwerk<\/a><\/li>\n\n\n\n
  4. Integrierte SSC Sicherheitsfunktionen werden nicht genutzt<\/a><\/li>\n\n\n\n
  5. Verwendung veralteter Cypher Suites<\/a><\/li>\n\n\n\n
  6. SCC Audit Log ist nicht aktiviert\/ wird nicht \u00fcberwacht<\/a><\/li>\n<\/ol>\n\n\n\n
    <\/div>\n\n\n

    1. Patch-Management<\/h3>\n\n\n\n

    Unsere Analysen haben eindeutig gezeigt, dass in 100 % aller Kundenumgebungen die SCC selbst oder die zugeh\u00f6rigen Umgebungen nicht gr\u00fcndlich gepatcht sind. Die j\u00fcngsten Untersuchungen belegen zudem, dass 80 % der Cyberangriffe auf ungepatchte Software-Schwachstellen zur\u00fcckzuf\u00fchren sind.<\/p>\n\n\n\n

    Wir empfehlen Ihnen dringend, Ihre implementierte SCC-Version regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen. Sollten Sie feststellen, dass sie nicht auf dem neuesten Stand ist, m\u00fcssen Sie Ihr SCC umgehend auf die neueste Version\/Patch-Ebene aktualisieren.<\/p>\n\n\n\n

    SAP hat zwischen 2013 und heute zahlreiche Versionen von SCC ver\u00f6ffentlicht und auch zahlreiche Sicherheitspatches im Zusammenhang mit SCC bereitgestellt.<\/p>\n\n\n\n

    Stellen Sie sich selbst die Frage: Wann haben Sie SCC zum ersten Mal implementiert und wie oft haben Sie seitdem eine neue Version oder Sicherheitspatches implementiert.<\/p>\n\n\n\n

    Au\u00dferdem muss das zugrunde liegende Betriebssystem gepatcht werden. Da SCC Java verwendet, muss auch die JVM oder das SDK, das auf Ihrem Betriebssystem installiert ist, regelm\u00e4\u00dfig gepatcht werden.<\/p>\n\n\n\n

    Ich garantiere Ihnen, dass der Aufwand, Ihren SCC und seine Umgebung auf dem neuesten Stand zu halten, nicht sehr hoch ist. Aber eines ist sicher: Sie erh\u00f6hen damit Ihre Sicherheitslage erheblich!<\/p>\n\n\n\n

    Die SAP-Supportstrategie f\u00fcr den SAP Cloud Connector ist im SAP-Hinweis 3302250<\/a> nachzulesen. Dabei ist zu beachten, dass Sicherheitspatches f\u00fcr SCC immer nur f\u00fcr die neueste verf\u00fcgbare SCC-Version gelten. Wir empfehlen unseren Kunden daher dringend, immer die neueste SCC-Version zu installieren und auf den neuesten Patch-Level zu patchen, sobald ein SCC-Sicherheitspatch verf\u00fcgbar ist. Die letzte SCC-Version kann auf der Webseite der SAP Development Tools<\/a> heruntergeladen werden. Dort finden Sie auch Informationen zu den Abschnitten „Cloud Connector“ und „SAP JVM“.<\/p>\n\n\n\n

    Der SAP Security Patch Day findet jeden zweiten Dienstag im Monat im SAP-Blog statt.<\/p>\n\n\n\n

    <\/div>\n\n\n

    2. Keine hohe Verf\u00fcgbarkeit<\/h3>\n\n\n\n

    Auch wenn einige meinen, es handele sich nicht um eine Sicherheitsfunktion, kann die SCC so konfiguriert werden, dass sie eine High-Availability (HA) Architektur nutzt.<\/p>\n\n\n\n

    Die SCC erfordert neue Versionen und regelm\u00e4\u00dfige Patches. Deshalb ist es unerl\u00e4sslich, High-Availability zu konfigurieren, um Ausfallzeiten zu minimieren und Ausf\u00e4lle zu vermeiden. Dies gilt nicht nur f\u00fcr die SCC selbst, sondern f\u00fcr alle Anwendungen in der (SAP-)Cloud, auf die die Benutzer \u00fcber die SCC zugreifen.<\/p>\n\n\n

    \n
    \"\"
    SAP Cloud Connector Administration \u2013 High-Availability<\/em><\/figcaption><\/figure>\n<\/div>\n\n\n
    <\/div>\n\n\n

    3. SCC Umgebung und Konfiguration im Netzwerk<\/h3>\n\n\n\n

    Bei unseren Pr\u00fcfungen haben wir festgestellt, dass SAP Cloud Connectors vorhanden sind, die sich nicht in der DMZ der Kundeninfrastruktur befinden. Noch schlimmer ist, dass es nicht nur offizielle SCCs in der Kundeninfrastruktur gibt, die sich in der DMZ befinden, sondern auch einige Testinstallationen auf Client-PCs, die zu Testzwecken dienen. Diese Testinstallationen wurden offensichtlich nicht ordnungsgem\u00e4\u00df gewartet und ohne implementierte Sicherheitsma\u00dfnahmen seitens des Netzwerkteams beiseitegeschoben.<\/p>\n\n\n\n

    Wir empfehlen dringend, einen dedizierten Server nur f\u00fcr die SCC zu verwenden. Nur so l\u00e4sst sich verhindern, dass auch andere Administratoren auf demselben Server auf die SCC zugreifen.<\/p>\n\n\n\n

    Als letzten Schritt sollten Sie alle unn\u00f6tigen Anwendungen von dem SCC-Server l\u00f6schen. Verschl\u00fcsseln Sie die Festplatte, um sicherzustellen, dass die Konfiguration und die Audit-Logs nicht von unbefugten Benutzern gelesen werden k\u00f6nnen (Sicherheitsrichtlinien | SAP Help Portal<\/a>). In \u00fcber 90 % aller Audits wurde die Festplattenverschl\u00fcsselung nicht verwendet.<\/p>\n\n\n\n

    <\/div>\n\n\n

    4. Integrierte SSC Sicherheitsfunktionen werden nicht genutzt<\/h3>\n\n\n\n

    Die SCC verf\u00fcgt \u00fcber eine integrierte Sicherheitsfunktion, die es den Kunden erm\u00f6glicht, den Sicherheitsstatus ihrer SCC regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen. Das Ergebnis unserer Pr\u00fcfung ist eindeutig: Bei 93 % aller von uns gepr\u00fcften SCC-Installationen war die Sicherheitsfunktion der SCC entweder nicht bekannt oder wurde vom Kunden nicht genutzt.<\/p>\n\n\n\n

    Die eingebaute Sicherheitsfunktion ist der einfachste und effektivste Weg, um Ihre Sicherheitslage auf ein ausgereiftes Niveau zu heben und den Empfehlungen zu folgen. In den neuesten Versionen der SCC kann die SCC \u00fcber eine von SAP bereitgestellte Standard-API mit dem Solution Manager verbunden und \u00fcberwacht werden.<\/p>\n\n\n\n

    Mit einem SIEM-System k\u00f6nnen Sie SCC ganz einfach in Ihr System integrieren \u2013 beispielsweise SAP Enterprise Threat Detection (ETD) oder andere. Nutzen Sie daf\u00fcr einfach die API.<\/p>\n\n\n

    \n
    \"\"
    SAP Cloud Connector Security Status<\/em><\/figcaption><\/figure>\n<\/div>\n\n\n
    <\/div>\n\n\n

    5. Verwendung veralteter Cypher Suites<\/h3>\n\n\n\n

    In der Vergangenheit wurden einige von Kunden verwendete Cypher Suites veraltet, was bedeutet, dass sie nicht mehr den Sicherheitsanforderungen von SAP entsprechen. Alle anderen gelten als unsicher. Bitte beachten Sie dazu die SAP Note 2942602<\/a>.<\/p>\n\n\n\n

    Wir empfehlen dringend, eine Bitl\u00e4nge von mindestens 1024 zu verwenden. \u00dcberpr\u00fcfen Sie gemeinsam mit Ihrem Sicherheitsbeauftragten die bestehende Sicherheitsrichtlinie, um die Cipher Suite und die Bitl\u00e4nge entsprechend zu konfigurieren.<\/p>\n\n\n

    \n
    \"\"
    \u00dcbersicht Cypher Suites<\/em><\/figcaption><\/figure>\n<\/div>\n\n\n
    <\/div>\n\n\n

    6. SCC Audit Log ist nicht aktiviert\/ wird nicht \u00fcberwacht<\/h3>\n\n\n\n

    Die SCC verf\u00fcgt \u00fcber ein eigenes Audit-Log, das zu \u00dcberwachungszwecken aktiviert werden kann. In SAP k\u00f6nnen Sie die Audit-Ebene konfigurieren. Der Standardwert ist „Security“, kann aber auf „All“ erweitert werden. Es ist strengstens untersagt, die Option „Off“ zu w\u00e4hlen oder zu konfigurieren.<\/p>\n\n\n\n

    Selbstverst\u00e4ndlich k\u00f6nnen Sie auch den Zeitraum von Tagen angeben, wie lange Sie diese Audit-Logs aufbewahren m\u00f6chten. Ab SCC-Version 2.14 k\u00f6nnen Sie auch den Speicherort der Audit-Log-Dateien \u00e4ndern. Selbstverst\u00e4ndlich k\u00f6nnen Sie die Dateien auch zum Import in ein SIEM-System verwenden.<\/p>\n\n\n\n

    Weitere Einzelheiten im SAP Help Portal<\/a>.<\/p>\n\n\n\n

    <\/div>\n\n\n

    Fazit<\/h2>\n\n\n\n

    Die in diesem Artikel beschriebenen Sicherheitsaspekte f\u00fcr den SAP Cloud Connector dienen als Orientierung und Leitfaden. Es gibt zahlreiche weitere Punkte, die Sie beachten m\u00fcssen, um den SAP Cloud Connector sicher zu konfigurieren.<\/p>\n\n\n\n

    Die wichtigste Botschaft ist, dass Sie eine zentrale SAP-Komponente wie SAP Cloud Connector nicht einfach implementieren und auf einem niedrigen Wartungsniveau halten k\u00f6nnen. Integrieren Sie den SAP Cloud Connector in Ihr Software-Lifecycle-Management und schenken Sie ihm die gleiche Aufmerksamkeit wie Ihrem Haupt-SAP-ERP-System, insbesondere wenn es um Sicherheit geht.<\/p>\n\n\n\n

    <\/div>\n\n\n

    Verwandte Themen:<\/strong> smarterSec Security Platform<\/a> \/\/ Managed Security Service f\u00fcr die
    smarterSec Security Platform<\/a><\/p>\n\n\n\n

    <\/div>\n\n
    \n
    \n
    <\/div>
    <\/div>

    Sie sehen gerade einen Platzhalterinhalt von YouTube<\/strong>. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfl\u00e4che unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.<\/p> Mehr Informationen<\/a> <\/div>

    Inhalt entsperren<\/a> Erforderlichen Service akzeptieren und Inhalte entsperren<\/a> <\/div> <\/div> <\/div><\/div> <\/div>\n\n
    \n Webinar: SAP Cloud Connector Security <\/div>\n \n<\/div>\n\n\n
    <\/div>\n\n\n
    \n
    \n
    \n \n \n \n
    \n \r\n\r\n\r\n\r\n\r\n\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\t\t\r\n\t\t\t\r\n\t\t\t\t\r\n\t\t<\/g>\r\n\t<\/g>\r\n\t\r\n\t\t\r\n\t<\/g>\r\n<\/g>\r\n<\/svg>\r\n<\/div> \n
    \n \n\n

    Sie brauchen Hilfe bei der Konfiguration des SAP Cloud Connectors? <\/strong><\/p>\n\n\n\n

    Dann kontaktieren Sie uns!<\/strong><\/p>\n\n <\/div>\n\n

    \n \n Kontakt <\/a>\n <\/div>\n \n <\/div>\n <\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

    Der SAP Cloud Connector ist das zentrale Element Ihrer (SAP-)Sicherheitslage.<\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[37],"class_list":["post-4283","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-sap-cloud-connector"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/4283","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=4283"}],"version-history":[{"count":9,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/4283\/revisions"}],"predecessor-version":[{"id":4314,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/4283\/revisions\/4314"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=4283"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=4283"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=4283"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}