Sie sind auf Seite 1von 8

SAP Security Recommendations

Juni 2012

Security Services von


SAP® Active Global Support
Sichere Anwendungen über den gesamten Lebenszyklus
Version 1.0
Security Services von SAP Active Global Support

Inhalt

4 Sicherheitsservices für jeden Bedarf

5 Sicherheitsinformationen, -richtlinien
und -standards

5 Remote Security Services

6 Sicherheitswerkzeuge in SAP Solution


Manager
Sichere Geschäftsprozesse haben für Unter- Sicherheitsservices für jeden Bedarf
nehmen höchste Priorität. Umso wichtiger,
Mit den Security Services stellt SAP AGS das gestiegene Sicher-
dass Betriebe proaktiv und flexibel auf Stör- heitsbedürfnis der Kunden gezielt in den Fokus. Das Angebot
faktoren reagieren. Dabei reicht es längst nicht bündelt Wissen und Werkzeuge, um Unternehmensprozesse
mehr, die eigene Infrastruktur durch Firewalls in der vernetzten Welt zuverlässig und sicher zu gestalten.
und Virenscanner zu schützen. Die Sicherheit SAP-Kunden profitieren dabei von den Erfahrungen und dem
Know-how, das der marktführende Hersteller integrierter
einer Anwendung hängt wesentlich davon ab, Unternehmenslösungen in drei Jahrzehnten bei mehr als
wie und in welcher Umgebung sie betrieben 176.000 Kunden gewonnen und in maßgeschneiderte Services
wird. Nur wenn alle Komponenten einer IT- umgesetzt hat. Die Security Services von SAP AGS machen
Landschaft richtig „zusammenspielen“, ist mögliche Sicherheitsprobleme, insbesondere Fehlkonfigurationen
oder einen nicht aktuellen Patch-Status in der IT-Landschaft
ein sicherer Betrieb möglich. proaktiv sichtbar und helfen, sie zeitnah zu beseitigen. Auch
interne und branchenspezifische Compliance-Vorschriften
Auch für die SAP® AG ist das Thema Sicherheit ein unverzicht- lassen sich mithilfe des Support-Angebotes leichter einhalten,
barer Bestandteil ihrer Produkte. Mit einer globalen Support- Schutzmechanismen lassen sich implementieren sowie bereichs-
Organisation unterstützt der Softwarehersteller seine Kunden und unternehmensübergreifende Prozesse besser absichern.
deshalb gezielt dabei, die Qualität und Zuverlässigkeit ihrer
Anwendungen sicherzustellen – und zwar über den gesamten Dazu bietet die SAP-Support-Organisation eine Vielzahl von
Lebenszyklus hinweg. Mehr als 2.000 Service- und Support- Werkzeugen und Services an. Das dreigliedrige Sicherheits-
Mitarbeiter in über 40 Ländern sorgen bei SAP Active Global angebot umfasst folgende Säulen, die Kunden je nach Bedarf
Support (SAP AGS) durch Optimierungsmaßnahmen, Quali- nutzen können:
tätsmanagement, Wissenstransfer und maßgeschneiderte •• Sicherheitsinformationen, -richtlinien und -standards
Problemlösungen dafür, dass die unternehmerischen Ge- •• Remote Services rund ums Thema Sicherheit
schäftsprozesse der SAP-Kunden möglichst reibungsfrei •• Leistungsstarke Security-Tools und Guided Self Services
geschützt und sicher laufen. auf Basis der Anwendungsmanagementlösung SAP Solution
Manager

SAP Active Global Support unterstützt SAP-Kunden dabei,


die Qualität und Zuverlässigkeit ihrer Anwendungen sicher-
zustellen – und zwar über den gesamten Lebenszyklus ihrer
Anwendungen hinweg.
Über den SAP Security Optimization
Service können Unternehmen ihr Sicher-
heitskonzept verfeinern sowie geschäfts-
kritische Daten und Prozesse schützen.

Sicherheitsinformationen, -richtlinien Remote Security Services


und -standards
Darüber hinaus stellt SAP AGS unterschiedliche Remote Services
Neben den Anwendungskorrekturen, die im Rahmen des bereit, um die Stabilität, Verfügbarkeit und Sicherheit vorhan-
monatlichen SAP Security Patch Day auf dem SAP Service dener Systeme weiter zu verbessern. So können Unternehmen
Marketplace veröffentlicht werden, unterstützt SAP AGS seine über den SAP Security Optimization Service ihr Sicherheits-
Kunden durch eine Vielzahl von Sicherheitsinformationen, konzept verfeinern und geschäftskritische Daten und Prozesse
Empfehlungen und Richtlinien beim sicheren Betrieb ihrer schützen. Dieser Service evaluiert Konfigurationsparameter
Anwendungen. Dazu gehören nicht nur die Sicherheitsinfor- und identifiziert potenzielle Lücken sowie fehlende Berechtigun-
mationen im Help-Portal (http://help.sap.com) und die Security- gen innerhalb der unternehmensweiten Anwendungslandschaft.
Guides (https://service.sap.com/securityguide), sondern Zudem umfasst der Service mehrere Hundert Sicherheitschecks,
beispielsweise auch die Sicherheitsbausteine in der RunSAP- wie zum Beispiel die Prüfung kritischer Berechtigungen oder
Methodik sowie dem End-to-End (E2E) Solution Operations eingesetzter Verschlüsselungsmethoden.
Standard for Security.
Im Anschluss an den ein- bis zweitägigen Prüfprozess erstellt
RunSAP liefert E2E-Betriebsstandards, eine Roadmap sowie SAP AGS eine detaillierte Sicherheitsanalyse, klassifiziert nach
Programme zur Schulung und Zertifizierung. Firmen können inhaltlichen Themenbereichen und Schweregrad. Konkrete
auf Best-Practice-Prozesse zugreifen, um Abläufe zentral fest- Lösungsempfehlungen, die sowohl vom Kunden als auch von
zulegen oder zu automatisieren. Dabei bündelt RunSAP das einem beauftragten SAP-Berater ausgeführt werden können,
Wissen, die Erfahrungen und die Best Practices aus Tausenden runden den Remote Service ab. Alternativ lässt sich der Sicher-
von Installationen, um End-to-End-Lösungen effizient und heitscheck auch durch einen SAP-Berater vor Ort oder in Eigen-
sicher zu implementieren und zu betreiben sowie Schwach- regie durchführen. SAP Solution Manager liefert dazu sämtliche
stellen und Ausfallzeiten zu minimieren. Tools.

Mit dem E2E Solution Operations Standard for Security steht Angesichts dynamischer Geschäftsprozesse, häufig wechselnder
SAP-Kunden eine Best-Practice-Empfehlung für den sicheren Zugangsberechtigungen sowie ständig neuer Angriffsszenarien
Betrieb von SAP-Systemen und -Landschaften zur Verfügung. sollten Betriebe diesen Sicherheitscheck regelmäßig durch-
Sie erläutert die wichtigsten Schutzvorkehrungen und verlinkt führen, insbesondere aber nach größeren Systemänderungen
auf detaillierte Sicherheitsinformationen auf dem SAP Service oder vor einem Audit. Denn hiermit lässt sich nicht nur die
Marketplace.

SAP Solution Manager stellt zahlreiche Tools


und Funktionalitäten bereit, um die Sicherheit
von Unternehmensanwendungen zu überwa-
chen und zu steuern.

Security-Services von SAP® Active Global Support 5


Wirksamkeit aktueller Sicherheitsmaßnahmen prüfen. Der SAP werden auch kritische Sicherheitseinstellungen überprüft
Security Optimization Service liefert durch eine kontinuierliche und mögliche Abweichungen von wichtigen SAP-Empfehlungen
Aktualisierung der in ihm enthaltenen Prüfungen auch Ergeb- dokumentiert. Der Vorteil: SAP-Kunden erhalten regelmäßig
nisse zu neuen Risiken und Empfehlungen. eine aktuelle Übersicht über den Status ihrer SAP-Systeme,
können sich abzeichnenden Problemen vorbeugen und Lü-
Im Rahmen mehrtägiger Fernschulungen, sogenannter „Expert cken im Vorfeld schließen. Denn SAP EarlyWatch Alert regist-
Guided Implementations“, bildet SAP AGS Administratoren riert unter anderem, ob sich bestimmte kritische Basisbe-
zudem darin aus, die Sicherheitsfunktionalitäten von SAP rechtigungen angehäuft haben, die vorhandene Kennwort
Solution Manager nach eigenen Bedürfnissen zeitnah und sicherheit aktuellen Anforderungen entspricht oder wichtige
zielgerichtet selbst zu nutzen und einzusetzen. Dazu erläutert SAP-Security-Patches ordnungsgemäß installiert sind.
ein SAP-Experte pro Tag in einer zweistündigen Websession •• Guided SAP Security Optimization Self Service: Der bei
Hintergründe und technische Anwendungsdetails der Sicher- den Remote Services bereits beschriebene SAP Security
heitsfunktionalitäten. Anschließend setzt der Kunde das ver- Optimization Service ist in SAP Solution Manager auch als
mittelte Wissen direkt in der eigenen Systemlandschaft um. „Guided Self Service“ verfügbar. Der Benutzer wird Schritt
Ein direkter Kontakt zu SAP AGS während der Fernschulung für Schritt durch alle Abfragen geführt, die zur Durchführung
gewährleistet, dass dabei auftretende Fragen schnell und eines SAP Security Optimization Service erforderlich sind.
unkompliziert gelöst werden können. Anschließend werden vollautomatisch die erforderlichen
Konfigurationsdaten des betreffenden Systems eingesammelt,
Sicherheitswerkzeuge in SAP Solution Manager mehrere Hundert Sicherheitschecks unter Berücksichtigung
kundenspezifischer „Whitelists“ ausgewertet und ein umfas-
Die Security Services von SAP AGS nutzen als Plattform SAP sender Bericht der gefundenen Schwachstellen samt zuge-
Solution Manager. Diese Anwendungsplattform stellt zahl- höriger Beschreibungen und Empfehlungen bereitgestellt.
reiche Tools und Funktionalitäten bereit, um die Sicherheit von •• System Recommendations: Eine umfassendere Übersicht
Unternehmensanwendungen zu überwachen und zu steuern. über fehlende SAP-Security-Patches liefern die „System Re-
Probleme und Sicherheitslücken lassen sich so schnell identifi- commendations“. Das Tool liefert passgenaue Empfehlungen
zieren, analysieren und beheben – auch und gerade in hetero- zu wichtigen SAP-Security-Hinweisen und Patches für ABAP™-
genen Umgebungen. Dazu tragen in SAP Solution Manager und Java-basierte SAP-Systeme. Außerdem informiert es
unter anderem folgende Werkzeuge und Services bei: über wichtige – auch nicht Security betreffende – HotNews,
•• SAP EarlyWatch Alert: Der proaktive, vollautomatische Hinweise zu Compliance-Änderungen oder allgemeine SAP-
SAP EarlyWatch Alert überwacht in periodischen Abständen Hinweise. Als in SAP Solution Manager integriertes Werkzeug
die Systeme, sammelt und analysiert Daten und fasst die verfügt es außerdem über einen direkten Anschluss an das
Ergebnisse für den Kunden in einem Bericht zusammen. Dabei Change Management.

Interne und branchenspezifische Compliance-Vorschriften


lassen sich leichter einhalten, Schutzmechanismen imple-
mentieren, bereichs- und unternehmensübergreifende
Prozesse besser absichern.
•• Konfigurationsvalidierung: Die Konfigurationsvalidierung tigungen vorhanden sind oder ob bestimmte Sicherheits-
(Configuration Validation) ermöglicht Unternehmen, die hinweise auf den angeschlossenen Systemen auch tatsächlich
Sicherheitskonfiguration der Systemlandschaft kontinuierlich umgesetzt wurden.
zu überwachen. So können Nutzer beispielsweise die Werte
der Konfigurationselemente mit definierten, unternehmens- Auf Basis der per Konfigurationsvalidierung ermittelten Daten
spezifischen Sicherheitsstandards vergleichen und so eine stellt SAP Solution Manager Plug-ins im ebenfalls auf SAP
höhere Compliance der IT-Systeme sicherstellen. Darüber Solution Manager verfügbaren Management Dashboard bereit.
hinaus lassen sich mithilfe der Konfigurationsvalidierung Sie machen auf einen Blick ersichtlich, ob die Unternehmens-
weitere sicherheitsrelevante Eigenschaften kontrollieren, anwendungen den betrieblichen Sicherheitsanforderungen
zum Beispiel ob Nutzer mit ausgewählten kritischen Berech- entsprechen oder es möglicherweise Optimierungsbedarf gibt.

Die Klassifikation technischer Security Services von SAP AGS

Abgleich gegen Abgleich gegen eine kunden-


SAP-Empfehlungen spezifische Security Policy

Überblick – Security im Kundenspezifische Management


SAP EarlyWatch Alert Security Policy Dashboard

Kundenspez. SAP
Detail – Detail-Services
Security Baseline

•• SAP Security Optimization


•• Service Security Notes
Report (RSECNOTE)
Zielsystem Configuration Validation
•• System Recommendations
•• Security-Notes-Seite
auf dem SAP Service
Marketplace

Security-Services von SAP® Active Global Support 7


www.sap.de

SAP Deutschland AG & Co. KG


Hasso-Plattner-Ring 7
69190 Walldorf
T 0800/5343424*
F 0800/5343420*
E info.germany@sap.com
* gebührenfrei in Deutschland

Kostenloser Online-Newsletter
www.sap.de/im-dialog

RQ 17934 (12/06) © 2012 SAP AG. Alle Rechte vorbehalten.


SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign, SAP
BusinessObjects Explorer, StreamWork, SAP HANA und weitere im Text
erwähnte SAP-Produkte und ­Dienstleistungen sowie die entsprechenden
Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland
und anderen Ländern.

Business Objects und das Business-Objects-Logo, BusinessObjects,


Crystal Reports, Crystal Decisions, Web Intelligence, Xcelsius und andere
im Text erwähnte Business-Objects-Produkte und ­Dienstleistungen sowie
die entsprechenden Logos sind Marken oder eingetragene Marken der
Business Objects Software Ltd. Business Objects ist ein Unternehmen
der SAP AG.

Sybase und Adaptive Server, iAnywhere, Sybase 365, SQL Anywhere und
weitere im Text erwähnte Sybase-Produkte und -Dienstleistungen sowie
die entsprechenden Logos sind Marken oder eingetragene Marken der
Sybase Inc. Sybase ist ein Unternehmen der SAP AG.

Crossgate, m@gic EDDY, B2B 360°, B2B 360° Services sind eingetragene
Marken der Crossgate AG in Deutschland und anderen Ländern.
Crossgate ist ein Unternehmen der SAP AG.

Alle anderen Namen von Produkten und Dienstleistungen sind Marken


der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen
lediglich zu Informationszwecken. Produkte können länderspezifische
Unterschiede aufweisen.

In dieser Publikation enthaltene Informationen können ohne vorherige


Ankündigung geändert werden. Die vorliegenden Angaben werden
von SAP AG und ihren Konzernunternehmen („SAP-Konzern“)
bereitgestellt und dienen ausschließlich Informationszwecken. Der
SAP-Konzern übernimmt keinerlei Haftung oder Garantie für Fehler
oder Unvollständigkeiten in dieser Publikation. Der SAP-Konzern steht
lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die
in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen
ausdrücklich geregelt ist. Aus den in dieser Publikation enthaltenen
Informationen ergibt sich keine weiterführende Haftung.