Sie sind auf Seite 1von 8

SAP Security Recommendations

Januar 2012

Sicheres Cloud Computing mit SAP


Version 1.0
Sicheres Cloud Computing mit SAP

Inhalt

5 Physische Sicherheit

5 Netzwerksicherheit
6 Zugriffsicherheit

7 Compliance
Sicheres Cloud Computing mit SAP

Cloud-Computing ist der Zukunftstrend schlechthin: Immer fügbare Systeme und sichere Daten. Der Betrieb im Rechen-
mehr Unternehmen nutzen das Angebot, Rechenleistungen, zentrum von SAP ist darauf ausgerichtet. Mit einer umfas­
Services und Geschäftssoftware ins Internet auszulagern. senden Software-Suite wie SAP® Business ByDesign™ sowie
Kein Wunder, schließlich ist Cloud Computing günstig, flexibel zahlreichen weiteren On Demand-Angeboten können Unter-
und einfach zu handhaben. Das Konzept basiert auf der Idee, nehmen nicht nur zuverlässig ihre Kerngeschäftsprozesse
Anwendungen bedarfsgerecht (on Demand) abzurufen – ­abdecken, sie bekommen von SAP auch die komplette Server-
Wachstum und strukturelle Veränderungen lassen sich so landschaft und Systemwartung.
wesentlich einfacher bewältigen.
In der abgesicherten Cloud, die von SAP betrieben wird und
Doch wie sicher sind derartige „On-Demand“-Modelle? Diese ausschließlich SAP-Kunden zugänglich ist, hat der Schutz
Frage treibt Unternehmen zunehmend um. Denn wer sich für der Softwarehersteller, die Unversehrtheit der aus­gelagerten
Software as a Service (SaaS) entscheidet, gibt sensible Infor- Unternehmensdaten und -Prozesse eine hohe Bedeutung.
mationen und IT-Infrastrukturen in fremde Hände. Den siche- Die weitreichenden Sicherheitsmaßnahmen nach neuesten
ren Betrieb und Schutz übernimmt nicht das Unternehmen technischen Standards umfassen Vorkehrungen zur physischen
selbst, sondern der Cloud-Anbieter. Umso wichtiger ist es, Sicherheit ebenso wie geschützte Netzwerke oder regelmäßige
dessen Sicherheits- und Datenschutzverfahren genau unter Backup- und Recovery-Maßnahmen. Hinzu kommen definierte
die Lupe zu nehmen. Vorgaben hinsichtlich Compliance-Support, Integrität und
­Vertraulichkeit. Dem vom Gesetzgeber geforderten Datenschutz
Die SAP AG weiß um die Sicherheitsbedenken der Unterneh- wird durch unterschiedliche Vorkehrungen Rechnung getragen,
men und nimmt sie ernst. Bei seinen SaaS-Angeboten steht die von der Zutritts- und Zugriffskontrolle über getrennte Systeme
SAP daher gleichermaßen für betriebliche Effizienz, hochver- bis hin zu umfassenden Zugriffsdokumentationen reichen.

Figure: Cloud Security

Governance

DR/BC Planning Compliance

Cloud Security

Identity and Access


Management Availability

Data Security
SAP Business ByDesign deckt nicht nur
die Anforderungen der Unternehmen
an eine integrierte ERP-Mietlösung ab,
sondern schafft auch ein Höchstmaß
an Sicherheit, Verfügbarkeit und
Datenschutz.

Physische Sicherheit Netzwerksicherheit

SAP betreibt On-Demand-Lösungen ausschließlich in zwei Erfahrungsgemäß sorgen sich Unternehmen bei On-Demand-
eigenen Hochverfügbarkeitsrechenzentren in St. Leon Rot Angeboten verstärkt um Cyberkriminalität, Hackerangriffe,
(Deutschland) sowie in Newtown Square (Pennsylvania, USA). Datendiebstahl und Compliance. Auch viele SAP-Kunden
Zudem hat SAP eine Vielzahl von Schutzmaßnahmen getroffen, machen sich Gedanken um die Sicherheit ihrer Daten und Ge-
um beide Standorte vor unberechtigten Zutritten, Systemaus- schäftsprozesse. Schließlich lässt sich On Demand-Software
fällen, Cyberangriffen und Datenverlusten zu bewahren. So browserbasiert über das Internet nutzen, wahlweise sogar via
­liegen Rechner und Datenspeicher beispielsweise in räumlich Tablet-PC oder Smartphone. Nicht zuletzt deshalb schützt SAP
getrennten und vor Feuer geschützten Bereichen. Die Speicher- ihre Private Cloud mit branchenweit bewährten Sicherheits­
systeme sind zudem redundant ausgelegt. Die aktuellen Daten verfahren („Best Practices“) und modernsten kryptografischen
werden täglich in einem zweiten Rechenzentrum gesichert und Standards, streng isolierten Kundendaten sowie dedizierten,
lassen sich selbst im unwahrscheinlichen Falle eines Brandes sicheren Verbindungen in das SAP-Rechenzentrum.
voll­ständig wiederherstellen. Eine ausfallsichere Stromversor-
gung sowie zahlreiche Dieselgeneratoren gewährleisten, dass Die zugrunde liegende Netzwerkarchitektur setzt sich aus ver-
es zu keinen Systemausfällen kommt, während die redundant schiedenen Technologien zusammen und sorgt dafür, dass nur
aus­gelegten Datenleitungen darauf ausgerichtet sind, für eine autorisierte Personen auf die Anwendungen zugreifen können.
hohe Verfügbarkeit zu sorgen. Gleichzeitig beschränkt ein Angriffserkennungs- und Virenschutzsysteme sowie unter-
­biometrisches Sicherheitssystem den Zugang auf befugte schiedliche Firewalls minimieren die Gefahr von unerwünsch-
­Mitarbeiter. Diese haben ausschließlich Zutritt zu denjenigen ten Zugriffen oder Cyberangriffen. Darüber hinaus überprüfen
Bereichen des Rechenzentrums, die sie für ihre Arbeit auch unabhängige Experten regelmäßig die Sicherheitsvorkehrun-
­tatsächlich betreten müssen. gen und sorgen dafür, dass potenzielle Schwachstellen frühzei-
tig erkannt und geschlossen werden können.

Die SAP AG schützt ihre On Demand-Software mit


branchenweit bewährten Sicherheitsverfahren
(„Best Practices“), einer mehrstufigen hard- und
softwarebasierten Sicherheits­architektur sowie
modernsten kryptografischen Methoden.

Sicheres Cloud Computing mit SAP 5


Zugriffsicherheit Zudem lassen sich den einzelnen Benutzern unterschiedliche
Zugriffsrechte zuordnen. Auf welche Daten ein Anwender
Für einen einfachen, aber sicheren Datenzugriff stellt SAP eine zugreifen kann, hängt dementsprechend von dem ihm zuge-
mehrstufige hard- und softwarebasierte Sicherheitsarchitektur wiesenen Benutzertyp ab. So können beispielsweise normale
bereit. So erfolgt beispielsweise der Zugriff auf das jeweilige Anwender nicht ungehindert auf die On-Demand-Software
Unternehmenssystem über eine eindeutige kundenspezifische zugreifen, die Konfiguration ändern oder Berechtigungen defi-
URL. Gleichzeitigt sichert der TLS/SSL-Internetstandard nieren. Stattdessen lassen sich ihre Zugriffsrechte über so
(Transport Layer Security/Secure Socket Layer) die Kommuni- genannte Work Center gezielt beschränken und administrieren.
kationskanäle durch eine gegenseitige Authentifizierung. Dabei
kann sich der Kunde wahlweise über eine kombinierte Passwort-/ Die Work Center bündeln inhaltlich zusammenhängende
Nutzerkennung oder ein Client-Zertifikat (X.509) authentifi­ ­Funktionen. Mitarbeiter sollen ausschließlich die Daten und
zieren. Eine Reverse-Proxy-Komponente filtert und prüft im Funktionen nutzen und einsehen können, die sie für ihre Arbeit
SAP-Rechenzentrum die Rechtmäßigkeit der Zugriffe. benötigen. Der Vorteil dieser Zugriffskontrollen liegt auf der
Hand: Sie schränken den Wirkungskreis der einzelnen Bereiche
Alle On-Demand-Lösungen von SAP enthalten eine vorkonfigu- ein und reduzieren so das Risiko durch gewollte oder ungewollte
rierte Kennwortrichtlinie auf Basis des konzernweiten Produkt- Aktionen einzelner Mitarbeiter. Fehler oder Unregelmäßigkeiten
sicherheitsstandards. Bei Bedarf kann der Kunde diese aber im täglichen Geschäftsbetrieb sind besser erkennbar.
auch individuell ändern und so die Sicherheit seiner Unterneh-
mensprozesse und Daten weiter verbessern. Alternativ bietet Auch die Zugriffsrechte von SAP sind klar definiert: Der Support
SAP seinen Kunden die Möglichkeit, ein Client-Zertifikat zur kann nur zu Wartungszwecken auf die produktive Umgebung
Authentifizierung zu verwenden. Erst wenn diese erfolgreich ist, zugreifen. Ohne einen entsprechenden Auftrag mit zugehöriger
kann der Benutzer zum Beispiel auf SAP Business ByDesign Ticketnummer ist eine Authentifizierung nicht möglich, das
zugreifen. Anonyme Zugriffe erkennt das System sofort und System blockiert den Zugriff. Im SAP-Rechenzentrum werden
blockt diese ab. zudem sämtliche Remote-Anmeldungen beobachtet und doku-
mentiert. So lässt sich jede Systemänderung nachverfolgen
und dem jeweiligen Verursacher zuordnen.
Compliance Insgesamt deckt On-Demand-Software also nicht nur die
Anforderungen der Unternehmen an effiziente und flexible
Gleichzeitig erleichtert das Software as a Service-Angebot Prozesse ab, sondern ist auf darauf ausgerichtet, ein hohes Maß
von SAP, gesetzliche Compliance-Vorgaben einzuhalten. an Sicherheit, Verfügbarkeit und Datenschutz abzudecken.
Es ist gemäß der Statement-on-Auditing-Standards (SAS) ­Dadurch werden die Sicherheitsbedenken vieler On-Demand-
ISAE3402, bzw. ISO27001 zertifiziert. Diese Zertifizierungen Kritiker entkräftet. Denn gerade mittelständische und kleine
belegen die Wirksamkeit der etablierten Sicherheits- und Unternehmen verfügen nur selten über die Ressourcen und das
Kontrollmaßnahmen. Know-how, um ihre Unternehmens-IT ausreichend zu schützen.

Und noch etwas trägt dazu bei, rechtliche Vorgaben zuverlässig


einzuhalten: Die On Demand-Lösungen von SAP verzahnen
sämtliche Unternehmensprozesse. Das bedeutet, Belege und
Produkte lassen sich eindeutig und zuverlässig identifizieren
und zurückverfolgen – ein unverzichtbarer Vorteil zur Qualitäts­
sicherung und Prozesstransparenz. Bilanzrelevante Daten sind
nach der Eingabe im System festgeschrieben und können nicht
mehr gelöscht werden, eventuell erforderliche Änderungen
an den Finanzdaten werden zuverlässig protokolliert. Last
but not least enthält die Dokumentation auch ausführliche
­Informationen zur Datenverarbeitung und -speicherung.

Aus Sicherheitssicht sollten vor allem kleine und mittel­


ständische Betriebe besser professionelle Dienstleister in
Anspruch nehmen, anstatt zu versuchen, die Sicherheit für
eine bestimmte IT-Plattform selbst zu verantworten.

Sicheres Cloud Computing mit SAP 7


www.sap.de

SAP Deutschland AG & Co. KG


Hasso-Plattner-Ring 7
69190 Walldorf
T 0800/5343424*
F 0800/5343420*
E info.germany@sap.com
* gebührenfrei in Deutschland

Kostenloser Online-Newsletter
www.sap.de/im-dialog

RQ 17885 (12/01) © 2012 SAP AG. Alle Rechte vorbehalten.


SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign,
SAP BusinessObjects Explorer, StreamWork, SAP HANA und weitere
im Text erwähnte SAP-Produkte und ­Dienstleistungen sowie die
entsprechenden Logos sind Marken oder eingetragene Marken der
SAP AG in Deutschland und anderen Ländern.

Business Objects und das Business-Objects-Logo, BusinessObjects,


Crystal Reports, Crystal Decisions, Web Intelligence, Xcelsius und andere
im Text erwähnte Business-Objects-Produkte und ­Dienstleistungen sowie
die entsprechenden Logos sind Marken oder eingetragene Marken der
Business Objects Software Ltd. Business Objects ist ein Unternehmen
der SAP AG.

Sybase und Adaptive Server, iAnywhere, Sybase 365, SQL Anywhere und
weitere im Text erwähnte Sybase-Produkte und -Dienstleistungen sowie
die entsprechenden Logos sind Marken oder eingetragene Marken der
Sybase Inc. Sybase ist ein Unter­nehmen der SAP AG.

Alle anderen Namen von Produkten und Dienstleistungen sind Marken


der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen
lediglich zu Informationszwecken. Produkte können länderspezifische
Unterschiede aufweisen.

In dieser Publikation enthaltene Informationen können ohne vorherige


Ankündigung geändert werden. Die vorliegenden Angaben werden
von SAP AG und ihren Konzernunternehmen („SAP-Konzern“)
bereitgestellt und dienen ausschließlich Informationszwecken. Der
SAP-Konzern übernimmt keinerlei Haftung oder Garantie für Fehler
oder Unvollständigkeiten in dieser Publikation. Der SAP-Konzern steht
lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die
in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen
ausdrücklich geregelt ist. Aus den in dieser Publikation enthaltenen
Informationen ergibt sich keine weiterführende Haftung.