SAP Security Recommendations

Januar 2012

Sicheres Cloud Computing mit SAP

Version 1.0
Sicheres Cloud Computing mit SAP

Inhalt

5 Physische Sicherheit

5 Netzwerksicherheit
6 Zugriffsicherheit

7 Compliance
Sicheres Cloud Computing mit SAP
Cloud-Computing ist der Zukunftstrend schlechthin: Immer
mehr Unternehmen nutzen das Angebot, Rechenleistungen,
Services und Geschäftssoftware ins Internet auszulagern.
Kein Wunder, schließlich ist Cloud Computing günstig, flexibel
und einfach zu handhaben. Das Konzept basiert auf der Idee,
Anwendungen bedarfsgerecht (on Demand) abzurufen –
Wachstum und strukturelle Veränderungen lassen sich so
wesentlich einfacher bewältigen.
Doch wie sicher sind derartige „On-Demand“-Modelle? Diese
Frage treibt Unternehmen zunehmend um. Denn wer sich für
Software as a Service (SaaS) entscheidet, gibt sensible Infor-
mationen und IT-Infrastrukturen in fremde Hände. Den siche-
ren Betrieb und Schutz übernimmt nicht das Unternehmen
selbst, sondern der Cloud-Anbieter. Umso wichtiger ist es,
dessen Sicherheits- und Datenschutzverfahren genau unter
die Lupe zu nehmen.
Die SAP AG weiß um die Sicherheitsbedenken der Unterneh-
men und nimmt sie ernst. Bei seinen SaaS-Angeboten steht
SAP daher gleichermaßen für betriebliche Effizienz, hochver-
Figure: Cloud Security
Governance
DR/BC Planning Compliance
Cloud Security
Identity and Access
Management Availability
Data Security
fügbare Systeme und sichere Daten. Der Betrieb im Rechen-
zentrum von SAP ist darauf ausgerichtet. Mit einer umfas­
senden Software-Suite wie SAP® Business ByDesign™ sowie
zahlreichen weiteren On Demand-Angeboten können Unter-
nehmen nicht nur zuverlässig ihre Kerngeschäftsprozesse
­abdecken, sie bekommen von SAP auch die komplette Server-
landschaft und Systemwartung.
In der abgesicherten Cloud, die von SAP betrieben wird und
ausschließlich SAP-Kunden zugänglich ist, hat der Schutz
der Softwarehersteller, die Unversehrtheit der aus­gelagerten
Unternehmensdaten und -Prozesse eine hohe Bedeutung.
Die weitreichenden Sicherheitsmaßnahmen nach neuesten
technischen Standards umfassen Vorkehrungen zur physischen
Sicherheit ebenso wie geschützte Netzwerke oder regelmäßige
Backup- und Recovery-Maßnahmen. Hinzu kommen definierte
Vorgaben hinsichtlich Compliance-Support, Integrität und
­Vertraulichkeit. Dem vom Gesetzgeber geforderten Datenschutz
wird durch unterschiedliche Vorkehrungen Rechnung getragen,
die von der Zutritts- und Zugriffskontrolle über getrennte Systeme
bis hin zu umfassenden Zugriffsdokumentationen reichen.

Physische Sicherheit
SAP betreibt On-Demand-Lösungen ausschließlich in zwei
eigenen Hochverfügbarkeitsrechenzentren in St. Leon Rot
(Deutschland) sowie in Newtown Square (Pennsylvania, USA).
Zudem hat SAP eine Vielzahl von Schutzmaßnahmen getroffen,
um beide Standorte vor unberechtigten Zutritten, Systemaus-
fällen, Cyberangriffen und Datenverlusten zu bewahren. So
­liegen Rechner und Datenspeicher beispielsweise in räumlich
getrennten und vor Feuer geschützten Bereichen. Die Speicher-
systeme sind zudem redundant ausgelegt. Die aktuellen Daten
werden täglich in einem zweiten Rechenzentrum gesichert und
lassen sich selbst im unwahrscheinlichen Falle eines Brandes
voll­ständig wiederherstellen. Eine ausfallsichere Stromversor-
gung sowie zahlreiche Dieselgeneratoren gewährleisten, dass
es zu keinen Systemausfällen kommt, während die redundant
aus­gelegten Datenleitungen darauf ausgerichtet sind, für eine
hohe Verfügbarkeit zu sorgen. Gleichzeitig beschränkt ein
­biometrisches Sicherheitssystem den Zugang auf befugte
­Mitarbeiter. Diese haben ausschließlich Zutritt zu denjenigen
Bereichen des Rechenzentrums, die sie für ihre Arbeit auch
­tatsächlich betreten müssen.
Die SAP AG schützt ihre On Demand-Software mit
branchenweit bewährten Sicherheitsverfahren
(„Best Practices“), einer mehrstufigen hard- und
softwarebasierten Sicherheits­architektur sowie
modernsten kryptografischen Methoden.
Sicheres Cloud Computing mit SAP
SAP Business ByDesign deckt nicht nur
die Anforderungen der Unternehmen
an eine integrierte ERP-Mietlösung ab,
sondern schafft auch ein Höchstmaß
an Sicherheit, Verfügbarkeit und
Datenschutz.
Netzwerksicherheit
Erfahrungsgemäß sorgen sich Unternehmen bei On-Demand-
Angeboten verstärkt um Cyberkriminalität, Hackerangriffe,
Datendiebstahl und Compliance. Auch viele SAP-Kunden
machen sich Gedanken um die Sicherheit ihrer Daten und Ge-
schäftsprozesse. Schließlich lässt sich On Demand-Software
browserbasiert über das Internet nutzen, wahlweise sogar via
Tablet-PC oder Smartphone. Nicht zuletzt deshalb schützt SAP
ihre Private Cloud mit branchenweit bewährten Sicherheits­
verfahren („Best Practices“) und modernsten kryptografischen
Standards, streng isolierten Kundendaten sowie dedizierten,
sicheren Verbindungen in das SAP-Rechenzentrum.
Die zugrunde liegende Netzwerkarchitektur setzt sich aus ver-
schiedenen Technologien zusammen und sorgt dafür, dass nur
autorisierte Personen auf die Anwendungen zugreifen können.
Angriffserkennungs- und Virenschutzsysteme sowie unter-
schiedliche Firewalls minimieren die Gefahr von unerwünsch-
ten Zugriffen oder Cyberangriffen. Darüber hinaus überprüfen
unabhängige Experten regelmäßig die Sicherheitsvorkehrun-
gen und sorgen dafür, dass potenzielle Schwachstellen frühzei-
tig erkannt und geschlossen werden können.
5
Zugriffsicherheit
Für einen einfachen, aber sicheren Datenzugriff stellt SAP eine
mehrstufige hard- und softwarebasierte Sicherheitsarchitektur
bereit. So erfolgt beispielsweise der Zugriff auf das jeweilige
Unternehmenssystem über eine eindeutige kundenspezifische
URL. Gleichzeitigt sichert der TLS/SSL-Internetstandard
(Transport Layer Security/Secure Socket Layer) die Kommuni-
kationskanäle durch eine gegenseitige Authentifizierung. Dabei
kann sich der Kunde wahlweise über eine kombinierte Passwort-/
Nutzerkennung oder ein Client-Zertifikat (X.509) authentifi­
zieren. Eine Reverse-Proxy-Komponente filtert und prüft im
SAP-Rechenzentrum die Rechtmäßigkeit der Zugriffe.
Alle On-Demand-Lösungen von SAP enthalten eine vorkonfigu-
rierte Kennwortrichtlinie auf Basis des konzernweiten Produkt-
sicherheitsstandards. Bei Bedarf kann der Kunde diese aber
auch individuell ändern und so die Sicherheit seiner Unterneh-
mensprozesse und Daten weiter verbessern. Alternativ bietet
SAP seinen Kunden die Möglichkeit, ein Client-Zertifikat zur
Authentifizierung zu verwenden. Erst wenn diese erfolgreich ist,
kann der Benutzer zum Beispiel auf SAP Business ByDesign
zugreifen. Anonyme Zugriffe erkennt das System sofort und
blockt diese ab.
Zudem lassen sich den einzelnen Benutzern unterschiedliche
Zugriffsrechte zuordnen. Auf welche Daten ein Anwender
zugreifen kann, hängt dementsprechend von dem ihm zuge-
wiesenen Benutzertyp ab. So können beispielsweise normale
Anwender nicht ungehindert auf die On-Demand-Software
zugreifen, die Konfiguration ändern oder Berechtigungen defi-
nieren. Stattdessen lassen sich ihre Zugriffsrechte über so
genannte Work Center gezielt beschränken und administrieren.
Die Work Center bündeln inhaltlich zusammenhängende
­Funktionen. Mitarbeiter sollen ausschließlich die Daten und
Funktionen nutzen und einsehen können, die sie für ihre Arbeit
benötigen. Der Vorteil dieser Zugriffskontrollen liegt auf der
Hand: Sie schränken den Wirkungskreis der einzelnen Bereiche
ein und reduzieren so das Risiko durch gewollte oder ungewollte
Aktionen einzelner Mitarbeiter. Fehler oder Unregelmäßigkeiten
im täglichen Geschäftsbetrieb sind besser erkennbar.
Auch die Zugriffsrechte von SAP sind klar definiert: Der Support
kann nur zu Wartungszwecken auf die produktive Umgebung
zugreifen. Ohne einen entsprechenden Auftrag mit zugehöriger
Ticketnummer ist eine Authentifizierung nicht möglich, das
System blockiert den Zugriff. Im SAP-Rechenzentrum werden
zudem sämtliche Remote-Anmeldungen beobachtet und doku-
mentiert. So lässt sich jede Systemänderung nachverfolgen
und dem jeweiligen Verursacher zuordnen.
Compliance
Gleichzeitig erleichtert das Software as a Service-Angebot
von SAP, gesetzliche Compliance-Vorgaben einzuhalten.
Es ist gemäß der Statement-on-Auditing-Standards (SAS)
ISAE3402, bzw. ISO27001 zertifiziert. Diese Zertifizierungen
belegen die Wirksamkeit der etablierten Sicherheits- und
Kontrollmaßnahmen.
Insgesamt deckt On-Demand-Software also nicht nur die
Anforderungen der Unternehmen an effiziente und flexible
Prozesse ab, sondern ist auf darauf ausgerichtet, ein hohes Maß
an Sicherheit, Verfügbarkeit und Datenschutz abzudecken.
­Dadurch werden die Sicherheitsbedenken vieler On-Demand-
Kritiker entkräftet. Denn gerade mittelständische und kleine
Unternehmen verfügen nur selten über die Ressourcen und das
Know-how, um ihre Unternehmens-IT ausreichend zu schützen.

Und noch etwas trägt dazu bei, rechtliche Vorgaben zuverlässig

einzuhalten: Die On Demand-Lösungen von SAP verzahnen
sämtliche Unternehmensprozesse. Das bedeutet, Belege und
Produkte lassen sich eindeutig und zuverlässig identifizieren
und zurückverfolgen – ein unverzichtbarer Vorteil zur Qualitäts­
sicherung und Prozesstransparenz. Bilanzrelevante Daten sind
nach der Eingabe im System festgeschrieben und können nicht
mehr gelöscht werden, eventuell erforderliche Änderungen
an den Finanzdaten werden zuverlässig protokolliert. Last
but not least enthält die Dokumentation auch ausführliche
­Informationen zur Datenverarbeitung und -speicherung.

Aus Sicherheitssicht sollten vor allem kleine und mittel­

ständische Betriebe besser professionelle Dienstleister in
Anspruch nehmen, anstatt zu versuchen, die Sicherheit für
eine bestimmte IT-Plattform selbst zu verantworten.

Sicheres Cloud Computing mit SAP 7

www.sap.de

SAP Deutschland AG & Co. KG

Hasso-Plattner-Ring 7
69190 Walldorf
T 0800/5343424*
F 0800/5343420*
E info.germany@sap.com
* gebührenfrei in Deutschland

Kostenloser Online-Newsletter
www.sap.de/im-dialog

RQ 17885 (12/01) © 2012 SAP AG. Alle Rechte vorbehalten.

SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign,
SAP BusinessObjects Explorer, StreamWork, SAP HANA und weitere
im Text erwähnte SAP-Produkte und ­Dienstleistungen sowie die
entsprechenden Logos sind Marken oder eingetragene Marken der
SAP AG in Deutschland und anderen Ländern.

Business Objects und das Business-Objects-Logo, BusinessObjects,

Crystal Reports, Crystal Decisions, Web Intelligence, Xcelsius und andere
im Text erwähnte Business-Objects-Produkte und ­Dienstleistungen sowie
die entsprechenden Logos sind Marken oder eingetragene Marken der
Business Objects Software Ltd. Business Objects ist ein Unternehmen
der SAP AG.

Sybase und Adaptive Server, iAnywhere, Sybase 365, SQL Anywhere und
weitere im Text erwähnte Sybase-Produkte und -Dienstleistungen sowie
die entsprechenden Logos sind Marken oder eingetragene Marken der
Sybase Inc. Sybase ist ein Unter­nehmen der SAP AG.

Alle anderen Namen von Produkten und Dienstleistungen sind Marken

der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen
lediglich zu Informationszwecken. Produkte können länderspezifische
Unterschiede aufweisen.

In dieser Publikation enthaltene Informationen können ohne vorherige

Ankündigung geändert werden. Die vorliegenden Angaben werden
von SAP AG und ihren Konzernunternehmen („SAP-Konzern“)
bereitgestellt und dienen ausschließlich Informationszwecken. Der
SAP-Konzern übernimmt keinerlei Haftung oder Garantie für Fehler
oder Unvollständigkeiten in dieser Publikation. Der SAP-Konzern steht
lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die
in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen
ausdrücklich geregelt ist. Aus den in dieser Publikation enthaltenen
Informationen ergibt sich keine weiterführende Haftung.