Veröffentlicht am von Werth IT

BSI IT-Grundschutz SAP-ERP-SYSTEM Baustein

Im Februar 2019 hat das BSI die Aktualisierung seines IT-Grundschutzkompendiums veröffentlicht. Im Rahmen des IT-Grundschutz werden Anforderungen für den sicheren Betrieb von SAP-ERP-Systemen genannt.

Zielstellung des Bausteins

Im Baustein selbst sind die Ziele und Abgrenzungen wie folgt beschrieben:

Der Baustein beschreibt, welche Gefährdungen für SAP-ERP-Systeme zu beachten sind und wie diese Systeme sicher installiert, konfiguriert und betrieben werden können. Er richtet sich an Informationssicherheitsbeauftragte und Administratoren, die dafür verantwortlich sind, SAP-ERP-Systeme zu planen und umzusetzen.

Der Baustein beschränkt sich auf die Kerninstallation eines SAP-ERP-Systems und fokussiert die spezifischen Merkmale des darunterliegenden SAP-NetWeaver-Applikationsservers.

APP.4.2: SAP-ERP-System

Besondere Bedrohungen

Der Baustein nennt vier wesentliche Bedrohungen für die Sicherheit von SAP-ERP-Systemen.

Fehlende Berücksichtigung der Sicherheitsempfehlungen von SAP

Eine nichtbeachtung der von SAP Empfohlenen Sicherheitseinstellungen und -maßnahmen kann zu schweren Sichereheitsproblemen führen. Das gesamte System kann angreifbar werden.

Fehlendes oder nicht zeitnahes Einspielen von Patches und SAP-Sicherheitshinweisen

Patches schließen bekannt gewordene Schwachstellen. Bleibt ein zeitnahes einspielen aus, können offene bekannte Schwachstellen für unautorisierten Systemzugriff oder -ausfall missbraucht werden.

Mangelnde Planung, Umsetzung und Dokumentation eines SAP-Berechtigungskonzeptes

Ohne ein durchdachtes Berechtigungskonzept erhalten Benutzer oftmals mehr Berechtigungen als notwendig. Dies ermöglicht vorsätzliche Manipulation oder Sabotage. Eine fehlende Dokumentation verhindert die Nachvollziehbarkeit und Pfelge. Als Folge könnten ggfs. ausgeschiedene Mitarbeiter weiterhin auf die Systeme zugreifen.

Fehlende SAP-Dokumentation und fehlende Notfallkonzepte

Fehlt die Dokumentation wie und mit welcher Konfiguration das System aufgebaut wurde kann dies zu Verzögerungen bei der Wiederanlaufzeit im Notfall führen. Ebenso besteht die Gefahr, dass im Notfall keine detaillierte Beschreibung existiert, wie die Verantwortlichen vorzugehen haben.

Anforderungen

Der Baustein listet mehr als 30 einzelne Anforderungen an den sicheren Betrieb eines SAP-ERP-Systems auf. Diese werden im Folgenden aufgeführt mit einer kurzen Angabe der wesentlichen Punkte.

  1. Sichere Konfiguration des SAP-ABAP-Stacks

    Die Passwortsicherheit, Authentisierung und Verschlüsselung, Systemänderbarkeit sowie die Betriebssystemkommandos sind sicher zu konfigurieren. Die Mandantenkonfiguration und das IMG-Customizing müssen durchgeführt werden.

  2. Sichere Konfiguration des SAP-JAVA-Stacks

    Deaktivierung nicht benötigter Dienste, Entfernung von Standardinhalten und Schutz der HTTP-Dienste sowie Zugriffsbeschränkung der Administrativenschnittstellen.

  3. Netzsicherheit

    Konzeption und Abstimmung mit IT-Betrieb, Firewallbetrieb und SAP-Betrieb. GGFs. Abschottung der SAP-Systeme hinter SAP Router und SAP Web Dispatcher.

  4. Absicherung der ausgelieferten SAP-Standardbenutzer-Kennungen

    Kennwortänderung der SAP-Standardbenutzer. Vermeidung bestimmter SAP-Standardbenutzer für RFC-Verbindungen und Hintergrund-Jobs.

  5. Konfiguration und Absicherung der SAP-Benutzerverwaltung

    Benutzer anlegen, löschen, entsperren oder ändern sowie Passwörter zurücksetzen und Rollen oder Profile zuordnen darf nur durch Benutzeradministratoren erfolgen.

  6. Erstellung und Umsetzung eines Benutzer- und Berechtigungskonzeptes [Leiter IT, Entwickler,
    Fachabteilung]

    Beachtung von Identitätsprinzip, Minimalprinzip, Stellenprinzip, Funktionstrennungsprinzip. Nutzung eine rollenbasierten Berechtigungskonzeptes. Wartung und Pflege der Rollen im Entwicklungssystem und nur über Transporte Änderungen im Produktivsystem einspielen.

    Beachtung der gesetzlichen Vorgaben aus dem GoB und HGB.

  7. Absicherung der SAP-Datenbanken

    Zugriffsschutz und Zugriff nur mit SAP-Tools. Änderung von Standardzugangsdaten.

  8. Absicherung der SAP-RFC-Schnittstelle

    Härtung der RFC-Verbindungen, RFC-Berechtigungen und des RFC-Gateways. Keine Verbindungen mit hinterlegtem Passwort von niedrig priveligierten System zu höher priviligierten Systemen. Pflege der ACLs des RFC-Gateways.

  9. Absicherung und Überwachung des Message-Servers

    ACLs definieren. „Alive“ Überwachung. Trennung interner und externer Kommunikation.

  10. Regelmäßige Implementierung von Sicherheitskorrekturen [Fachabteilung]

    Zeitnahes einspielen neuer Sicherheitskorrekturen. Dokumentation der Gründe, wenn kein Einspielen erfolgt. Regelmäßige Systemaktualisierung.

  11. Sichere Installation eines SAP-ERP-Systems

    SAP-Sicherheitsleitfaden beachten und Betriebssystem absichern.

  12. SAP-Berechtigungsentwicklung [Leiter IT, Entwickler, Fachabteilung]

    Fachliche Vorgaben sind für die technische Ausprägung der Berechtigungen zu nutzen. Eigenentwicklungen sind über die Transaktion SU24 zu pflegen. Gesamtberechtigungen (*) oder Intervalle in Objektausprägungen sind zu vermeiden.

  13. SAP-Passwortsicherheit

    Härtung der Konfiguration der Profilparameter (login/*), Customizing-Schalter und Sicherheitsrichtlinien. Nutzung eines sicheren Passworthashes sowie Zugriffsschutz der Tabellen mit Hashwerten.

  14. Identifizierung kritischer SAP-Berechtigungen [Fachabteilung]

    Restriktive Vergabe von kritischen Berechtigungen und Rollen. Regelmäßige IDentifizierung von Benutzern mit kritischen Berechtigungen. SAP_ALL, SAP_NEW, S_DEVELOP sind nicht in einem Produktivsystem zu vergeben.

  15. Sichere Konfiguration des SAP-Router

    Ergänzung der Firewallarchitektur mit dem SAP-Router.

  16. Umsetzung von Sicherheitsanforderungen für das Betriebssystem Windows

    Absicherung der <sid>adm und SAPService<sid> Benutzer. Keine Installation von SAP auf einem Windows-Domain-Controller. Sperrung des Benutzers <db><sid>.

  17. Umsetzung von Sicherheitsanforderungen für das Betriebssystem Unix

    Zugriffsberechtigung auf SAP-ERP-Systemverzeichnisse setzen. Kennwortänderung für <sid>adm und <db><sid>. Sperrung des Benutzers <db><sid>.

  18. Abschaltung von unsicherer Kommunikation

    Nutzung von SNC sowie verschlüsselter Kommunikation mit der Datenbank, falls diese auf einem anderen System betrieben wird. Nutzung von TLS.

  19. Definition der Sicherheitsrichtlinien für Benutzer

    Verwendung von Sicherheitsrichtlinien, um für kritische Benutzer besonders starke Passwortregeln zu hinterlegen.

  20. Sichere SAP-GUI-Einstellungen

    Regelmäßige Aktualisierung und Nutzung von SAP GUI ACLs.

  21. Konfiguration des Security Audit Logs

    Geeignete Konfiguration der Filtereinstellungen zur Protokollierung von allen sicherheitskritischen Ereignissen. Härtung der Profilparameter.

  22. Schutz des Spools im SAP-ERP-System [Entwickler]

    Zugriffsschutz auf Daten aus Spool und Druck sowie TemSe. Regelmäßige Überprüfung der Vergabe der entsprechenden Berechtigungen.

  23. Schutz der SAP-Hintergrundverarbeitung [Entwickler]

    Zugriffschutz der SAP-Hintergrundverarbeitung. Nutzung verschiedener Benutzer für Batch-Jobs je nach Funktionsbereich.

  24. Aktivierung und Absicherung des Internet Communication Frameworks (ICF)

    Nur notwendige Dienste sind zu aktivieren. Restriktive Vergabe der ICF-Berechtigungen. Verschlüsselung der Kommunikation.

  25. Sichere Konfiguration des SAP Web Dispatchers

    Keine direkte Anbindung an das Internet. Regelmäßige Aktualisierung.

  26. Schutz des kundeneigenen Codes im SAP-ERP-System

    Vermeidung sicherheitskritischer ABAP Codestellen. Regelmäßige Prüfung. Siehe APP.4.6 SAP ABAP-Programmierung.

  27. Audit des SAP-ERP-Systems [Fachabteilung]

    Regelmäßige Auditierung der SAP-Systeme, damit sichergestellt ist, dass Richtlinien und Vorgaben eingehalten werden. Auswertung und Dokumentation der Audits.

  28. Erstellung eines Notfallkonzeptes [Notfallbeauftragter]

    Detektion und Reaktion auf Vorfälle. Datensicherungs- und Wiederherstellungskonzept. Notfalladministration. Regelmäßige Aktualisierung des Konzeptes.

  29. Einrichten eines Notfallbenutzers

    Erstellung von Notfallbenutzern. Starke Kontrolle und Dokumentation sowie Protokollierung.

  30. Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen

    Ständige Überwachung der Sicherheitseinstellungen sowie der Systemaktualität.

  31. Konfiguration von SAP Single-Sign-On

    Zugriff über Single-Sign-On auf die SAP-Systeme.

Erhöhter Schutzbedarf

Für Systeme mit erhöhtem Schutzbedarf gibt es eine zusätzliche Anforderung.

Echtzeiterfassung und Alarmierung von irregulären Vorgängen (CIA)

Die wichtigsten Sicherheitslogs (Security Audit Log, System Log,…) sind kontinuierlich zu überwachen. Verdächtige Ereignisse sollten automatisiert gemeldet werden. Geschulte Mitarbeiter zur Bewertung notwendig.

Umsetzung der Anforderungen mit werthAUDITOR

Die hohe Anzahl der Anforderungen kombiniert mit der Forderung eines kontinuierlichen Monitorings ist manuell nicht leistbar. Es ist ein Sicherheitswerkzeug wie der werthAUDITOR erforderlich.

Der werthAUDITOR besitzt eine eigene Richlinie zur Prüfung der Anforderungen aus den BSI SAP-ERP-Bausteinen. Mehr als 700 individuelle Prüfungen (Stand Feb. 2019) prüfen die BSI-Vorgaben. Optional können erkannte Abweichungen automatisiert korrigiert werden. Das geforderte kontiuierliche Monitoring wird ebenfalls geboten. Weitherin können auch die Anforderungen aus dem erhöhten Schutzbedarf erfüllt werden und eine Meldung der verdächtigen Ereignisse ist möglich.