Sicherheit von SAP in Bezug auf neue Technologien

Weitere Magazine

Empfehlungen

Info

Sicherheit von SAP in Bezug auf neue Technologien Ziel bei einer Absicherung ist, welches ein angestrebter Sollzustand ist und auch welche Art von Gefahren damit reagiert werden kann. Eine allgemein akzeptierte Definition 5 der IT-Sicherheit, grenzt Sicherheit als einen Zustand ein, in dem keine Einbrüche in das System auftreten keine Unterbrechungen auftreten und kein Verlust von Daten auftreten Vertraulichkeit gewährleistet ist Authentizität gewährleistet ist IT-Systeme, die dies erfüllen sollen, müssen daher folgende Eigenschaften aufweisen: Verlässlichkeit von Systemen und Netzwerken Verfügbarkeit von Systemen und Daten Vertraulichkeit von Daten Integrität von Prozessen, Aktivitäten und Prozessen Zuordenbarkeit von Aktionen zu Personen Nachvollziehbarkeit von Aktionen Authentizität von Daten Es gibt inzwischen einige Standards, die sich auch mit IT-Sicherheit beschäftigen, wie z.B.COBIT, COSO oder das IT-Grundschutzhandbuch des BSI. Diese sollen es erleichtern, verschiedene Sicherheitsniveaus in der IT- Sicherheit im Allgemeinen zu erreichen. Neben diesen Standards werden vor allem Anforderungen für Compliance immer bedeutender, so dass sich hauptsächlich große Unternehmen um verschiedene Aspekte der Sicherheit kümmern müssen und diese zu einem ganzheitlichen Konzept zu vereinen, um die Anforderungen von z.B. SOX, Basel II oder PCI zu erfüllen. So wurden und werden auch für SAP-Installationen Sicherheitsüberprüfungen durchgeführt, doch unterscheiden sich diese fundamental von der Motivation, die dieser Diplomarbeit zugrunde liegt. Bisherige Sicherheitsüberprüfungen beruhen meist auf Compliance- Anforderungen, für deren Erfüllung gänzlich andere Faktoren relevant sind als bei der Prüfung im Rahmen dieser Diplomarbeit, die sich auf eine praktische Herangehensweise aus den Erfahrungen mit klassischen Webapplikationen stützt. 5 Grundschutzhandbuch Bundesamt für Sicherheit in der Informationstechnik, Baustein 04 Damian Schlager Seite 10
Sicherheit von SAP in Bezug auf neue Technologien Im Folgenden sollen verschiedene Aspekte aufgegriffen werden, die für die Sicherheit von Webapplikationen und Webapplikationen auf Basis von SAP besonders relevant sind und größtenteils durch Erfahrungen und Gespräche des Verfassers mit SAP-Beratern, Administratoren oder Anwendern erstellt wurden. Diese Punkte werden dann in diesem Zusammenhang konkreter beschrieben und im Bezug auf Webapplikationen und Webapplikationen auf Basis von SAP bewertet. 2.2.2 Menschliche Aspekte Installation und Konfiguration durch Berater Gerade bei großen Unternehmen die auch zur Zielgruppe von SAP gehören sind IT-Abteilungen und Sicherheitsverantwortliche etabliert. Es besteht daher grundsätzlich die Möglichkeit, den Aufbau von neuen Webapplikationen durch gute Kenntnisse der technischen Themen und interner Organisationsstruktur durchzuführen, auch wenn dies z.B. aus Zeitmangel häufig nicht geschieht. Die Installation und Konfiguration von SAP-Systemen ist sehr komplex und zeitaufwändig. Daher wird üblicherweise auf externe, spezialisierte Dienstleister zurückgegriffen, die die Installation und Konfiguration vornehmen. Auch wenn dies nicht unbedingt negative Einflüsse auf die Funktionalität des Systems hat, kann die von externen Kräften durchgeführte Konfiguration unter Umständen doch die geforderten Eigenschaften nicht erfüllen, da z.B. Berechtigungen falsch gesetzt werden oder zu restriktive Berechtigungen wieder großzügig zurückgenommen werden. Damit direkt zusammenhängend ist die Tatsache, dass auch bei so lang angesetzten Projekten wie einer SAP-Installation die Zeit für die notwendigen Arbeiten knapp bemessen ist und der Fokus der Arbeit selbstverständlich bei der Lauffähigkeit des Systems liegt. Außerdem kann beobachtet werden, dass eine Konfiguration, bei der auch auf ein hohes Schutzniveau geachtet wird nicht notwendigerweise, aber doch häufig eine Konfiguration, die sich auf die Lauffähigkeit eines Systems konzentriert, verkompliziert. Darüber hinaus sind SAP-Installationen individuell und es gibt keine Installation bzw. darauf folgende Konfiguration, die umfassend für alle Systeme gleich ist. Damit geht einher, dass – so wie es keine umfassende, allgemeingültige Konfiguration gibt – auch keine allgemeingültige Konfiguration von Sicherheitseinstellungen existiert. Es gibt zwar Einstellungen, die auf nahezu jedem System getroffen werden sollten (Vgl. Kapitel 4.4), dies kann jedoch nicht die feingranularen Damian Schlager Seite 11
Seite 1: Diplomarbeit in Computer Networking
Seite 4 und 5: Sicherheit von SAP in Bezug auf neu
Seite 66 und 67:
Sicherheit von SAP in Bezug auf neu
Seite 68 und 69:
Seite 70 und 71:
Seite 72 und 73:
Seite 74 und 75:
Seite 76 und 77:
Seite 78 und 79:
Seite 80 und 81:
Seite 82 und 83:
Seite 84 und 85:
Seite 86 und 87:
Seite 88 und 89:
Seite 90 und 91:
Seite 92 und 93:
Seite 94 und 95:
Seite 96 und 97:
Seite 98 und 99:
Seite 100 und 101:
Seite 102 und 103:
Seite 104 und 105:
Seite 106 und 107:
Seite 108:
Alle anzeigen

Sicherheit von SAP in Bezug auf neue Technologien

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?