Tipps von Deloitte

5 Sicherheitsschwachstellen in SAP-Systemen

17.05.2013
Von Michael Kallus

4. Zu geringe Komplexität der Passworteinstellungen

In der Systemkonfiguration bietet SAP die Möglichkeit, Eigenschaften und Umgang mit Passwörtern vorzugeben. Verlangen die Systemeinstellungen keine sonderlich komplexen Passwörter oder wird das Nutzerkonto nicht gesperrt, wenn das Passwort mehrfach falsch eingegeben wurde, können Passwörter mit geringem Aufwand geknackt werden.

5. Unsichere Konfiguration der RFC-Verbindungen

Ebenfalls in der Systemkonfiguration werden Parametereinstellungen für ein- und ausgehende RFC-Verbindungen festgelegt. Entsprechende Objekte innerhalb von Zugriffsberechtigungen ermöglichen es zugeordneten Benutzern dann, RFC-Verbindungen aufzubauen. Damit erlangt der Nutzer laut Deloitte nicht nur Zugriff auf Daten, sondern kann diese sogar aus dem System heraus übertragen.

Maßnahmen zur Verbesserung der Cyber Security in SAP-Systemen

Ausgefeilte SAP-Berechtigungskonzepte kontrollieren Zugriffe und trennen Funktionen.
Ausgefeilte SAP-Berechtigungskonzepte kontrollieren Zugriffe und trennen Funktionen.
Foto: Deloitte

Um das Risiko unerlaubter Zugriffe zu senken, sind vier Bereiche im Auge zu behalten. Alle Maßnahmen aus diesen Bereichen müssen durch Sicherheitsrichtlinien etabliert werden. Diese Richtlinien umfassen verbindliche Vorgaben für die Bewertung von Nutzeranfragen und sie definieren exakt, wie Berechtigungsänderungen umzusetzen und kritische Zugriffsrechte zu überwachen sind.

1. SAP-Systemsicherheit optimieren

Hier gilt es, die Einstellung der Parameter für Passwörter, Anmeldeversuche, RFC-Verbindungen und Berechtigungsprüfungen zu optimieren. Zudem empfiehlt Deloitte, Schutzebenen für Standardbenutzer und Berechtigungen zu implementieren.

2. Rollenkonzept verfeinern

In diesem Bereich ist ein transparentes und aufgabenbezogenes Rollenkonzept wichtig. Die Rollen sollten nach dem Prinzip der minimalen Berechtigung ausgestaltet und Funktionen in der Basis-Administration nach Anforderungen getrennt werden. Besonders zu beachten ist die korrekte Ausprägung relevanter Berechtigungsobjekte innerhalb von Rollen und Profilen.