Geleitwort von Wolfgang Lassmann Geleitwort von Monika Egle Geleitwort von Jose Estrada Einleitung Teil I...

Transkript

1 Geleitwort von Wolfgang Lassmann Geleitwort von Monika Egle Geleitwort von Jose Estrada Einleitung Teil I... Grundlagen des Risikomanagements und der IT-Sicherheit Risiko- und Kontrollmanagement Sicherheitsziele Unternehmenswerte Typen von Unternehmenswerten Klassifizierung von Unternehmenswerten Risiken Risikotypen Klassifizierung von Risiken Kontrollen Kontrolltypen Klassifizierung von Kontrollen Enterprise-Risk-Management-Strategie Status quo Komponenten Rahmenbedingungen Strategie Methoden Best Practices Dokumentation Best Practices einer SAP-Sicherheitsstrategie Vorgehensweise Prinzip der Informationsverantwortung Identity Management Anforderungen Rechtliche Anforderungen Sarbanes-Oxley Act SOX-Umsetzung in Japan Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme International Financial Reporting Standards Branchenspezifische Anforderungen Nahrungsmittel- und pharmazeutische Industrie und Medizintechnik Finanz-, Kredit- und Bankwirtschaft Basel (I, II, III) Chemiestoffe und Umweltschutz Innerbetriebliche Anforderungen Sicherheitsstandards Internationale Sicherheitsstandards ISO/IEC 27002: CobiT IT Infrastructure Library COSO Länderspezifische Sicherheitsstandards NIST Special Publication IT-Grundschutz-Kataloge PIPEDA Informationstechnische Sicherheit Kryptografie

2 Symmetrisches Verschlüsselungsverfahren Asymmetrisches Verschlüsselungsverfahren Kryptografie mit elliptischen Kurven Hybrides Verschlüsselungsverfahren Secure-Socket-Layer-Verschlüsselung Hash-Verfahren Digitale Signatur Public-Key-Infrastruktur Authentisierungsverfahren Benutzername und Passwort Challenge Response Kerberos Secure Token Digitales Zertifikat Biometrische Verfahren Netzwerkgrundlagen und Sicherheitsaspekte OSI-Schichtenmodell Firewall-Technologien im Überblick Teil II... Sicherheit in SAP NetWeaver und Anwendungssicherheit ERM Navigation Control Map SAP-Anwendungen Komponenten von SAP NetWeaver Sicherheitstechnologien Berechtigungen, Risiko- und Änderungsmanagement und Revision Identity Management Gesicherte Authentisierung und Single Sign-on Technische Sicherheit Einflussfaktoren Webservices, Enterprise Services und serviceorientierte Architekturen Einführung und technische Grundlagen Sicherheitskriterien für Webservices Sicherheit und Risikomanagement für serviceorientierte Architekturen SAP Enterprise Services Sicherheitsrichtlinien für SAP Enterprise Services Serviceorientierte Architekturen und Governance GRC-Lösungen in SAP BusinessObjects Einführung und Funktionalität Ziele der GRC-Lösungen in SAP BusinessObjects Methoden der GRC-Lösungen in SAP BusinessObjects Planung des Einsatzes der GRC-Lösungen in SAP BusinessObjects GRC-Lösungen von SAP BusinessObjects im Überblick SAP BusinessObjects Risk Management Hauptkomponenten Phasen Verantwortlichkeiten Berichtswesen SAP BusinessObjects Access Control Allgemeine Anforderungen an das SAP-Berechtigungssystem Hauptkomponenten SAP BusinessObjects Process Control Eigene Startseite

3 Konformitätsstruktur Bewertungseinrichtung Bewertungsergebnisse Zertifizierung Berichtszentrum Zertifizierung SAP BusinessObjects Global Trade Services Compliance Management Customs Management Risk Management Electronic Compliance Reporting Systemadministration SAP Environment, Health, and Safety Management Übersicht Chemikaliensicherheit Umwelt-, Gesundheits- und Arbeitsschutz Einhaltung produktbezogener Umweltauflagen Compliance- und Emissionsmanagement SAP BusinessObjects Sustainability Performance Management SAP NetWeaver Application Server Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technisches Berechtigungskonzept für Administratoren Berechtigungskonzept für Java-Anwendungen Einschränkung der Berechtigungen bei RFC-Aufrufen Technische Sicherheit Einführung eines Single-Sign-on-Authentisierungsmechanismus Anbindung des SAP NetWeaver Application Servers an ein zentrales LDAP- Verzeichnis Änderung der Standardpasswörter für Standardbenutzer Sicherheitskonfiguration des SAP-Gateways Einschränkung des Betriebssystemzugriffs Wichtige sicherheitsrelevante Systemparameter konfigurieren Konfiguration von verschlüsselten Kommunikationsverbindungen (SSL und SNC) Überflüssige Internetdienste einschränken Sichere Netzwerkarchitektur für den Einsatz des SAP NetWeaver Application Servers für das Internet Einführung eines Application Level Gateways zur Absicherung von Internetanwendungen Einführung von Härtungsmaßnahmen auf Betriebssystemebene Einführung eines Qualitätssicherungsprozesses für die Softwareentwicklung Sicherheits- und Berechtigungsprüfungen in selbst entwickeltem ABAP- und Java- Programmcode SAP NetWeaver Business Warehouse Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen Analyseberechtigungen

4 Weitere Konzepte Technische Sicherheit BI-Lösungen in SAP BusinessObjects Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungskonzept für SAP BusinessObjects Anwendungsbeispiele für Berechtigungskonzepte Sicherung des administrativen Zugangs und des Gastbenutzers Konfiguration von Passwortregeln Anwendungsberechtigungen Technische Sicherheit Externe Authentisierung und Single Sign-on Nutzung der Audit-Funktion Netzwerkkommunikation mittels SSL und CORBA-Services SAP NetWeaver Process Integration Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen für den Enterprise Services Builder Passwörter und Berechtigungen für technische Servicebenutzer Berechtigungen für den administrativen Zugang zu SAP NetWeaver PI Passwortregeln für Administratoren Technische Sicherheit Definition von technischen Servicebenutzern für Kommunikationsverbindungen während der Laufzeit Einrichtung der Verschlüsselung für Kommunikationsverbindungen Digitale Signatur für XML-basierte Nachrichten Verschlüsselung von XML-basierten Nachrichten Netzwerkseitige Absicherung von Integrationsszenarien Audit des Enterprise Services Builders Absicherung des File-Adapters auf Betriebssystemebene Verschlüsselung der PI-Kommunikationsverbindungen und Webservices Sicherheit für Webservices SAP Partner Connectivity Kit Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Eigener technischer Servicebenutzer für jedes angeschlossene Partnersystem Einrichtung der Verschlüsselung für Kommunikationsverbindungen Digitale Signatur für XML-basierte Nachrichten Netzwerkseitige Absicherung von Integrationsszenarien Audit des Nachrichtenaustausches Absicherung des File-Adapters auf Betriebssystemebene Klassische SAP-Middleware SAP Web Dispatcher Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit

5 SAProuter Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit SAP Internet Transaction Server Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit SAP NetWeaver Master Data Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Identity Management und Berechtigungen Revisionssicherheit Technische Sicherheit Kommunikationssicherheit Weitere wichtige Komponenten SAP NetWeaver Portal Einführung und Funktionalität Technische Architektur Bedeutung der User Management Engine Risiken und Kontrollen Anwendungssicherheit Aufbau und Design von Portalrollen Berechtigungen für die User Management Engine Portalsicherheitszonen Authentisierungsprüfung für iview-zugriff Standardportalrollen und delegierte Benutzeradministration Abgleich der Portalrollen mit ABAP-Rollen Änderungsmanagementprozess für neue Portalinhalte Technische Sicherheit Anschluss des SAP NetWeaver Portals an ein zentrales LDAP-Verzeichnis oder SAP-System Einführung eines SSO-Mechanismus auf Basis einer EinFaktor-Authentisierung Einführung eines SSO-Mechanismus auf Basis einer integrierten Authentisierung Einführung eines SSO-Mechanismus auf Basis von personenbezogenen Zertifikaten Konfiguration für den anonymen Zugriff Sichere Erstkonfiguration Sichere Netzwerkarchitektur Einführung eines Application Level Gateways zur Absicherung von Portalanwendungen Konfiguration von verschlüsselten Kommunikationsverbindungen Einsatz eines Viren-Scanners zur Vermeidung einer Vireninfektion SAP NetWeaver Mobile Einführung und Funktionalität Risiken und Kontrollen

6 Anwendungssicherheit Berechtigungskonzept für mobile Anwendungen Berechtigungskonzept für die Administration Einschränkung der Berechtigungen des RFC-Benutzers auf Backend-Anwendungen Technische Sicherheit Einrichtung von verschlüsselten Kommunikationsverbindungen Synchronisationskommunikation absichern Überflüssige Dienste auf dem SAP NetWeaver Mobile-Server deaktivieren Sichere Netzwerkarchitektur Monitoring Sicherer Programmcode SAP Auto-ID Infrastructure Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungskonzept für die SAP Auto-ID Infrastructure Berechtigungskonzept für die Administration Einschränkung der Berechtigungen des RFC-Benutzers auf Backend-Anwendungen Authentisierung, Passwortregeln und Sicherheit Technische Sicherheit Einrichtung von verschlüsselten Kommunikationsverbindungen Überflüssige Dienste auf dem Server deaktivieren Sichere Netzwerkarchitektur SAP Solution Manager Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Sicherheitsmaßnahmen für den Benutzerzugang Systemüberwachungsfunktion RFC-Kommunikationssicherheit Datenkommunikationssicherheit Wichtige Komponenten von SAP NetWeaver Berechtigungen in SAP ERP Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Authentisierung Berechtigungen Weitere Berechtigungskonzepte Best-Practice-Lösungen Technische Sicherheit SAP ERP Human Capital Management und Datenschutz Einführung und Funktionalität Datenschutz im Personalwesen Technische und organisatorische Maßnahmen Risiken und Kontrollen Anwendungssicherheit Personalstammdatenberechtigungen

7 Bewerberberechtigungen Personalplanungsberechtigungen Berechtigungen im Berichtswesen Strukturelle Berechtigungen Berechtigungen für die Personalentwicklung Toleranzzeiten für Berechtigungen Berechtigungen für Prüfverfahren Kundeneigene Berechtigungsprüfungen Indirekte Rollenzuordnung über die Organisationsstruktur Zusätzliche Transaktionen mit Relevanz für interne Kontrollen Technische Sicherheit SAP Strategic Enterprise Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit SAP Customer Relationship Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen in SAP CRM Berechtigungen für Portalrollen Technische Sicherheit Technische Absicherung der mobilen Anwendung Weitere wichtige Komponenten SAP Supply Chain Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen für die ippe Workbench Berechtigungen für das Supply Chain Planning Berechtigungen für das SAP Event Management Technische Sicherheit SAP Supplier Relationship Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Wichtige Berechtigungen Regelbasierte Sicherheitsüberprüfungen anhand von Geschäftspartnerattributen Benutzermanagement Technische Sicherheit Sicherheitsumgebung basierend auf SAP NetWeaver Sicherheitsumgebung für RFC-Kommunikation Branchenspezifische SAP-Lösungsportfolios Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit SAP MaxSecure Support SAP-Rollenmanager Technische Sicherheit

8 27... Datenbankserver Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Änderung von Standardpasswörtern Entfernung von nicht benötigten Datenbankbenutzern Einschränkung des Datenbankzugriffs Erstellung und Implementierung eines Datensicherungskonzeptes Filterung von Datenbankanfragen Erstellung und Implementierung eines Upgrade-Konzeptes User Interfaces SAP GUI Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Webbrowser Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Mobile Endgeräte Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Anhang A... Literatur- und Quellenverzeichnis B... Die Autoren Index