SAP SECURITY PATCH DAY

Transkript

1 SAP SECURITY PATCH DAY Stand Arbeitsdokument Autoren Jorma Straub, Klaus Bartmann SAP Active Global Support

2 1 Inhaltsangabe 1 INHALTSANGABE ZWECK DIESES ARBEITSDOKUMENTS ALLGEMEINE INFORMATIONEN EINLEITUNG SAP SECURITY PATCH DAY WANN FINDEN DIE SAP PATCH DAYS STATT? PRIORITÄTEN VON SAP SICHERHEITSHINWEISEN... 5 SAP Security Patch Days in INFORMATIONEN ZU SAP SPOTLIGHT NEWS IMPLEMENTIERUNG EINES SECURITY PATCH DAY PROZESSES ÜBERSICHT ÜBER DIE UNTERSTÜTZUNG VORBEREITUNGEN EXEMPLARISCHER SAP SECURITY PATCH DAY PROZESS OPTIMIERUNGSPUNKTE FÜR DEN PROZESS WERKZEUGE, TIPPS UND TRICKS AKTUELLE SAP SICHERHEITSHINWEISE ABRUFEN Möglichkeit: Vollständige Auswahl via SECURITY NOTES SEARCH Möglichkeit: Individualisierte Auswahl via MY SECURITY NOTES SEARCH Möglichkeit: Extrakt der wichtigen Hinweise via SAP EarlyWatch Alert (EWA) Möglichkeit: Extrakt der wichtigsten Hinweise via Transaktion ST SAP SOLUTION MANAGER FUNKTION SYSTEM RECOMMENDATIONS SAP SOLUTION MANAGER FUNKTION CONFIGURATION VALIDATION CROSS-SYSTEM CHECK TRANSPORT VON SAP SICHERHEITSHINWEISEN IMPLEMENTIERUNG VON SAP SICHERHEITSHINWEISEN MIR DER TRANSAKTION SNOTE THEMATISCHE SELEKTION DER HINWEISE VORNEHMEN HINWEIS-DOWNLOAD BEI GERINGEM BREITBANDZUGANG SAP MARKTPLATZ (SECURITY) BENACHRICHTIGUNG ERGEBNISSE DES RSECNOTE REPORTS AUTOMATISCH PER MAIL SENDEN SAP SICHERHEITSHINWEISE FÜR UNGENUTZTE KOMPONENTEN INFORMATIONSQUELLEN DER SAP PATCH DAY IM KONTEXT DER SAP SECURE OPERATION MAP SAP STANDARD FOR SECURITY SAP DEVELOPER NETWORK SAP SECURITY FORUM WICHTIGE INFORMATIONSQUELLEN INFORMATIONSQUELLEN UND DEMOS ZU TEST WERKZEUGEN Arbeitsdokument SAP Security Patch Day Seite 2 von 49

3 2 Zweck dieses Arbeitsdokuments Wir möchten unseren Kunden eine Hilfestellung im Umgang mit den SAP Security Patch Days geben und die verschiedenen Möglichkeiten aufzeigen, welche SAP Ihren Kunden zur Verfügung stellt. Wir freuen uns über ein Lob, aber auch über kritische Anmerkungen, die uns helfen dieses Arbeitsdokument zu verbessern. Hierzu möchten wir Sie bitten folgende Kontaktdaten zu benutzen: bzw. Haftungsausschluss: Dieses Arbeitspapier konsolidiert die wichtigsten Aspekte zur Initialisierung und Durchführung des SAP Patch Days mit Stand Februar Aufgrund der kontinuierlichen Veränderung des Themas SAP Security können die Autoren keine Gewähr auf ein Vollständigkeit bzw. Aktualität der Informationen geben. Jederzeit aktuelle Informationen zu dem Thema finden Sie auf dem SAP Service Marketplace: ( Arbeitsdokument SAP Security Patch Day Seite 3 von 49

4 3 Allgemeine Informationen 3.1 Einleitung SAP Security Patch Day SAP (wie auch andere Softwarehersteller) besitzt einen Prozess für die Verbesserung der Produktsicherheit (englisch: Product Security Response Process) für bereits ausgelieferten Softwarekomponenten. Wurde eine Schwachstelle identifiert, bemüht sich die SAP so schnell wie möglich eine entsprechende Korrektur in Form eines Sicherheitshinweises zur Verfügung zu stellen. Diese Hinweise werden am SAP Security Patch Day veröffentlicht. In einigen Fällen behält sich SAP vor, Sicherheitshinweise auch außerhalb des Patch Days zu veröffentlichen. Dies kann zum Beispiel der Fall sein, wenn eine Sicherheitslücke kurz vor der allgemeinen Veröffentlichung in anderen Medien steht. Sicherheitskorrekturen werden in der Regel nur für Produktversionen erstellt welche sich aktuell in der Wartung befinden. Aufgrund verschiedener Rückmeldung unserer Kunden sowie den verschiedenen SAP User Groups, hat SAP entschieden einen regelmäßigen SAP Security Patch Day einzuführen. Dieser soll sicherstellen, dass die sicherheitsrelevanten Korrekturen über den SAP Service Marketplace zum Download bereitstehen. Wir empfehlen Ihnen entsprechende Serientermine (z.b. im Outlook aufzusetzen) die Sie an den SAP Security Patch Day erinnern bzw. die notwendigen Arbeitsschritte starten. Weitere Informationen erhalten Sie im Service Marketplace unter: Arbeitsdokument SAP Security Patch Day Seite 4 von 49

5 3.2 Wann finden die SAP Patch Days statt? Die SAP Patch Days finden am zweiten Dienstag eines jeden Monats statt. Hintergrund für diese Planung ist die Synchronisation mit anderen Softwareanbietern und der Tatsache, dass dieser Intervall von Kunden durch die SAP User Groups adressiert wurde. SAP Security Patch Days in : January 10, 2012 February 14, 2012 March 13, 2012 April 10, 2012 May 8, 2012 On May 8, 2012 SAP delivered important security fixes for the SAP NetWeaver technology platform and SAP Business Suite software. The majority of the security notes provide a fix relating to a single technical issue. Because adjustments must be made in various components of the affected software, the number of fixes is higher than on usual patch days. The main purpose of this comprehensive security fix release is to improve protection against cross-site scripting (XSS) attacks. To this end, SAP introduced a new XSS encoding library. A large number of related notes are designed to tell different SAP applications and software components to use this new XSS library. Up to 80% of the fixes can be implemented automatically. A checklist (Adobe PDF), which includes information concerning the technical aspect of the issue, helps customers make the necessary decisions as it guides them step-by-step through the procedure. SAP strongly recommends that customers implement the fixes. June 12, 2012 July 10, 2012 August 14, 2012 September 11, 2012 October 9, 2012 November 13, 2012 December 11, Prioritäten von SAP Sicherheitshinweisen SAP veröffentlicht Ihre Hinweise mit einer unterschiedlichen Priorität. Dabei haben sogenannte Hot News eine sehr hohe Dringlichkeit und entsprechen der Klassifizierung der Priorität 1 (Sehr hoch). Die Auswirkungen bzw. Gefährdung der in den Hot News aufgezeigten Fälle auf das Kundensystem werden als so ernsthaft eingestuft dass diese unbedingte Beachtung erfahren sollen. In der Unterscheidung von Priorität 2 und Priorität 3 ist es oftmals nur ein schmaler Grad der beide Hinweiskategorien trennt. Die Klassifikation 6 (=Empfehlung) ist keine Priorität im klassischen Sinn, da sie üblicherweise für Hinweise verwendet wird, die Informationen enthalten jedoch keine Softwarekorrekturen. ANMERKUNG: SAP empfiehlt generell alle Sicherheitshinweise nach deren Veröffentlichung zu implementieren. Arbeitsdokument SAP Security Patch Day Seite 5 von 49

6 Priority from customer viewpoint 1 HotNews 2 Correction with high priority 3 Correction with medium priority 4 Correction with low priority 6 Recommendations /additional info Seit März 2011 wird für einige SAP Sicherheitshinweise sogenannte CVSS-Wert (Common Vulnerability Scoring System) angegeben. Bei CVSS handelt es sich um einen Industriestandard zur Einstufung von Sicherheitslücken. Weitere Details erhalten Sie unter folgendem Link: SAP stellt diesen CVSS Base Score als Einschätzung des Risikos der in diesem Hinweis aufgezeigten Schwachstelle zur Verfügung. Diese Einschätzung berücksichtigt jedoch nicht Ihre eigene Systemkonfiguration oder Betriebsumgebung. Sie ersetzt nicht die Risikoprüfungen, die Sie durchführen sollten, wenn Sie über die Anwendbarkeit oder Priorität dieses SAP-Sicherheitshinweises entscheiden. Die Priorisierung der SAP Sicherheitshinweise basiert auf dem CVSS-Wert, allerdings behält sich SAP vor die Priorität in Einzelfällen anzupassen wenn die Einstufung als nicht hinreichend betrachtet wird. Beispiel für die Angabe des CVSS Wertes in einem SAP Hinweis: CVSS Information CVSS Base Score: 6.8 CVSS Base Vector: AV:N/AC:L/AU:S/C:C/I:N/A:N SAP provides this CVSS base score as an estimate of the risk posed by the issue reported in this note. This estimate does not take into account your own system configuration or operational environment. It is not intended to replace any risk assessments you are advised to conduct when deciding on the applicability or priority of this SAP security note. Arbeitsdokument SAP Security Patch Day Seite 6 von 49

7 3.4 Informationen zu SAP Spotlight News SAP veröffentlicht kontinuierlich sog. Ad-Hoc Informationen zu besonders wichtigen sicherheitsrelevanten Informationen im Zusammenhang mit SAP Security Notes für Kunden auf dem SAP Service Marktplatz. Diese sind nicht mit HotNews oder Prio 1 Hinweisen zu verwechseln. Der Unterschied liegt darin, dass diese Spotlight News überwiegend wichtige Änderungen oder Ankündigungen im Hinblick auf die Security Wartung von SAP Systemen thematisieren. Beispielhafte Auswahl von Spotlight News aus dem 1. Quartal 2012 (Quelle: Spotlight News New security fix for SAP exchange infrastructure, SAP Netweaver Exchange Infrastructure and SAP NetWeaver Process Integration Call for action June 12, 2012 As part of the June patch day, we have released an important security note, classified with high priority. This note, Security Note , fixes a vulnerability discovered in SAP Exchange Infrastructure, SAP NetWeaver Exchange Infrastructure and SAP NetWeaver Process Integration, lower than version number 7.1. We expect this vulnerability to be disclosed shortly, therefore we strongly recommend that all affected customers apply the fix. New security fixes for SAP NetWeaver and SAP Business Suite Call for action May 8, 2012 On May 8, 2012 SAP delivered important security fixes for the SAP NetWeaver technology platform and SAP Business Suite software. The majority of the security notes provide a fix relating to a single technical issue. Because adjustments must be made in various components of the affected software, the number of fixes is higher than on usual patch days. Arbeitsdokument SAP Security Patch Day Seite 7 von 49 SAP NetWeaver Receives Prestigious Common Criteria Certification Mar. 1, 2012 On Wednesday, February 29, 2012, during a reception at the RSA Conference in San

8 4 Implementierung eines Security Patch Day Prozesses 4.1 Übersicht über die Unterstützung Die folgende Übersicht stellt die unterstützenden Leistungen für den SAP Patch Tag aus dem SAP Enterprise Support Portfolio strukturiert dar. Der zentrale Einstieg zur Informationsgewinnung ist der SAP Marktplatz. Hier finden Sie unter die aktuellen Informationen rund um die SAP Sicherheitshinweise. Unter anderen finden Sie hier auch die SAP Security Whitepaper (sichere Konfiguration (1.Teil) und sichere Programmierung von SAP Systemen (Teil 2)) und den Link auf das SAP Developer Network. Die in dieser Struktur aufgezeigten Unterstützungsleistungen werden in diesem Arbeitspapier vorgestellt. Es wird für verschiedene Funktionen und Tools auf die entsprechenden Originaldokumente (Standards und How-to Guides) verwiesen. 4.2 Vorbereitungen Mit der folgenden, exemplarischen Vorgehensweise für das Aufsetzen eines SAP Patch Day Prozesses möchten wir Ihnen die nötigen Schritte veranschaulichen. SAP empfiehlt, die veröffentlichten SAP Sicherheitshinweise stets aktuell und umgehend einzuspielen. Eine mögliche Abweichung erhöht das Sicherheitsrisiko der SAP Landschaft. VORARBEIT FÜR DEN PATCH DAY PROZESS: 1. Tragen Sie den verantwortlichen Mitarbeiter im SAP Service Marktplatz als Security Kontakt ein ( 2. Legen Sie eine verantwortliche Person für die Sicherheitswartung Ihrer SAP Systeme fest. 3. Klären Sie den Status des SAP Solution Managers. (Stand und mögliche Upgrade Pläne) 4. Mit welchen Tools und Methoden wird in Ihrem Unternehmen getestet? 5. Wer entscheidet darüber, dass evtl. nicht alle SAP Sicherheitshinweise monatlich eingespielt werden? Existiert hierzu ein Genehmigungsprozess auf Kundenseite? 6. Erstellung einer Patch Day Roadmap. Wie kann der Prozess in Ihrem Hause etabliert werden? (mögliche Vorlage im nachfolgenden Kapitel) ENTSCHEIDUNGEN Arbeitsdokument SAP Security Patch Day Seite 8 von 49

9 1. Verantwortlichkeiten festlegen 2. Bisheriger Testaufwand und -methode bekannt, sowie die existierenden SAP Tools zur Reduzierung der Aufwände (z.b. Business Process Change Analyzer etc.) 3. Wie sieht der Workflow für Ausnahmeprozesse aus? (Nottransporte von wichtigen ad-hoc Hinweisen) 4.3 Exemplarischer SAP Security Patch Day Prozess Nachfolgend möchten wir Ihnen einen Prozess darstellen, wie ein SAP Patch Day Prozess verlaufen könnte: Der SAP Patch Day findet am zweiten Dienstag eines Monats statt. Am Ende dieses 2. Dienstags können Sie neueste Liste mit SAP Sicherheitshinweisen unter der SAP Service Marktplatz Seite prüfen. Bitte benutzen Sie die Funktionalität System Recommendations in Ihrem SAP Solution Manager (verfügbar ab Release 7.0, SP26) um festzustellen, welche SAP Sicherheitshinweise für Ihre Systemlandschaft noch notwendig sind. Diese Prüfung kann auch als Background Job laufen. Wenn Sie dies Dienstagnacht einplanen erhalten Sie dann am Folgetag die Resultate. Ebenso können Sie direkt sog. Change Requests aus diesem Instrument generieren. Der EarlyWatch Alert Report, sowie das korrespondierende Instrument RSECENOTE zeigen dringende Empfehlungen des SAP Active Global Supports hinsichtlich HotNews und weiterer wichtiger Sicherheitshinweise die als relevant eingestuft wurden. In der Regel prüfen Sie die Ergebnisse des Reports am folgenden Wochenanfang nach dem SAP Patch Day. Unabhängig von der Auswahl der Informationskanäle die der Kunde nutzt um sich über neue SAP Sicherheitshinweise zu informieren (SAP empfiehlt alle Informationskanäle zu nutzen: System Recommendation, SAP Service Marktplatz, EarlyWatch Alert Report, RSECNOTE), sollte im Anschluss eine Riskobewertung durch den Kunden erfolgen. Die Risikobewertung sollte in Betracht ziehen welches Risiko mit einer Implementierung im laufenden Betrieb einhergeht, bzw. mit der Implementierung der Hinweise auf die produktiven Systeme. Demzufolge ist eine Bewertung und Selektion vorzunehmen, bei der die Arbeitsdokument SAP Security Patch Day Seite 9 von 49

10 Entscheidung getroffen wird welche SAP Sicherheitshinweise z.b. zeitnah und welche Hinweise im nächsten Wartungszyklus implementiert werden. Mit der Nutzung von Configuration Validation können automatisierte Reports entsprechende Checks durchführen die prüfen, welche der SAP Systeme den Sicherheitsrichtlinien des Kunden entsprechen und was bei den restlichen Systemen fehlt. Sie nutzen das von Ihnen auserwählte Zielsystem aus Ihrer SAP Landschaft, fügen die neusten SAP Sicherheitshinweise hinzu und können mit Configuration Validation einen Abgleich mit den anderen Systemen veranlassen. Im Laufe des aktuellen Monats werden die SAP Sicherheitshinweise implementiert und entsprechende Regressionstests (soweit nötig) durchgeführt um sicher zu stellen dass die produktiven Geschäftsprozesse funktionieren. Als Bestandteil des nächsten Wartungsfensters führen Sie ein Update Ihres Kernels durch und implementieren die neusten JAVA und ABAP Support Packages. Im Rahmen dieses Updates erhalten Sie dann gleichermaßen die Korrektur von SAP Sicherheitshinweisen. Einige der SAP Sicherheitshinweise beschreiben Konfigurationsänderungen die in diesem Zusammenhang ebenfalls vorgenommen werden können. Während Sie an dem Update arbeiten, kann es vorkommen dass sich diese Arbeit mit einem weiteren (laufenden) Patch Day überschneidet. Diese neuen SAP Sicherheitshinweise sollte dann im Rahmen dieses Wartungsfensters, sofern möglich, implementiert werden. Bitte vergessen Sie im Anschluss nicht die Durchführung der Tests Ihrer Geschäftsprozesse. 4.4 Optimierungspunkte für den Prozess Ermöglichen Sie eine effiziente Auswertung mit automatisierten Batchjobs und Notifications. Somit erhalten Sie die automatisierten Ergebnisse direkt per Mail und können direkt in die Risikobewertung übergehen. Nutzen Sie die Funktion System Recommendation aus dem SAP Solution Manager. Hiermit erhalten Sie schnell und konsolidiert die Analyse der offenen Hinweise pro System. Alternative, wenn Sie einen älteren SAP Solution Manager haben (Stand 7.0 kleiner SP26), empfehlen wir einen Report zu nutzen der zumindest alle EarlyWatch Alert relevanten Hinweise, also die Auswahl die Sie in der ST13/RSECNOTE einsehen können, auswirft. Arbeitsdokument SAP Security Patch Day Seite 10 von 49

11 Dieser sog. Cross System Check ermittelt zentral entsprechend der RSECNOTE die offenen Hinweise pro System in einem Report. Sichten Sie in jedem Fall regelmäßig (empfohlen ist monatlich) die Auswertung der offenen SAP Sicherheitshinweise. Im Normalfall beträgt eine monatliche Last circa Hinweise (Ausnahmen jederzeit möglich). Achten Sie zunächst auf den kleinen Anteil der mit Priorität 1 gekennzeichneten Hinweise. Bewerten Sie ebenso das Risiko der weiteren, offenen Hinweise (Priorität 2 bis 4). Entgegen. Grundsätzlich sollen diese auch gleich implementiert werden. Es kann auf Kundenseite Gründe geben, die Implementierung ggfs. mit dem nächsten geplanten Support Package vorzunehmen (in der Abbildung Scheduled Implementation ). Regeln für einen Arbeitsvorrat können sein: 1. Implementierung als Teil des monatlichen Patch-Prozesses Zum Beispiel für ABAP Korrekturen. In dieser Gruppe dürften sich auch die Empfehlungen des EWA / RSECNOTE befinden (außer Kernel) sowie allgemein diejenigen Hinweise, die sich ohne speziellen Testauswand komplett mit dem Hinweisassistenten (Transaktion SNOTE) einbauen lassen. Hier werden sich auch die Mehrzahl der HotNews und Priorität 2 Hinweise finden. 2. Implementierung als Teil eines Projektes: Zum Beispiel für Hinweis im Bereich other components oder manueller Anleitungen. Hier sammeln sich Hinweise, die ein umfangreichere Vorbereitungen erfordern, z.b. die Hinweise bezüglich Gateway-Security (weil man spezielle Access Control Listen pflegen muss) oder zu Directory-Traversal (weil man logische Dateinamen customizen muss und ein Anwendungstest wichtig ist). 3. Implementierung als Teil der regulären Wartung: Zum Beispiel bei Support Package upgrade, Kernel upgrade, Java upgrade Dies ist im Grunde gleichbedeutend mit nichts tun, da die SP-Upgrade Planung sowieso durchgeführt wird. Hier dürften sich eher Priorität 3 und 4 Hinweise finden. 4. Implementierung nach den Wartungsaktivitäten: Zum Beispiel bei Anleitungen welche ein Support Package oder Kernel Upgrade als Voraussetzung benötigen. Reduzieren Sie Ihre Testaufwände mit dem SAP Solution Manager. Demnach können Sie nach der Implementierung sehen, welche Kerngeschäftsprozesse durch diese Hinweise tatsächlich berührt werden. Das hat zur Folge, dass Sie zum Beispiel feststellen können, dass durch das Testen von 5 Kerngeschäftsprozessen der Test-Scope zu 80% erfüllt ist und Sie mit XY weiteren Testszenarien die restlichen Aufwände abdecken. Dies ermöglicht einen kürzeren Testzyklus und eine verbesserte Kalkulation der zu erwartenden Aufwände. Im Vergleich testen Sie jedes Mal alle Geschäftsprozesse Für größere SAP Systemlandschaften sollten Sie eine Nutzung der Funktion Configuration Validation aus dem SAP Solution Manager in Erwägung ziehen. Der Nutzen hierbei besteht in einem zentralen Monitoring. Dieses zeigt den aktuellen Stand über alle Systeme hinweg an und kann entsprechend mit Schwellwerten versehen auch automatisierte s und Mitteilungen an verantwortliche Personen verschicken, wenn bestimmte Kriterien überschritten wurden. Arbeitsdokument SAP Security Patch Day Seite 11 von 49

12 5 Werkzeuge, Tipps und Tricks 5.1 Aktuelle SAP Sicherheitshinweise abrufen Es gibt unterschiedliche Informationsquellen bezüglich der SAP Sicherheitshinweise. SAP empfiehlt alle Varianten in Betracht zu ziehen. Die SAP veröffentlicht die Sicherheitshinweise auf dem SAP Service Marktplatz unter dem Alias Securitynotes ( Es existieren zwei Möglichkeiten zur Auswahl (allgemein und kundenindividuell) über den SAP Service Marktplatz: Möglichkeit: Vollständige Auswahl via SECURITY NOTES SEARCH Sie können eine generelle Auswahl treffen (Tab: Security Notes Search) und dort entsprechende Filterkriterien nutzen. Ebenso erkennen Sie bei dieser Suche die Security Hinweise welche durch einen EarlyWatch Alert kontrolliert werden (siehe Grafik: mit Pfeil markiert). Bitte beachten Sie dass nicht alle SAP Security Hinweise von dem SAP EarlyWatch Alert (EWA) geprüft werden, da nicht alle Hinweise technisch eindeutig zuordenbar sind. Arbeitsdokument SAP Security Patch Day Seite 12 von 49

13 In der Darstellung sehen Sie, dass man in der letzten Spalte eine Auswahl filtern kann. Sofern eine Auswahl mit x möglich ist sind entsprechende Security Hinweise die vom EarlyWatch Alert geprüft werden in der Liste enthalten. Lediglich eine Auswahl von SAP Sicherheitshinweisen die in der Regel schnell zu implementieren sind, werden durch diese Selektion (EWA = x ) angezeigt. Das Tool RSECNOTE überprüft nur die im EarlyWatch Alert gekennzeichneten SAP Hinweise. Die Ergebnisse können als Excel Download herunter geladen werden. Sollten Sie das Tool System Recommendations aus dem SAP Solution Manager noch nicht kennen oder nutzen können, finden Sie im Verlauf dieses Dokuments einen Prozess der den manuellen Weg über einen Excel Download und einen Massen-Upload in die SNote beschreibt. (siehe Kapitel 2.13.Implementierung von SAP Sicherheitshinweisen mit Transaktion SNOTE) Möglichkeit: Individualisierte Auswahl via MY SECURITY NOTES SEARCH Die zweite Möglichkeit zur Auswahl von SAP Hinweisen ist über den Tab: My Security Notes möglich. Sie können Ihre Kundensysteme oder SAP Produkte eingeben und die Komponenten auswählen für die Sie dann die Security Notes selektieren möchten. Alternative a) Automatische Auswahl nach Kundensystem (empfohlen) Voraussetzung: Die Systeme sind in SAP Marketplace registriert 1. Schritt: Filter nach System anlegen: Arbeitsdokument SAP Security Patch Day Seite 13 von 49

14 2. Schritt: registriertes System auswählen: 3. Schritt: System bestätigen und sichern (für die Suche nach Sicherheitshinweisen sollte keine Einschränkung nach Anwendungskomponenten durchgeführt werden): Arbeitsdokument SAP Security Patch Day Seite 14 von 49

15 Alternative b) Manuelle Auswahl nach Produkt und Komponenten 1. Schritt: Filter nach SAP Produktversion: 2. Schritt: Auswahl des Support Package Stand und speichern Ihres definierten Filters (d.h. Auswahl der Produktversion mit den korrespondierenden Support Package Informationen) Arbeitsdokument SAP Security Patch Day Seite 15 von 49

16 Nun können die erforderlichen Sicherheitshinweise angezeigt werden: Auswahl (optional): Das Setzen des Flags x in der Spalte Automatic check in EWA zeigt Ihnen ausschließlich / lediglich die Hinweise welche bereits durch Ihren EarlyWatch Alert Report (EWA) geprüft werden. Sie können dies an den grünen Haken in der Spalte erkennen. Ebenso können Sie alle Applikationsbereiche auswählen oder De-Selektieren. Dies ist in der ersten Spalte von links möglich. Klicken Sie hierfür auf das Icon in der Kopfzeile der ersten Spalte mit der rechten Maustaste. Anmerkung: Bitte implementieren Sie auch die SAP Sicherheitshinweise für ungenutzte Komponenten, da Sie ansonsten das Risiko eingehen, dass über diese Hintertür Angriffe stattfinden können und Schadsoftware Ihren Weg in Ihr Kundensystem findet Möglichkeit: Extrakt der wichtigen Hinweise via SAP EarlyWatch Alert (EWA) Der SAP EarlyWatch Alert ist wichtiges Kontrollinstrument welches wichtige Bereiche der administrativen SAP Komponenten überwacht und die Kunden über deren Stabilität und Leistungsfähigkeit informiert. Der SAP EarlyWatch Alert wird automatisiert gestartet und erlaubt es Ihnen proaktiv auf die ausgewerteten Informationen zu reagieren, bevor es zu einem kritischen Ereignis kommt. Weitere Details zum EWA finden Sie unter: Arbeitsdokument SAP Security Patch Day Seite 16 von 49

17 Im Kontext der Securityauswertung enthält der Report folgende Analysebereiche: SAP Security Notes: ABAP and Kernel Software Corrections Default Passwords of Standard Users Password Policy Gateway and Message Server Security Users with Critical Authorizations Anmerkung: Ein rotes Rating im EarlyWatch Alert führt nicht zu einem roten Gesamtrating des EarlyWatch Reports Möglichkeit: Extrakt der wichtigsten Hinweise via Transaktion ST13 Eingabe der Transaktion ST13 und der Report RSECENOTE zeigen dringende Empfehlungen des SAP Active Global Supports hinsichtlich HotNews und weiterer wichtiger SAP Sicherheitshinweise auf, die als relevant eingestuft wurden. In der Regel prüfen Sie diesen Report am folgenden Wochenanfang nach dem SAP Patch Day. Der Report weist drei unterschiedliche Kategorien von SAP Hinweisen auf: 1) SAP Sicherheitshinweise die erfolgreich implementiert wurden 2) SAP Sicherheitshinweise die noch nicht implementiert sind 3) SAP Sicherheitshinweise die manuell ein anderes Rating erhalten haben. Anmerkung: RESECNOTE ist auf die SAP HotNews ausgerichtet und stellt kein vollständiges Bild aller zu implementierenden SAP Sicherheitshinweise dar, d.h. nur technisch messbare Indikatoren wie ABAP und Software Korrekturen. Den vollständigen Umfang der aktuellen bzw. allen SAP Sicherheitshinweisen entnehmen Sie bitte dem SAP Service Marktplatz unter Die Ausführung des Reports ist mit einer speziellen Berechtigung versehen. Bitte entnehmen Sie diese dem SAP Hinweis Arbeitsdokument SAP Security Patch Day Seite 17 von 49

18 Es ist möglich im Rahmen des RSECNOTE Reports das rote Rating auf grün manuell umzustellen, wenn Sie diesen von SAP empfohlenen Sicherheitshinweis anders einstufen. Ein Kommentar kann zurzeit allerdings nicht vom Benutzer im Falle einer Veränderung des Ratings vorgenommen werden. Der Report RSECNOTE zeigt in der folgenden Abbildung die SAP Sicherheitshinweise die für das ausgewählte System implementiert werden sollten. Im Report RSECNOTE werden drei unterschiedliche Status ausgewiesen: Arbeitsdokument SAP Security Patch Day Seite 18 von 49

19 1. Security Hinweise die einer Implementierung benötigen 2. Security Hinweise die bereits erfolgreich implementiert wurden 3. Security Hinweise die manuell bestätigt wurden. Diese Möglichkeit erlaubt es Ihnen ggfs. Sicherheitshinweise die Sie als unkritisch erachten auf ein grünes Rating zu setzen. 5.2 SAP Solution Manager Funktion System Recommendations Systemempfehlungen ist eine Funktion des SAP Solution Manager im Work Center Change Management (ab SAP Solution Manager 7.0 SP 26). Mit Systemempfehlungen können Sie passend zu Ihrem technischen System SAP-Hinweise (im folgenden Hinweise genannt) finden, Informationen zu diesen Hinweisen anzeigen und damit verbundene Aktionen ausführen. Systemempfehlungen fragt im SAP Support Portal die für das gewählte technische System gültigen Hinweise ab und überträgt die zugehörigen Informationen zum SAP Solution Manager. Zudem ist Systemempfehlungen in das Änderungsmanagement eingebunden. So können Sie beispielsweise nach Auswahl relevanter Hinweise direkt einen Änderungsantrag erzeugen. Für Non-ABAP-Hinweise besteht eine Integration in den Maintenance Optimizer zur Bestätigung ladbarer Java-Patches. Link zu weiterführenden Informationen: Funktionsumfang Nachfolgend finden Sie einen kurzen Überblick über die Funktionen von Systemempfehlungen: 1. Kombinieren verschiedener Filterparameter zur Auswahl relevanter Hinweise (Lösung mit Produktsystem und Technischem System, Anwendungskomponente, Zeitraum) und sichern der Filtereinstellungen zur schnellen Wiederverwendung 2. Darstellen der Ergebnisse nach Anwendungskomponente oder Softwarekomponente Arbeitsdokument SAP Security Patch Day Seite 19 von 49

20 3. Zuweisen eines Status zu einem Eintrag und anzeigen von Hinweisinformationen eines bestimmten Status 4. Definieren eines Hintergrunddienstes zur automatischen Aktualisierung der Hinweisinformationen 5. Starten eines Änderungsantrags bzw. Auswahl eines Java Patches und starten eines Wartungsvorgangs Nutzen der Funktion System Recommendation im Zusammenhang mit dem SAP Patch Day Zur Reduzierung der zeitlichen und organisatorischen Aufwände im SAP Patch Day Prozess kann die Funktion Systemempfehlung beitragen, da die fehlenden SAP Hinweise für alle Systeme auf Knopfdruck dargestellt werden können. Arbeitsdokument SAP Security Patch Day Seite 20 von 49

21 Neue Funktionen in aktuellen und kommenden Releases: Arbeitsdokument SAP Security Patch Day Seite 21 von 49

22 Erweiterte Funktionen in der System Recommendations ab SAP Solution Manager 7.10 SP 5: Eine neue Listenansicht durch erweiterte Filter- und Sortieroptionen können mit dem Button settings konfiguriert werden. Neue Spalten: o o o o Note contains automatic correction instruction (SNOTE) These notes can be (at least partly) implemented using the ABAP Note Assistant (transaction SNOTE) Note contains manual correction instruction Note references to a Kernel Patch ABAP Support Package which contains the solution Download der selektierten Hinweise in den ABAP Note Assistant (Transaction SNOTE) des ausgewählten Systems. Darstellung der in den Hinweisen enthaltenen Objekte für selektierte ABAP Hinweise Mit Hilfe dieser Liste können Sie die Programme, Funktionsgruppen etc. die durch den Patch verändert werden feststellen. Diese Funktion kann genutzt werden um die Testbereiche festzulegen. Ausführung des Business Process Change Analyzer (BPCA) um festzustellen welche Tests durchgeführt werden müssen. ANMERKUNG und Limitationen System Recommendations kann nicht prüfen, ob manuelle Korrekturen umgesetzt wurden. Nutzen Sie die Statusanzeige, um solche Hinweise aus der Liste heraus zu filtern, sowie Sie die Bestätigung haben, dass der Hinweis installiert wurde. Sie können eine Großzahl der Hinweise automatisch in den ABAP Note Assistent des ausgewählten Systems downloaden. Jedoch müssen diese Hinweise nach wie vor einer nach dem anderen in das System eingespielt werden. Arbeitsdokument SAP Security Patch Day Seite 22 von 49

23 How to set up System Recommendations / Prerequisites: All systems to be monitored must be connected to SAP Solution Manager, and documented in transaction SMSY. The SAP Support Portal RFC connection SAP-OSS must be established correctly. The functionality is only available within the Change Management Work Center (transaction code SOLMAN_WORKCENTER or SM_WORKCENTER), therefore access to the Work Centers is a prerequisite. To control access to System Recommendations, the authorization object SM_TABS (in SAP Solution Manager 7.0) or SM_FUNCS (in SAP Solution Manager 7.1) can be used to grant or deny access to the different tabs of System Recommendations. The background job SM:SYSTEM RECOMMENDATIONS in SAP Solution Manager collects the required information of all managed systems, and should therefore be scheduled using the settings functions within System Recommendations. Before using System Recommendations, it is strongly recommended to implement relevant SAP Notes of applications component SV-SMG-SR, e.g and (in SAP Solution Manager 7.0) or , , , (in SAP Solution Manager 7.1). You can use System Secommendations itself to search for Correction Notes for application component SV-SMG-SR to find these notes: For troubleshooting, please check the application log AGS_SR in transaction SLG1 to see the configuration and check logs. In case of any problem, please create a customer message under component SV-SMG-SR (System Recommendations for Managed Systems). Weitere Informationen zu System Recommendation : Blog: Online Help: Important Notes (list generated on ): SysRec: Short dump when show object list SysRec: Incorrect Java patches for selected SAP Notes SysRec: Download Notes in SolMan7.1 SP SysRec: Collective Correction for ST 710 SP001 - SP005 Arbeitsdokument SAP Security Patch Day Seite 23 von 49

24 SysRec: Short dump in System Recommendations of SolMan SysRec: Collective Correction for ST 400 SP026 - SP SysRec: Collective Correction for ST 710 SP001 - SP SysRec: Report shows no SAP Notes SysRec: Corrections for performance issue in 7.1 SP SysRec: Corrections for performance issue in SP26 & 27 & System Recommendations in SAP Solution Manager SysRec: Schedule Backgound Job at A Random Time SysRec: No RFC authorization Authorizations for system recommendations in ST System Recommendations - corrections for SP SAP Solution Manager Funktion Configuration Validation Die Konfigurationsvalidierung (Configuration Validation) als Funktion des Solution Managers prüft, ob die Systeme Ihrer SAP Lösungslandschaft konsistent und anforderungsgerecht konfiguriert sind. Sie können somit diese Funktion verwenden um Sicherheitsrichtlinien und Sicherheitsstandards in den angeschlossenen Systemen zu überwachen. Die Funktion Configuration Validation ist Bestandteil des SAP Solution Manager Work Center Change Management. Es kann in dieser Funktion ein Zielsystem benannt werden das den neusten Standards entspricht und gleichermaßen die Unternehmensrichtlinien berücksichtigt. Anschließend werden die angeschlossenen SAP Systeme mit diesem Zielsystem verglichen. Die Auswertung kann individualisiert und mit eigenen Schwellwerten ausgestattet werden. Link zu weiterführenden Informationen: Auf dem SAP Developer Network zu Configuration Validation: Voraussetzungen: siehe System Recommendation Beispiel für eine Auswertung im Rahmen von Configuration Valdiation : Arbeitsdokument SAP Security Patch Day Seite 24 von 49

25 Für SAP Enterprise Support Kunden bietet die SAP ES-Academy auf dem Service Marktplatz eine Reihe von Aufzeichnungen an. Diese finden Sie unter im Bereich Meet the Expert. Diese Veranstaltungen finden zu bestimmten Terminen statt an welchen Sie die Möglichkeit zum Austausch mit dem SAP Experten haben. Die Veranstaltungen werden aufgezeichnet und sind dann in der Media Library für die Kunden zugänglich. Bildschirmausschnitt zu dieser Aufzeichnung Es gibt im Bereich der ES Academy eine Reihe von Informationsveranstaltungen die für Sie ggfs. von Interesse sein könnten. Eine Registrierung erfolgt für die SAP Enterprise Support und MaxAttention Kunden per S-User. Arbeitsdokument SAP Security Patch Day Seite 25 von 49

26 Extrakt aus dem Bereich der ES-Academy: Hinweis: MaxAttention oder auch SAP Enterprise Support Kunden können für eine Vielzahl von Konfigurationseinstellungen und Funktionen im SAP Solution Manager sog. Expert Guided Implementation Session (Experten geführte Ein- führungsservices) besuchen. Dieses Training ist virtuell und Sie haben stets Zugriff auf unsere SAP Experten die Ihnen zur Seite stehen. Vormittags erhalten Sie in einem 1-2 stündigen Vortrag die wichtigen Konfigurations-einstellungen und Hintergründe. Am Nachmittag können Sie mit Hilfe der Dokumentation und dem Zugriff auf unsere SAP Experten die Funktionen im produktiven Umfeld umsetzen. Anmeldung mit Ihrem S-User können Sie auf dem SAP Service Marktplatz vornehmen Fragen hierzu beantwortet auch das Advisory Center für Enterprise Support Kunden. Die Telefonnummern finden Sie im SAP Hinweis Arbeitsdokument SAP Security Patch Day Seite 26 von 49

27 Arbeitsdokument SAP Security Patch Day Seite 27 von 49

28 5.4 Cross-System Check Quelle: SDN Code Exchange Information zu dem Report Cross-System Check Report ZSECNOTE_CENTRAL: Dieser Check ist Bestandteil des Code Exchange Programms das auf dem Service Developer Network existiert. Dieses Instrument ist als Unterstützung / Übergangsoption für die Kunden gedacht, die kurzfristig keine Möglichkeit haben Ihren SAP Solution Manager auf den Support Package Stand 26 anzuheben. Ab SP 26 können Sie von der Vielzahl der Möglichkeiten, wie z.b. System Recommendation profitieren. Bitte lesen unter dem o.g. Link die Hinweise zum Code Exchange Projekt. Der Report RSECNOTE stellt eine Auswahl von empfohlenen SAP Sicherheitshinweisen dar die für ein System implementiert werden sollten. In der Regel haben die Kunden eine Reihe von SAP Systeme für die alle eine Auswertung über den Status der zu implementierenden SAP Sicherheitshinweise notwendig ist. Das Code Exchange Projekt Cross-System check for Security Notes auf dem SAP Developer Network (SDN) ermöglicht diesen Abgleich von einer Vielzahl von Systemen. Der Report ZSECNOTE_CENTRAL ist ab dem SAP_BASIS Release 7.00 möglich. Der Abruf der fehlenden SAP Sicherheitshinweise erfolgt auf demselben Weg wie es der Report RSECNOTE, mittels der RFC, durchführt. Sofern keine RFC Empfänger/Ziele erfasst wurden, wird das lokale System geprüft. Diese Einstellung kann auch als Ersatz zur RSECNOTE genutzt werden. Erfolgt die Eingabe von RFC Zielen/Empfangssystemen können diese mit dem lokalen System ergänzt werden. Hierfür fügen Sie die Destination NONE hinzu. Es wird empfohlen den Report auf Ihrem SAP Solution Manager System zu installieren, um dann die RFC Destinationen SM*TRUSTED zu nutzen und Ihre Zielsysteme zu verbinden. Die Nutzung der trusted RFC Verbindung ermöglicht ein Arbeiten mit Ihrem eigenem Benutzer und dessen Berechtigung in den jeweiligen Systemen. Es ist nicht möglich den Status der SAP Sicherheitshinweise manuell zu verändern. Sofern Sie dies manuell verändern möchten, sollten Sie den Report RSECNOTE nutzen. Zum Durchführen dieser systemübergreifenden Auswertung benötigen Sie die Berechtigung simultan zu der des Reports RSECNOTE. Bitte entnehmen Sie diese dem SAP Hinweis Arbeitsdokument SAP Security Patch Day Seite 28 von 49

29 b) Cross-System Check for System Recommendations Information about the Cross-System Check Report ZSYSREC_NOTELIST: The report is part of the Code Exchange Program on the SAP Developer Network and is intended as a support option for customers who are currently unable to upgrade their SAP Solution Manager to release 7.1 support package 3 or higher. With support package 3, you can benefit from the new Configuration Validation report which shows the cross-system results of the application System Recommendations. The application System Recommendations calculates results for all connected systems, however, the standard user interface shows the results per system only (the user must always select a system in the System Recommendations user interface). The ZSYSREC_NOTELIST report displays cross-system results of the System Recommendations function. This is useful for SAP Solution Manager Release 7.10 SP 2 and lower because there is no other way to run cross-system analyses. As of SAP Solution Manager 7.10 SP 3, the results from System Recommendations can then be analyzed with the Configuration Validation function. (See section 5.3) Arbeitsdokument SAP Security Patch Day Seite 29 von 49

30 Beispiel: Arbeitsdokument SAP Security Patch Day Seite 30 von 49

31 5.5 Transport von SAP Sicherheitshinweisen Es wird empfohlen die SAP Sicherheitshinweise im Rahmen der Implementierung, in einen gemeinsamen Transportauftrag aufzunehmen jedoch keinesfalls diesen Transport auch für andere funktionale Änderungen zu verwenden. Im Fehlerfall ermöglich dies eine schnellere Identifizierung des relevanten Hinweises. 5.6 Implementierung von SAP Sicherheitshinweisen mir der Transaktion SNOTE Die Transaktion SNOTE wird verwendet um Korrekturen die zu einem SAP Sicherheitshinweis gehören, zu installieren. Sofern keine weiteren Informationen zur Implementierung in dem Hinweis beschrieben sind, können Sie den Note Assistant (Transaktion SNOTE) verwenden. Sie sollten alle Hinweise und damit verbundenen Hinweisbeschreibungen lesen um keine wichtigen Informationen bezogen auf die Regressionstests unbeachtet zu lassen. Sie können die Transaktion SNOTE auch dafür verwenden um mehrere SAP Hinweise auf einmal herunter zu laden. 1. Schritt: SAP Sicherheitshinweise aus der Liste in ein Excel Dokument übertragen. Bemerkung: Die Hinweis Nummern sind von Leerzeichen vor und nach der Zahlenreihe zu bereinigen (Excel Formel: Teilen) und anschließend zu sortieren. (siehe Beispiel unten) 2. Schritt: Start der Transaktion SNOTE Arbeitsdokument SAP Security Patch Day Seite 31 von 49

32 3. Schritt: Aktivieren Sie das Feld Note Download (siehe grüner Pfeil, Abbildung oben) Eine Mehrfachauswahl zum Download ist möglich (siehe grüner Kreis, Abbildung unten) 3. Schritt: Übertragung der Vielzahl von Sicherheitshinweisen in SNOTE Zunächst sollten Sie die relevanten SAP Sicherheitshinweise für Ihr System aus dem SAP Service Marktplatz generieren. Hierfür nutzen Sie den Link selektieren die entsprechenden Hinweise für Ihr System und extrahieren Sie diese in ein Excel Format. Die Möglichkeit zum Export der Daten in eine Excel Tabelle finden Sie am unteren Ende der Hinweisaufstellung. (siehe Schritt 1) Die Aufstellung aus dem Excel können Sie nun nutzen um per copy & paste die Zahl der zu implementierenden Hinweise in die Transaktion SNOTE zu übertragen. Anschließend müssen Sie noch den Vorgang speichern. Die SAP Hinweisnummern aus dem Excel in die SNOTE importieren. Arbeitsdokument SAP Security Patch Day Seite 32 von 49

33 Hinweise werden nun aus dem SAP Service Marktplatz herunter geladen. (ggfs. etwas zeitintensiv, je nach Breitbandzugang) Die Transaktion SNOTE überprüft die Hinweise in Hinsicht auf die Implementierungsfähigkeit. Die relevanten Hinweise (gelb markiert) in die Excel-Liste übernehmen: Im vorliegenden Fall stellt sich die Situation wie folgt da: 1. Hinweis (siehe obere gelbe Markierung) Hinweis ist technisch implementierbar und wird nicht durch RSECNOTE überprüft und muss deshalb auf folgende Punkte überprüft werden: a) Korrekturanleitung vorhanden Arbeitsdokument SAP Security Patch Day Seite 33 von 49

34 b) Manuelle Vor- und Nacharbeiten erforderlich c) Erledigt durch Release / Support Package 2. Hinweis (siehe untere gelbe Markierung) Hinweis ist technisch implementierbar und wird zusätzlich durch RSECNOTE überprüft. Deswegen muss man diesen nicht weiter betrachten, weil dieser bereits durch RSECNOTE geprüft wird. 5.7 Thematische Selektion der Hinweise vornehmen Zur thematischen Selektion der SAP Sicherheitshinweise können Sie auf dem SAP Service Marktplatz ( eine Auswahl aufrufen. Diese Selektion kann dann für Sie nützlich sein, wenn Sie thematisch die Risiken bearbeiten. Bitte beachten Sie hierzu auch unter dem o.g. Link die SAP Security Whitepapers, die zu einer Vielzahl der Punkte unten eine wertvolle Unterstützung sind. Quelle: SAP Note How to search for security notes fixing a particular topic TOPIC Cross Site Scripting Cross Domain Redirection Cross-site request forgery Information Disclosure Buffer Overflows SQL Injection Remote termination Denial of Service Hard-coded credentials Directory Traversal Code injection Missing Autorisation KEYWORD "XSS" "Cross-domain redirection" "XSRF" "Information Disclosure" RCE", "Buffer overflow" "SQL Injection" "Memory corruption" "DoS" "credentials", "hard-coded" "Directory Traversal" "code injection" "authorization", "check 5.8 Hinweis-Download bei geringem Breitbandzugang Ist der Fall gegeben, dass eine geringe Breitbandverbindung zu langen Downloadzeiten führt, z.b. aufgrund einer ISDN Verbindung, empfehlen wir folgendes Vorgehen um die Bearbeitungszeit zu verkürzen. Bei der Anzeige der Hinweise im Browser markieren Sie die Hinweise für den Download-Basket. Anschließend erfolgt der Download in einem Rutsch, und Upload der Dateien mittels SNOTE in mehreren Systeme. Somit können Sie bei gleichartigen Systemen die Downloadzeiten verkürzen und bei einer heterogenen Systemlandschaft die Zahl der Hinweise im Downloadbereich einschränken. 5.9 SAP Marktplatz (Security) Benachrichtigung Im SAP Servicemarktplatz haben Sie die Möglichkeit einen automatisierten Versand von s einzurichten. Sie können die Häufigkeit und Themenauswahl (z.b. nur Freitags zu SAP Sicherheitshinweisen) eingrenzen. Darüber hinaus können Sie eine weitere Selektion über die von Ihnen genutzten SAP Produkte vornehmen. Arbeitsdokument SAP Security Patch Day Seite 34 von 49

35 Somit erhalten Sie individualisiert auf Ihre SAP Landschaft direkt zur Veröffentlichung eine Benachrichtigung über Veränderungen der Sicherheitslage passend zu Ihrer SAP Landschaft. Diese Veränderungen werden durch die Veröffentlichung von SAP Sicherheitshinweisen hervorgerufen. Link: Tab: MySecurity Notes Notification Center im SAP Service Marktplatz für automatische Benachrichtigen bezüglich SAP Security Informationen. Arbeitsdokument SAP Security Patch Day Seite 35 von 49

36 Arbeitsdokument SAP Security Patch Day Seite 36 von 49

37 Die SAP Benachrichtigung sieht wie folgt aus: 5.10 Ergebnisse des RSECNOTE Reports automatisch per Mail senden Sie können im Rahmen eines z.b. wöchentlichen Hintergrundjobs die Auswertung bzw. die Ergebnisse des Reports RSECNOTE direkt per Mail an einen Kreis von Verantwortlichen schicken lassen. Hierfür sind verschiedene Einstellungen nötig die Sie im Folgenden erklärt bekommen. Folgende Internetlinks helfen Ihnen begleitenden zu dieser Screenshot-Dokumentation: 1) SAP Connect Konfiguration Es sollten alle Konfigurationseinstellungen durchgeführt werden die im Zusammenhang mit Versandprozess auf Grundlage von SMTP stehen 2) In diesem Zusammenhang möchten wir auf das Thema Secure aufmerksam machen Arbeitsdokument SAP Security Patch Day Seite 37 von 49

38 3) Ausgabegeräte für den Druck über definieren 1. Schritt: Definieren eines Druckers Transaktion SPAD. Definieren Sie einen virtuellen Drucker, der die Spoolanforderung an den Mailserver weiterleitet welcher SMTP unterstützt. Typischerweise würden Sie den Gerätetyp PDF1 nutzen um eine zu kreieren welche dann ein PDF Anhang enthält. Arbeitsdokument SAP Security Patch Day Seite 38 von 49

39 2.Schritt: Definieren Sie einen Drucker Verändern Sie die Host Spool Access Methode auf M. Die -Empfänger werden zu einem späteren Zeitpunkt definiert, als Bestandteil der Background Job Einstellung. 3.Schritt: Definieren Sie einen Hintergrund Benutzer In der Transaktion PFCG können Sie die Rolle für einen Hintergrund Benutzer festlegen. Arbeitsdokument SAP Security Patch Day Seite 39 von 49

40 4. Schritt: Legen Sie die Berechtigung für die Rolle des Hintergrund Benutzers fest 5. Schritt: Weisen Sie der Rolle die adresse zu Gehen Sie in die Transaktion SU01. Generieren Sie einen Hintergrund Benutzer und weisen Sie die Rolle zu. Die adresse ist als Mussfeld auszufüllen und wird als Absender und (Antwort)-adresse verwendet. Arbeitsdokument SAP Security Patch Day Seite 40 von 49

41 6 Schritt: Einstellungen im Report /SSA/NXS Gehen Sie in die Transaktion SA38 und generieren Sie eine Variante RSECNOTE für den Report /SSA/NXS. Setzen Sie den Service Parameter (Feld: Execute Online Recommendation Service) auf den Wert SECURITY_CHECK 7. Schritt: Konfiguration des Background Jobs zum Versand der Gehen Sie in die Transaktion SA36. Nach dem Befüllen des Felds Name mit dem Report /SSA/NXS wählen Sie im Feld Variante die bereits erstellte Variante RSECNOTE. Verwenden Sie den erstellten Hintergrund User und geben Sie den Maildrucker ein, fügen Sie die Empfangsadresse für die Mail ein, Definieren Sie einen Titel für die Betreffzeile der Mail. Addieren Sie für jeden weiteren Empfänger dieser Mail die entsprechenden Schritte, wie beschrieben. Beachten Sie den letzten Schritt durchzuführen, damit die auf einmal mittels dem Report RSCONN01 und der Variante INT versandt wird. Terminieren Sie den Job regelmäßig, z.b. wöchtenllich. Arbeitsdokument SAP Security Patch Day Seite 41 von 49

42 Darstellung des möglichen Ergebnisses dieser Einstellung: 5.11 SAP Sicherheitshinweise für ungenutzte Komponenten SAP empfiehlt die Implementierung von allen SAP Sicherheitshinweise für alle Komponenten die Ihr System beinhaltet. Sollte dies nicht erfolgen existiert das Risiko, dass eine Manipulation oder ein unberechtigter Zugriff auf Ihre SAP System und die Daten über diesen Weg erfolgen kann. Arbeitsdokument SAP Security Patch Day Seite 42 von 49

43 6 Informationsquellen 6.1 Der SAP Patch Day im Kontext der SAP Secure Operation Map Im Kontext von SAP Security for Operations bildet die Secure Operation Map eine entsprechende Orientierungsgrundlage. Die unten aufgezeigten Handlungsfelder werden durch verschiedene SAP Servicedienstleistungen, deren Werkzeuge sowie den Security Standards und der Run SAP Dokumenten genauer beschrieben. Hierbei werden Empfehlungen ausgesprochen um die Sicherheitsrisiken zu reduzieren, bzw. eine Bewertung dieser Risiken durchzuführen. Der Prozess des SAP Patch Day gehört zum Bereich Software Lifecycle Security und dem Unterkapitel Secure Application Lifecycle. Mit einem regelmäßigen Patch Tag für Ihre SAP Systeme sorgen Sie für eine kontinuierliche Aktualisierung Ihrer Sicherheit in diesem Bereich. Bitte beachten Sie, dass der Themenblock Secure Application Lifecycle nur einen Teilbereich des Secure LifeCycle Managements darstellt. Eine detailliertere Beschreibung der einzelnen Handlungsfelder finden Sie auch im Software und Developer Network der SAP: Link: Arbeitsdokument SAP Security Patch Day Seite 43 von 49

44 6.2 SAP Standard for Security Das Dokument SAP Security Standard beschreibt in dem Kapitel Software Lifecycle Security die notwendigen Maßnahmen zur Reduzierung der Risiken die aus Angriffe auf die SAP Systeme entstehen können. Hierzu zählen auch die Maßnahmen, welche im Rahmen des SAP Patch Day zu berücksichtigen sind. Ein Ausschnitt in diesem Kapitel bilden die Punkte: Standard software component maintenance, Custom code maintenance, Periodic review, test and training activities etc. Sie können den SAP Security Standard unter folgendem Link herunterladen: im Bereich List of Available SAP Standards for Solution Operations 6.3 SAP Developer Network SAP Security Forum Das SAP Developer Network bietet Ihnen im Bereich des Forums Security die Möglichkeit sich mit Experten auszutauschen. Für den Einstieg in das SAP Security Forum nutzen Sie bitte folgenden Link: Als registriertes Mitglied des Forums erhalten Sie Zugang zu informativen Beiträgen, Videos und Präsentationen die den Dialog im Rahmen dieses Forums bereichern. Daneben können Sie zudem weitere sog. E-Learnings zum Thema Security besuchen: Arbeitsdokument SAP Security Patch Day Seite 44 von 49

45 6.4 Wichtige Informationsquellen Welche Links auf dem SAP Service Marketplace ( sind relevant für das Thema Security? 1. Information und Literatur über alles Sicherheitsrelvanten Themen 2. Informationen zum SAP Patch Day und Security Notes 3. Informationen über das SAP Trust Center Service 4. Informationen über das SAP's Audit Information System 5. Download von allen SAP Security Guides 6. Computer Center Management System (CCMS); ein Instrument zum System Monitoring and Alert Management 7. Beratungsleistungen für SAP Sicherheitsfragen und Dienstleistungen 8. Informationen zu der Funktion System Recommendation 6.5 Informationsquellen und Demos zu Test Werkzeugen SAP stellt den Kunden eine Reihe von Testwerkzeugen und Funktionen im SAP Solution Manager zur Verfügung. Besonders hinweise möchten wir auf den Business Process Change Analyzer, der es ermöglicht den Kunden nach dem Einspielen von Hinweisen, Support Packages oder Enhancement Packages festzustellen, welche Bereiche durch dieses Einspielen eine Änderung erfahren haben. Der Vorteil hieraus ist für den Kunden die Information dass z.b. lediglich durch das Testen von fünf Kerngeschäftsprozessen bereits 80% des Testaufwands erledigt sind. Folgende Demos, PDF Dokumente und Präsentationen könne Sie unter einsehen Arbeitsdokument SAP Security Patch Day Seite 45 von 49

46 Arbeitsdokument SAP Security Patch Day Seite 46 von 49

47 Kundenstimmen zu den Testwerkzeugen und Funktionalitäten aus dem SAP Solution Manager:, "By making use of the test management capabilities of SAP Solution Manager, we expect to cut the time spent on integration testing by 40%." Quelle: SAP Quote Programm / 2010 "While merging two large Supplier Relationship Management systems together with T-Systems we introduced the Run SAP E2E standard test management based on SAP Solution Manager. Here, in particular a custom-developed defect management process has been implemented. With this approach it s possible to include onsite as well as offshore resources efficiently on a case-to-case basis, reducing the error correction time by about 20%." Quelle: SAP Quote Programm / 2010 Anonymes Kundenzitat "Key focus areas of our Run SAP initiative were the implementation of business-project documentation, and business-process modeling by Hewlett Packard as a minimum support standard requirement. We achieved a timely decrease in our regression testing time of about 10% by the identification and reduction of unused custom transactions and custom reports. Future steps, as a follow up to this initiative, will be implementing the SAP Solution Manager service desk functionality and Run SAP, to enable a communication standard between both our service provider and our customers. This strategy will lead to identification of further measurable KPIs." Quelle: SAP Quote Programm / 2011 "After Itellium Services GmbH implemented the service desk in SAP Solution Manager, incident management for SAP solutions was facilitated, and the quality of incident information has been raised, through the provided system data on SAP solutions. In addition, by adopting SAP Solution Manager, we save EUR 50,000 per year by replacing our old third-party test tool with SAP's test management." Quelle: SAP Quote Programm / 2010 "We had challenging timelines to activate additional financial supply-chain management functionality in our SAP ECC system. With multiple projects running in parallel, our concern was around activating business content, and also the required testing. We used the accelerated innovation enablement service through SAP Enterprise Support to engage with experts in the area of enhancement package Arbeitsdokument SAP Security Patch Day Seite 47 von 49