Sicherheit und Risikomanagement für SAP -Systeme

Transkript

1 Mario Linkies, Horst Karin Sicherheit und Risikomanagement für SAP -Systeme Galileo Press Bonn Boston

2 Auf einen Blick Teil I Grundlagen des Risikomanagements und der IT-Sicherheit 1 Risiko- und Kontrollmanagement 33 2 Enterprise-Risk-Management-Strategie 51 3 Anforderungen *: Sicherheitsstandards.' Informationstechnische Sicherheit 141 Teil II Sicherheit in SAP NetWeaver und Anwendungssicherheit 6 ERAA Navigation Control Map Webservices, Enterprise Services und serviceorientierte Architekturen GRC-Lösungen in SAP BusinessObjects SAP NetWeaver Application Server SAP NetWeaver Business Warehouse Bl-Lösungen in SAP BusinessObjects SAP NetWeaver Process Integration SAP Partner Connectivity Kit Klassische SAP-Middleware SAP NetWeaver Master Data Management SAP NetWeaver Portal SAP NetWeaver Mobile SAP Auto-ID Infrastructure SAP Solution Manager Berechtigungen in SAP ERP SAP ERP Human Capital Management und Datenschutz SAP Strategie Enterprise Management SAP Customer Relationship Management SAP Supply Chain Management SAP Supplier Relationship Management Branchenspezifische SAP-Lösungsportfolios Datenbankserver User Interfaces 749

3 Geleitwort von Wolfgang Lassmann 19 Geleitwort von Monika Egle 21 Geleitwort von Jose Estrada 23 Einleitung 25 Teil I: Grundlagen des Risikomanagements und der IT-Sicherheit ; ^^ 1.1 Sicherheitsziele Unternehmenswerte Typen von Unternehmenswerten Klassifizierung von Unternehmenswerten Risiken Risikotypen Klassifizierung von Risiken Kontrollen Kontrolltypen Klassifizierung von Kontrollen Status quo Komponenten Rahmenbedingungen Strategie ~.T Methoden Best Practices Dokumentation Best Practices einer SAP-Sicherheitsstrategie Vorgehensweise Prinzip der Informationsverantwortung Identity Management Rechtliche Anforderungen Sarbanes-Oxley Act SOX-Umsetzung in Japan 96

4 3.1.3 Grundsätze ordnungsgemäßer DV-gestützter B uchf ü h ru ngssysteme International Financial Reporting Standards Branchenspezifische Anforderungen Nahrungsmittel- und pharmazeutische Industrie und Medizintechnik Finanz-, Kredit- und Bankwirtschaft - Basel (I, II, III) Chemiestoffe und Umweltschutz Innerbetriebliche Anforderungen Internationale Sicherheitsstandards ISO/IEC 27002: CobiT IT Infrastructure Library COSO Länderspezifische Sicherheitsstandards NIST Special Publication IT-Grundschutz-Kataloge PIPEDA Kryptografie Symmetrisches Verschlüsselungsverfahren Asymmetrisches Verschlüsselungsverfahren Kryptografie mit elliptischen Kurven Hybrides Verschlüsselungsverfahren Secure-Socket-Layer-Verschlüsselung Hash-Verfahren Digitale Signatur Public-Key-Infrastruktur Authentisierungsverfahren Benutzername und Passwort Challenge Response Kerberos SecureToken Digitales Zertifikat Biometrische Verfahren 160

5 5.4 Netzwerkgrundlagen und Sicherheitsaspekte OSl-Schichtenmodell Firewall-Technologien im Überblick 168 Teil II: Sicherheit in SAP NetWeaver und Anwendungssicherheit 6.1 SAP-Anwendungen Komponenten von SAP NetWeaver Sicherheitstechnologien Berechtigungen, Risiko-und Änderungsmanagement und Revision Identity Management Gesicherte Authentisierung und Single Sign-on Technische Sicherheit Einflussfaktoren Einführung und technische Grundlagen 197 Sicherheitskriterien für Webservices Sicherheit und Risikomanagement für serviceorientierte Architekturen SAP Enterprise Services ' Sicherheitsrichtlinien für SAP Enterprise Services Serviceorientierte Architekturen und Governance ^ Einführung und Funktionalität Ziele der GRC-Lösungen in SAP BusinessObjects Methoden der GRC-Lösungen in SAP BusinessObjects Planung des Einsatzes der GRC-Lösungen in SAP BusinessObjects GRC-Lösungen von SAP BusinessObjects im Überblick SAP BusinessObjects Risk Management Hauptkomponenten Phasen Verantwortlichkeiten Berichtswesen 238

6 8.3 SAP BusinessObjects Access Control Allgemeine Anforderungen an das SAP-Berechtigungssystem..' Hauptkomponenten SAP BusinessObjects Process Control Eigene Startseite Konformitätsstruktur Bewertungseinrichtung Bewertungsergebnisse Zertifizierung Berichtszentrum Zertifizierung SAP BusinessObjects Global Trade Services Compliance Management Customs Management Risk Management Electronic Compliance Reporting Systemadministration SAP Environment, Health, and Safety Management Übersicht Chemikaliensicherheit Umwelt-, Gesundheits-und Arbeitsschutz Einhaltung produktbezogener Umweltauflagen Compliance- und Emissionsmanagement SAP BusinessObjects Sustainability Performance Management SAP NetWeaver Application Server Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technisches Berechtigungskonzept für Administratoren Berechtigungskonzept für Java-Anwendungen Einschränkung der Berechtigungen bei RFC-Aufrufen Technische Sicherheit Einführung eines Single-Sign-on- Authentisierungsmechanismus Anbindung des SAP NetWeaver Application Servers an ein zentrales LDAP-Verzeichnis

7 9.4.3 Änderung der Standardpasswörter für Standardbenutzer Sicherheitskonfiguration des SAP-Gateways Einschränkung des Betriebssystemzugriffs Wichtige sicherheitsrelevante Systemparameter konfigurieren Konfiguration von verschlüsselten Kommunikationsverbindungen (SSL und SNC) Überflüssige Internetdienste einschränken Sichere Netzwerkarchitektur für den Einsatz des SAP NetWeaver Application Servers für das Internet Einführung eines Application Level Gateways zur Absicherung von Internetanwendungen Einführung von Härtungsmaßnahmen auf Betriebssystemebene Einführung eines Qualitätssicherungsprozesses für die Softwareentwicklung Sicherheits- und Berechtigungsprüfungen in selbst entwickeltem ABAP-und Java-Programmcode Einführung und Funktionalität 343 Risiken und Kontrollen 344 Anwendungssicherheit Berechtigungen Analyseberechtigungen Weitere Konzepte ^ 354 Technische Sicherheit Einführung und Funktionalität 362 Risiken und Kontrollen 363 Anwendungssicherheit Berechtigungskonzept für SAP BusinessObjects Anwendungsbeispiele für Berechtigungskonzepte Sicherung des administrativen Zugangs und des Gastbenutzers Konfiguration von Passwortregeln Anwendungsberechtigungen

8 11.4 Technische Sicherheit Externe Authentisierung und Single Sign-on Nutzung der Audit-Funktion Netzwerkkommunikation mittels SSL und CORBA-Services SAP NetWeaver Process Integration 12.1 Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen für den Enterprise Services Builder Passwörter und Berechtigungen für technische Servicebenutzer Berechtigungen für den administrativen Zugang zu SAP NetWeaver Pl Passwortregeln für Administratoren Technische Sicherheit Definition von technischen Servicebenutzern für Kommunikationsverbindungen während der Laufzeit Einrichtung der Verschlüsselung für Kommunikationsverbindungen Digitale Signatur für XML-basierte Nachrichten Verschlüsselung von XML-basierten Nachrichten Netzwerkseitige Absicherung von Integrationsszenarien Audit des Enterprise Services Builders r Absicherung des File-Adapters auf Betriebssystemebene Verschlüsselung der Pl-Kommunikationsverbindungen und Webservices Sicherheit für Webservices Einführung und Funktionalität Risiken und Kontrollen : Anwendungssicherheit Technische Sicherheit Eigener technischer Servicebenutzer für jedes angeschlossene Partnersystem

9 Einrichtung der Verschlüsselung für Kommunikationsverbindungen Digitale Signatur für XML-basierte Nachrichten Netzwerkseitige Absicherung von Integrationsszenarien Audit des Nachrichtenaustausches Absicherung des File-Adapters auf Betriebssystemebene SAP Web Dispatcher Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit SAProuter Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit SAP Internet Transaction Server Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Identity Management und Berechtigungen Revisionssicherheit Technische Sicherheit Kommunikationssicherheit Weitere wichtige Komponenten Einführung und Funktionalität Technische Architektur 487

10 Bedeutung der User Management Engine Risiken und Kontrollen Anwendungssicherheit Aufbau und Design von Portalrollen Berechtigungen für die User Management Engine Portalsicherheitszonen Authentisierungsprüfung für iview-zugriff Standardportalrollen und delegierte Benutzeradministration Abgleich der Portalrollen mit ABAP-Rollen Änderungsmanagementprozess für neue Portalinhalte Technische Sicherheit Anschluss des SAP NetWeaver Portals an ein zentrales LDAP-Verzeichnis oder SAP-System Einführung eines SSO-Mechanismus auf Basis einer Ein-Faktor-Authentisierung Einführung eines SSO-Mechanismus auf Basis einer integrierten Authentisierung Einführung eines SSO-Mechanismus auf Basis von personenbezogenen Zertifikaten Konfiguration für den anonymen Zugriff Sichere Erstkonfiguration Sichere Netzwerkarchitektur Einführung eines Application Level Gateways zur Absicherung von Portalanwendungen Konfiguration von verschlüsselten Kommunikationsverbindungen.V Einsatz eines Viren-Scanners zur Vermeidung einer Vireninfektion SAP NetWeaver Mobile 17.1 Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungskonzept für mobile Anwendungen Berechtigungskonzept für die Administration Einschränkung der Berechtigungen des RFC-Benutzers auf Backend-Anwendungen Technische Sicherheit 571 H

11 Einrichtung von verschlüsselten Kommunikationsverbindungen Synchronisationskommunikation absichern Überflüssige Dienste auf dem SAP NetWeaver Mobile-Server deaktivieren ; Sichere Netzwerkarchitektur Monitoring Sicherer Programmcode Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungskonzept für die SAP Auto-ID Infrastructure Berechtigungskonzept für die Administration Einschränkung der Berechtigungen des RFC-Benutzers auf Backend-Anwendungen Authentisierung, Passwortregeln und Sicherheit Technische Sicherheit Einrichtung von verschlüsselten Kommunikationsverbindungen Überflüssige Dienste auf dem Server deaktivieren Sichere Netzwerkarchitektur 590 EEtiBfll Hl3gilLH^ 19.1 Einführung und Funktionalität?r.> Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Sicherheitsmaßnahmen für den Benutzerzugang Systemüberwachungsfunktion RFC-Kommunikationssicherheit Datenkommunikationssicherheit Wichtige Komponenten von SAP NetWeaver 608 lelsalljiil^ 20.1 Einführung und Funktionalität Risiken und Kontrollen 610

12 20.3 Anwendungssicherheit Authentisierung Berechtigungen Weitere Berechtigungskonzepte Best-Practice-Lösungen Technische Sicherheit Einführung und Funktionalität Datenschutz im Personalwesen Technische und organisatorische Maßnahmen Risiken und Kontrollen Anwendungssicherheit Personalstammdatenberechtigungen Bewerberberechtigungen Personalplanungsberechtigungen Berechtigungen im Berichtswesen Strukturelle Berechtigungen Berechtigungen für die Personalentwicklung Toleranzzeiten für Berechtigungen Berechtigungen für Prüfverfahren Kundeneigene Berechtigungsprüfungen Indirekte Rollenzuordnung über die Organisationsstruktur Zusätzliche Transaktionen mit Relevanz für interne Kontrollen Technische Sicherheit ".: Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen in SAP CRM

13 Berechtigungen für Portalrollen Technische Sicherheit Technische Absicherung der mobilen Anwendung Weitere wichtige Komponenten 'Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen für die ippe Workbench Berechtigungen für das Supply Chain Planning Berechtigungen für das SAP Event Management " Technische Sicherheit Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Wichtige Berechtigungen Regelbasierte Sicherheitsüberprüfungen anhand von Geschäftspartnerattributen Benutzermanagement Technische Sicherheit Sicherheitsumgebung basierend auf SAP NetWeaver Sicherheitsumgebung für RFC-Kommunikation Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit SAP MaxSecure Support SAP-Rollenmanager Technische Sicherheit Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit 741

14 Änderung von Standardpasswörtern Entfernung von nicht benötigten Datenbankbenutzern Einschränkung des Datenbankzugriffs Erstellung und Implementierungeines Datensicherungskonzeptes Filterung von Datenbankanfragen Erstellung und Implementierung eines Upgrade- Konzeptes User Interfaces?B8 HHJ HHBHWHHHBHIHi^E SAP GUI Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Webbrowser Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Mobile Endgeräte Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit 775 A Literatur- und Quellenverzeichnis 779 B Die Autoren 781 Index