White Paper SAP-Archivierung mit SecDocs und dem KGS-ContentServer White Paper SAP-Archivierung mit SecDocs und dem KGS-ContentServer Einsatz von FUJITSU SecDocs und dem KGS-ContentServer zur beweiswerterhaltenden Archivierung von SAP-Daten Inhalt Herausforderung SAP-Dokumenten- und Datenarchivierung 2 SAP - Einsatzszenarien 2 Gesetzliche Anforderungen 2 Benötigte Infrastruktur und Komponenten 4 SAP-Zertifizierte Lösung aus einer Hand 4 Beratungs-, Konfigurations- und Migrationsservices 5 Kundenreferenz Bundesagentur für Arbeit 5 Zusammenfassung 5 Seite 1 von 5
Herausforderung SAP-Dokumenten- und Datenarchivierung Der Betrieb einer SAP-Umgebung erfordert neben den klassischen operativen Tätigkeiten ein umfassendes Daten- und Dokumentenmanagement, um jederzeit eine anforderungsgerechte und kostenoptimierte Verwaltung der Unternehmensdaten und -dokumente zu gewährleisten. Die Herausforderung liegt hier in der gleichzeitigen Betrachtung der Themen Daten- und Dokumentenwachstum Zugriffsgeschwindigkeit Sicherheit Einhaltung gesetzlicher Vorgaben Komplexe Beziehungen von Dokumenten zu Geschäftsprozessen Dabei ist das Datenwachstum einer der wichtigsten Treiber, um sich mit dem Thema Archivierung auseinanderzusetzen. Daten, die zu abgeschlossenen Vorgängen gehören und nur noch selten benötigt werden, aber trotzdem für Nachweiszwecke langfristig aufbewahrt werden müssen, belasten das System und führen zu abnehmender Performance. Gleichzeitig belegen sie hoch-performanten und daher teuren Online-Speicher. Eine SAP-Datenarchivierung stellt die einzig effektive Möglichkeit dar, Daten konsistent und zeitnah aus einem SAP-System auszulagern und ist daher ein essenzieller Faktor für einen langfristigen und nachhaltigen Betrieb Ihres SAP-Systems. SAP - Einsatzszenarien Die Use-Cases für den Einsatz der SAP-Dokumenten- und Datenarchivierung sind vielfältig. Neben der Archivierung von nachweispflichtigen Verarbeitungsinformationen (Log-Daten) gibt es klassische Einsatzszenarien z.b. im HR-Bereich, wo es um die Archivierung von Steuerbescheinigungen, Gehaltsabrechnungen oder sonstigen Bescheiden geht. Aber auch im Bereich der Rechnungsbearbeitung entstehen Daten, die nicht nur ein hohes Volumen erreichen können, sondern auch zur Erfüllung gesetzlicher Vorgaben langfristig aufbewahrt werden müssen. Neben der klassischen Archivierung ohne adaptierten Lebenszyklus über ArchiveLink gibt es deshalb die Funktionalität des LifeCycleManagements über eine neue WebDAV basierte Schnittstelle. Das nachfolgende Beispiel zeigt den Einsatz von SAP-ILM (Information LifeCycle Management) bei der frühen Archivierung von Eingangsrechnungen: SAP AG Zielsetzung ist dabei, nur die Daten in der operativen Datenbank zu halten, die dort für die Weiterbearbeitung zwingend benötigt werden. Alle anderen Daten werden direkt im elektronischen Archiv abgelegt und in diesem Szenario auch gleich mit einer Aufbewahrungsfrist und damit einem Lebenszyklus versehen. Die ILM-Schnittstelle erfüllt zusätzlich eine Reihe von externen und internen Anforderungen, die an den SAP-Betrieb gestellt werden: Externe Auslöser: Erfüllung der gesetzlichen Aufbewahrungsfristen Berücksichtigung von Anforderungen aus der Produkthaftung Verfügbarkeit von Daten im Falle potenzieller Rechtsstreitigkeiten Betriebs- und Steuerprüfungen Nachweis des Löschens, vor allem bei personenbezogenen Daten Technologischer Fortschritt (Stichwort Petabytes-Zeitalter: 1 Petabyte = 1015 Bytes = 1.000.000.000.000.000 Bytes) Interne Auslöser: Hardware- und Administrationskosten Unternehmensweite Richtlinien (auch im Hinblick auf Mergers & Acquisitions) Zentralisierung von Systemlandschaften Service Level Agreements Gesetzliche Anforderungen Die Datenarchivierung ist aufgrund von gesetzlichen Vorgaben zwingend notwendig, um beispielsweise die Aufbewahrung, Auswertbarkeit und Manipulierbarkeit von Unternehmensdaten rechtskonform und gezielt sicherzustellen bzw. zu steuern. Da die archivierten Dokumente u.a. für mögliche rechtsverbindliche Verfahren benötigt werden, sollten diese auch nach längerer Aufbewahrungszeit nachweislich rechtsgültig bleiben. Deshalb sollten Archivsysteme Kriterien erfüllen, wie Integrität der archivierten Dokumente, d.h. es sollte der Nachweis erbracht werden können, dass die archivierten Objekte mindestens seit der Übergabe ins Archiv nicht verändert wurden. Vollständigkeit des Archivs, d.h. die archivierten Dokumente dürfen erst nach Ablauf der Aufbewahrungsfrist gelöscht werden können. Vertraulichkeit, d.h. der Zugang zum Archiv darf nur berechtigten Benutzern bzw. Fachverfahren ermöglicht werden. Verwenden mehrere Fachverfahren das gleiche Archivsystem, so sollten die Datenbereiche vollständig separierbar sein, evtl. sogar auf unterschiedlichen physischen Datenträgern gespeichert werden (Mandantenfähigkeit). Authentizität der Information, d.h. von wem bzw. woher stammt die Information. Nachvollziehbarkeit, d.h. jede ändernde Aktion im elektronischen Archivsystem muss für Berechtigte nachvollziehbar protokolliert werden. Migrationen oder Änderungen von Archivsystemen dürfen keine dieser Forderungen verletzen. Diese Kriterien sind in der Technischen Richtlinie TR-03125 des BSI zur Beweiswerterhaltung kryptographisch signierter Dokumente beschrieben. Seite 2 von 5
Die Lösung und ihre Komponenten In Zusammenarbeit mit der Firma KGS bietet FUJITSU eine umfassende Gesamtlösung auf Basis von SecDocs für die Anbindung Ihres SAP-Systems an ein beweiswerterhaltendes Langzeitarchiv an. Diese SAP ArchiveLink: Standard zur Anbindung von externen Ablage-/Archivsystemen an SAP Basiert auf HTTP-Protokoll, seit SAP Release 4.5 ArchiveLink ist die Kommunikationsschnittstelle zur Ablage und Recherche (aus SAP heraus) von Daten und Dokumenten, die extern im Archiv gelagert sind. Auf SAP-Seite ist ArchiveLink in den Basiskomponenten enthalten (kostenfrei) Auf Archiv-Seite wird das ArchiveLink-Protokoll vom Hersteller gemäß der SAP-Spezifikation implementiert und von SAP zertifiziert SAP ILM (Information LifeCycle Management): Für die Datenarchivierung bietet SAP seit 2008 diese zusätzliche Schnittstelle für die Anbindung externer Archive an BC-ILM 2.0 ist kein Ersatz für ArchiveLink, sondern eher eine Ergänzung Unterstützt den Schutz der archivierten Daten für einen vordefinierten Zeitraum (Retention Management), inkl. deren Verlängerung Unterstützt den Schutz der Daten per Legal Hold, auch über die Aufbewahrungsfrist hinaus Unterstützt das komplette ILM Szenario, einschließlich der kompletten Vernichtung der Daten nach Ablauf der Aufbewahrungszeit SAP ILM besteht software-seitig aus den Komponenten Data Archiving, Retention Management und Retention Warehouse SAP ILM ist somit die wegweisende Komponente, um ein langfristiges Datenmanagement unter Einbeziehung von externen Archivsystemen zu realisieren. SAP AG Seite 3 von 5
Für die physische Ablage der über ArchiveLink oder ILM archivierten Objekte wird ein Contentserver benötigt, der das Management dieser Daten übernimmt und die Schnittstelle zum eigentlichen Langzeitarchiv darstellt. Dieser Contentserver wird durch die Firma KGS in die Gesamtlösung integriert und stellt zusammen mit dem SecDocs-Connector das Archiv-Interface dar: Mit SecDocs bietet FUJITSU eine Archiv-Middleware an, mit der es möglich ist, Daten rechts- und revisionssicher in File-basierten Speichersystemen zu archivieren. Die Implementierung von SecDocs realisiert das ArchiSig-Konzept gemäß der Technischen Richtlinie TR-03125, das in Simulationsprojekten von Richtern und Anwälten als rechtssicher bewertet wurde. Mit SecDocs kann die Integrität der archivierten SAP-Daten ab der Übernahme ins Archiv nachgewiesen werden, eine der wesentlichen Funktionen für die Rechtssicherheit. Werden bei SAP-ILM Aufbewahrungszeiten vorgegeben, so werden diese mit Hilfe von Software-WORM in SecDocs und im Storage-System verwaltet, d.h. ein vorzeitiges Löschen der so gekennzeichneten Archivobjekte ist innerhalb der Aufbewahrungsfrist nicht möglich. Die Ablagestruktur der zu archivierenden Objekte kann vom Anwender beeinflusst und so gestaltet werden, dass der Anwender die Archivobjekte im Filesystem ohne Nutzung der Middleware wieder auffinden kann. SecDocs ermöglicht eine physische Trennung der Archivdaten im Filesystem, so können beispielsweise die HR-Daten exklusiv auf eigenen Laufwerken archiviert werden. Da alle Operationen mit dem Archiv von SecDocs protokolliert und die Protokolle periodisch rechtssicher archiviert werden, können alle Archivzugriffe nachvollzogen werden, wie z.b. die Übernahme, das Lesen und Löschen von Archivdaten. SecDocs unterstützt die Verwendung von elektronischen Signaturen und Zeitstempeln von akkreditierten Zeitstempelanbietern, um die Integrität der Archivobjekte seit dem Zeitpunkt der Archivierung sicherzustellen und nachweisen zu können. Dafür sind die zertifizierten Sicherheitskomponenten der Firma OpenLimit in der SecDocs-Lösung integriert. Ein weiterer Mehrwert der Lösung SecDocs liegt in dem offenen Schnittstellenkonzept, das neben der Archivierung von SAP-Objekten jederzeit die Anbindung von NON-SAP Systemen ermöglicht um auch Daten aus anderen Anwendung rechtssicher und langfristig zu archivieren. Benötigte Infrastruktur und Komponenten Um eine problemlose Integration der Archivlösung in bestehende Infrastrukturen zu ermöglichen kommen als Systembasis nur Komponenten zum Einsatz, die quasi als Standard in den meisten Datacentern zu finden sind. Sowohl der KGS-ContentServer als auch die SecDocs-Middleware sind als Java-Lösungen implementiert und laufen in gängigen Applikationsservern (z.b. Jboss) auf einer Linux Plattform. Die letztendliche Ablage der Archivdaten durch SecDocs erfolgt auf einer Filesystemstruktur die z.b. durch vorhandene NFS-Server (z.b. auch Basis von NetApp-Filern oder FUJITSU ETERNUS CS8000 - Systemen) bereitgestellt werden kann. Alle Archviobjekte mit den zugehörigen Meta- und Verwaltungsdaten werden von SecDocs im Storage-System gespeichert (selbsttragendes Archiv). Zur Performance-Optimierung wird ein relationales Datenbanksystem verwendet, entweder Oracle oder MySQL. SAP-Zertifizierte Lösung aus einer Hand FUJITSU hat die Gesamtlösung (KGS-ContentServer in Verbindung mit dem SecDocs-Archiv) sowohl für die ArchiveLink- als auch ILM-Schnittstelle bei der SAP zertifizieren lassen. Dadurch ist sichergestellt, dass alle eingesetzten Komponenten den hohen Qualitäts- und Sicherheitsanforderungen der SAP gerecht werden und die Schnittstellen nach SAP-Vorgaben korrekt und performant unterstützt werden. Für den Kunden bedeutet dieses, dass FUJITSU als Gesamtlösungsanbieter auftritt der die Verantwortung für die Integration der Lösung übernimmt. Seite 4 von 5
Beratungs-, Konfigurations- und Migrationsservices Für die Realisierung eines Archivprojektes ist eine ganzheitliche Beratung und Unterstützung über alle Projektphasen ein wesentlicher Erfolgsfaktor. FUJITSU bietet daher bereits im Vorfeld Beratung zum Einsatz der Lösung an, sorgt für eine vollständige technische und fachliche Integration der Lösung und bietet auf Wunsch auch eine Migration evtl. bereits bestehender Archivdaten an. Dieses Angebot wird durch einen direkten Support in der Go-Live-Phase abgerundet, so dass ein sicherer Übergang in den produktiven Betrieb des Archivs gegeben ist. Kundenreferenz Bundesagentur für Arbeit Die Bundesagentur für Arbeit in Nürnberg nutzt seit Mitte 2014 die SAP-Archivierung mit SecDocs und dem KGS-ContentServer zur beweiswerterhaltenden Langzeitablage von Daten, die aus der SAP-Umgebung ausgelagert werden. Hierzu gehören u.a. archivierungswürdige Applikations-Logs und Schnittstellendaten, FI-Belege sowie Entgeltnachweise und Bescheinigungen. Mittlerweile sind ca. 8 Millionen Objekte im Archiv abgelegt, was einem Gesamtvolumen von gut 3TB entspricht. Die SAP-Archivierung wurde in nur wenigen Wochen konzipiert und implementiert und nutzt das SecDocs-basierte earchiv mit FUJITSU Storage ETERNUS CS8000 Data Protection Appliance. Überblick Die Lösung in der Übersicht Die SAP-Archivierung auf Basis des KGS-Contentserver und der SecDocs-Archivmiddleware überzeugt durch ihren umfassenden Lösungsansatz: Vollständige Archivlösung für ihre SAP-Daten Unterstützung SAP ArchiveLink- und ILM-Schnittstellen Beweiswerterhaltende Archivierung SAP- und BSI-Zertifiziert Verwendung von Standard-Infrastrukturkomponenten SecDocs-Archivlösung auch für NON-SAP Systeme direkt einsetzbar Beratung, Integration und Support aus einer Hand Zusammenfassung Stetig wachsende Datenmengen sind für den Betrieb einer SAP-Umgebung eine Herausforderung, da sie massiven Einfluss auf Performance, Kosten und Sicherheit haben. Gleichzeitig zwingen interne und externe Vorgaben Unternehmen und öffentliche Auftraggeber Daten über einen langen Zeitraum aufzubewahren und bei Bedarf der Nachweis zu führen, dass diese auch noch nach Jahren vollständig und integer sind. Diese Herausforderungen lassen sich durch den Einsatz der SAP-Archivierung über die definierten SAP-Schnittstellen ArchiveLink und BC-ILM in Verbindung mit dem KGS-ContentServer und der FUJITSU Archivmiddleware SecDocs meistern. Mit Hilfe dieser SAP- und BSI-zertifizierten Gesamtlösung sind Kunden in der Lage ihre wichtigen Daten aus den SAP-Systemen auszulagern und unter Aufrechterhaltung der Zugriffmöglichkeit aus dem SAP-System langfristig revisionssicher aufzubewahren. Ergänzend erhält der Kunde durch entsprechende Beratungs-, Integrations- und Migrationsservices für sein SAP-Archivprojekt Unterstützung aus einer Hand. Kontakt FUJITSU Fujitsu Technology Solutions GmbH Mies-van-der-Rohe-Strasse 8, 80807 München, Deutschland Telefon: 00800 37210000* E-Mail: cic@ts.fujitsu.com Website: Fujitsu Technology Solutions GmbH 2016 Alle Rechte vorbehalten, einschließlich der Rechte an geistigem Eigentum. Änderung von technischen Daten vorbehalten. Lieferung nach Verfügbarkeit. Es kann keine Garantie für die Vollständigkeit, Aktualität und Richtigkeit der Daten und Abbildungen übernommen werden. *verfügbar und kostenfrei aus allen Netzen in D/A/CH Mobilfunknetz sind auf 42 Seite 5 von 5 Cent/Minute festgelegt worden)