Mario Linkies, Frank Off Sicherheit und Berechtigungen in SAP -Systemen
Inhalt Vorwort von Prof. Wolfgang Lassmann 15 Vorwort von Dr. Sachar Paulus 17 1 Einleitung 21 1.1 Motivation... 21 1.2 Inhalt... 23 1.3 Lesart... 24 1.4 Danksagung... 24 Teil 1 Grundlagen des Risikomanagements und der IT-Sicherheit 2 Risiko- und Kontrollmanagement 27 2.1 Sicherheitsziele... 27 2.2 Unternehmenswerte... 30 2.2.1 Typen von Unternehmenswerten... 31 2.2.2 Klassifizierung von Unternehmenswerten... 32 2.3 Risiken... 33 2.3.1 Risikotypen... 34 2.3.2 Klassifizierung von Risiken... 37 2.4 Kontrollen... 38 2.4.1 Kontrolltypen... 38 2.4.2 Klassifizierung von Kontrollen... 39 3 Sicherheitsstrategie 43 3.1 Status quo... 43 3.2 Komponenten... 45 3.2.1 Rahmenbedingungen... 46 3.2.2 Strategie... 47 Inhalt 5
3.2.3 Methoden... 48 3.2.4 Best Practices... 48 3.2.5 Dokumentation... 49 3.3 Best Practices einer SAP-Sicherheitsstrategie... 49 3.3.1 Vorgehensweise... 50 3.3.2 Prinzip der Informationsverantwortung... 59 3.3.3 Identity Management... 63 4 Anforderungen 71 4.1 Legale Anforderungen... 71 4.1.1 Sarbanes-Oxley Act... 72 4.1.2 Basel II... 81 4.1.3 GoBS... 84 4.2 Innerbetriebliche Anforderungen... 86 4.3 Zusammenfassung... 88 5 Sicherheitsstandards 89 5.1 Internationale Sicherheitsstandards... 89 5.1.1 Internationaler Sicherheitsstandard ISO 17799... 90 5.1.2 Internationaler Sicherheitsstandard CoBIT... 94 5.1.3 COSO Integriertes Rahmenwerk für das Unternehmensrisikomanagement... 97 5.2 Länderspezifische Sicherheitsstandards... 101 5.2.1 Amerikanischer Standard NIST Special Publications 800 12... 101 5.2.2 Deutscher Sicherheitsstandard IT-Grundschutz des BSI... 105 6 Grundlagen der technischen Sicherheit 111 6.1 Kryptografie... 111 6.1.1 Symmetrisches Verschlüsselungsverfahren... 112 6.1.2 Asymmetrisches Verschlüsselungsverfahren... 113 6.1.3 Hybrides Verschlüsselungsverfahren... 114 6.1.4 Hash-Verfahren... 116 6.1.5 Digitale Signatur... 117 6.2 Public-Key-Infrastruktur... 119 6.3 Authentisierungsverfahren... 121 6.3.1 Benutzername und Passwort... 121 6.3.2 Challenge Response... 122 6.3.3 Kerberos... 122 6.3.4 Secure Token... 123 6.3.5 Digitales Zertifikat... 124 6.3.6 Biometrie... 124 6 Inhalt
6.4 Netzwerkgrundlagen... 124 6.4.1 OSI-Schichtenmodell... 125 6.4.2 Wichtige Netzwerkprotokolle... 128 6.4.3 Firewall-Technologien im Überblick... 129 6.4.4 Secure-Socket-Layer-Verschlüsselung... 131 Teil 2 Sicherheit in SAP NetWeaver und Anwendungssicherheit 7 SAP-Anwendungen und Technologie 135 7.1 Global Security Positioning System... 135 7.2 SAP-Applikationen... 135 7.3 SAP NetWeaver... 137 7.4 Sicherheitstechnologien... 139 7.4.1 Berechtigungen, Risiko- und Änderungsmanagement und Revision... 140 7.4.2 Identity Management... 141 7.4.3 Gesicherte Authentisierung und Single Sign-On (SSO)... 143 7.4.4 Technische Sicherheit... 143 7.4.5 Einflussfaktoren... 145 8 SAP Web Application Server 149 8.1 Einführung und Funktionalität... 149 8.1.1 Übersicht... 149 8.1.2 Technische Architektur... 150 8.2 Risiken und Kontrollen... 151 8.3 Anwendungssicherheit... 159 8.3.1 Technisches Berechtigungskonzept für Administratoren... 159 8.3.2 Berechtigungskonzept für Java-Anwendungen... 166 8.3.3 Einschränkung der Berechtigungen bei RFC-Aufrufen... 172 8.4 Technische Sicherheit... 176 8.4.1 Einführung eines Single-Sign-On-Authentisierungsmechanismus 176 8.4.2 Anbindung des SAP Web AS an ein zentrales LDAP-Verzeichnis 178 8.4.3 Änderung der Standardpasswörter für Standardbenutzer... 180 8.4.4 Sicherheitskonfiguration des SAP Gateway... 180 8.4.5 Einschränkung des Betriebssystemzugriffs... 182 8.4.6 Wichtige sicherheitsrelevante Systemparameter konfigurieren.. 183 8.4.7 Konfiguration von verschlüsselten Kommunikationsverbindungen (SSL und SNC)... 185 8.4.8 Überflüssige Internet-Dienste einschränken... 190 8.4.9 Sichere Netzwerkarchitektur für den Einsatz des SAP Web AS für das Internet... 192 Inhalt 7
8.4.10 Einführung eines Application Level Gateways zur Absicherung von Internet-Anwendungen... 192 8.4.11 Einführung von Härtungsmaßnahmen auf Betriebssystemebene 192 8.4.12 Einführung eines Qualitätssicherungsprozesses für die Softwareentwicklung... 193 9 SAP ERP Central Component 197 9.1 Einführung und Funktionalität... 197 9.2 Risiken und Kontrollen... 197 9.3 Anwendungssicherheit... 204 9.3.1 Authentisierung... 204 9.3.2 Berechtigungen... 205 9.3.3 Weitere Berechtigungskonzepte... 219 9.3.4 Best-Practice-Lösungen... 229 9.4 Technische Sicherheit... 238 10 mysap ERP Human Capital Management 239 10.1 Einführung und Funktionalität... 239 10.2 Risiken und Kontrollen... 239 10.3 Anwendungssicherheit... 246 10.3.1 HCM-Stammdatenberechtigungen... 248 10.3.2 HCM-Bewerberberechtigungen... 249 10.3.3 HCM-Personalplanungsberechtigungen... 249 10.3.4 HCM-Reporting-Berechtigungen... 250 10.3.5 Strukturelle Berechtigungen... 250 10.3.6 Berechtigungen für die Personalentwicklung... 251 10.3.7 Tolerierte Berechtigungen... 251 10.3.8 Berechtigungen für Prüfverfahren... 251 10.3.9 Kundeneigene Berechtigungsprüfungen... 251 10.3.10 Indirekte Rollenzuordnung über die Organisationsstruktur... 252 10.3.11 Zusätzliche Transaktionen mit Relevanz für interne Kontrollen.. 252 10.4 Technische Sicherheit... 253 11 SAP Industry Solutions 255 11.1 Einführung und Funktionalität... 255 11.2 Risiken und Kontrollen... 256 11.3 Anwendungssicherheit... 258 11.3.1 SAP Max Secure... 258 11.3.2 SAP-Rollenmanager... 260 11.4 Technische Sicherheit... 263 8 Inhalt
12 SAP NetWeaver Business Intelligence 265 12.1 Einführung und Funktionalität... 265 12.2 Risiken und Kontrollen... 267 12.3 Anwendungssicherheit... 269 12.3.1 Berechtigungen... 269 12.3.2 Weitere Konzepte... 274 12.4 Technische Sicherheit... 279 13 SAP NetWeaver Master Data Management 281 13.1 Einführung und Funktionalität... 281 13.2 Risiken und Kontrollen... 282 13.3 Anwendungssicherheit... 287 13.3.1 Identity Management und Berechtigungen... 287 13.3.2 Revisionssicherheit... 293 13.4 Technische Sicherheit... 293 13.4.1 Kommunikationssicherheit... 293 13.4.2 Weitere wichtige GSPS-Komponenten... 294 14 mysap Customer Relationship Management 295 14.1 Einführung und Funktionalität... 295 14.2 Risiken und Kontrollen... 295 14.3 Anwendungssicherheit... 297 14.4 Technische Sicherheit... 304 14.4.1 Technische Absicherung der mobilen Anwendung... 305 14.4.2 Weitere wichtige GSPS-Komponenten... 305 15 mysap Supplier Relationship Management 307 15.1 Einführung und Funktionalität... 307 15.2 Risiken und Kontrollen... 308 15.3 Anwendungssicherheit... 309 15.3.1 Wichtige Berechtigungen... 310 15.3.2 Regelbasierte Sicherheitsüberprüfungen anhand von Geschäftspartnerattributen... 318 15.3.3 Benutzermanagement... 321 15.4 Technische Sicherheit... 322 Inhalt 9
16 mysap Supply Chain Management 325 16.1 Einführung und Funktionalität... 325 16.2 Risiken und Kontrollen... 325 16.3 Anwendungssicherheit... 326 16.3.1 Berechtigungen für ippe Workbench... 326 16.3.2 Berechtigungen für Supply Chain Planning... 327 16.3.3 Berechtigungen für Event Management... 327 16.4 Technische Sicherheit... 328 17 SAP Strategic Enterprise Management 331 17.1 Einführung und Funktionalität... 331 17.2 Risiken und Kontrollen... 332 17.3 Anwendungssicherheit... 333 17.4 Technische Sicherheit... 333 18 SAP Solution Manager 335 18.1 Einführung und Funktionalität... 335 18.2 Risiken und Kontrollen... 338 18.3 Anwendungssicherheit... 340 18.4 Technische Sicherheit... 343 18.4.1 Systemüberwachungsfunktion... 343 18.4.2 RFC-Kommunikationssicherheit... 343 18.4.3 Wichtige weitere GSPS-Komponenten... 344 19 SAP Enterprise Portal 345 19.1 Einführung und Funktionalität... 345 19.1.1 Technische Architektur... 346 19.1.2 Bedeutung der User Management Engine... 348 19.2 Risiken und Kontrollen... 352 19.3 Anwendungssicherheit... 360 19.3.1 Aufbau und Design von Portalrollen... 360 19.3.2 Delegierte Benutzeradministration für Portalrollen unter Einbeziehung der Informationseigner... 367 19.3.3 Abgleich der Portalrollen mit den ABAP-Rollen der SAP- Backend-Anwendungen... 370 19.3.4 Änderungsmanagement-Prozess für neue Portalinhalte... 376 19.4 Technische Sicherheit... 378 10 Inhalt
19.4.1 Anschluss des SAP EP an ein zentrales LDAP-Verzeichnis oder SAP-System... 378 19.4.2 Einführung eines Single-Sign-On-Mechanismus auf Basis einer Ein-Faktor-Authentisierung... 380 19.4.3 Einführung eines Single-Sign-On-Mechanismus auf Basis einer integrierten Authentisierung... 384 19.4.4 Einführung eines Single-Sign-On-Mechanismus auf Basis von personenbezogenen Zertifikaten... 386 19.4.5 Konfiguration für anonymen Zugriff... 388 19.4.6 Sichere Erstkonfiguration... 389 19.4.7 Definition und Implementierung von Sicherheitszonen... 390 19.4.8 Sichere Netzwerkarchitektur... 393 19.4.9 Einführung eines Application Level Gateways zur Absicherung von Portalanwendungen... 396 19.4.10 Konfiguration von verschlüsselten Kommunikationsverbindungen... 400 19.4.11 Einsatz eines Viren-Scanners zur Vermeidung einer Vireninfektion... 402 20 SAP Exchange Infrastructure 405 20.1 Einführung und Funktionalität... 405 20.2 Risiken und Kontrollen... 409 20.3 Anwendungssicherheit... 414 20.3.1 Berechtigungen für den Integration Builder... 414 20.3.2 Passwörter und Berechtigungen für technische Service-Benutzer... 416 20.4 Technische Sicherheit... 417 20.4.1 Definition von technischen Service-Benutzern für Kommunikationsverbindungen während der Laufzeit... 417 20.4.2 Einrichtung der Verschlüsselung für Kommunikationsverbindungen... 419 20.4.3 Digitale Signatur für XML-basierte Nachrichten... 425 20.4.4 Verschlüsselung von XML-basierten Nachrichten... 430 20.4.5 Netzwerkseitige Absicherung von Integrationsszenarien... 430 20.4.6 Audit des Integration Builders und der SAP XI-Kommunikation 432 20.4.7 Absichern des File-Adapters auf Betriebssystemebene... 435 21 SAP Partner Connectivity Kit 437 21.1 Einführung und Funktionalität... 437 21.2 Risiken und Kontrollen... 438 21.3 Anwendungssicherheit... 441 21.4 Technische Sicherheit... 442 21.4.1 Eigener technischer Service-Benutzer für jedes angeschlossene Partnersystem... 442 Inhalt 11
21.4.2 Einrichtung der Verschlüsselung für Kommunikationsverbindungen... 442 21.4.3 Digitale Signatur für XML-basierte Nachrichten... 442 21.4.4 Netzwerkseitige Absicherung von Integrationsszenarien... 443 21.4.5 Audit des Nachrichtenaustausches... 443 21.4.6 Absichern des File-Adapters auf Betriebssystemebene... 443 22 SAP Mobile Infrastructure 445 22.1 Einführung und Funktionalität... 445 22.2 Risiken und Kontrollen... 447 22.3 Anwendungssicherheit... 451 22.3.1 Berechtigungskonzept für SAP MI-Anwendungen... 451 22.3.2 Berechtigungskonzept für die Administration... 455 22.3.3 Einschränkung der Berechtigungen des RFC-Benutzers auf Backend-Anwendungen... 456 22.4 Technische Sicherheit... 457 22.4.1 Einrichtung von verschlüsselten Kommunikationsverbindungen 457 22.4.2 Synchronisationskommunikation absichern... 458 22.4.3 Überflüssige Dienste auf dem SAP MI-Server deaktivieren... 460 22.4.4 Sichere Netzwerkarchitektur... 461 22.4.5 Monitoring... 462 23 Datenbankserver 463 23.1 Einführung und Funktionalität... 463 23.2 Risiken und Kontrollen... 464 23.3 Anwendungssicherheit... 466 23.4 Technische Sicherheit... 468 23.4.1 Ändern von Standardpasswörtern... 468 23.4.2 Entfernen von nicht benötigten Datenbankbenutzern... 470 23.4.3 Einschränkung des Datenbankzugriffs... 471 23.4.4 Konzeption und Implementierung eines Datenbanksicherungskonzeptes... 471 23.4.5 Konzeption und Implementierung eines Upgrade-Konzeptes... 472 24 SAP Web Dispatcher 473 24.1 Einführung und Funktionalität... 473 24.2 Risiken und Kontrollen... 473 24.3 Anwendungssicherheit... 475 24.4 Technische Sicherheit... 475 24.4.1 Einsatz des SAP Web Dispatcher als Reverse Proxy... 475 24.4.2 Konfiguration des SAP Web Dispatcher als URL-Filter... 477 12 Inhalt
24.4.3 SSL-Konfiguration... 479 24.4.4 Monitoring... 481 25 SAProuter 483 25.1 Einführung und Funktionalität... 483 25.2 Risiken und Kontrollen... 483 25.3 Anwendungssicherheit... 484 25.4 Technische Sicherheit... 484 26 SAP Internet Transaction Server 487 26.1 Einführung und Funktionalität... 487 26.2 Risiken und Kontrollen... 489 26.3 Anwendungssicherheit... 492 26.3.1 Zugriffsrechte auf die Service-Dateien setzen... 492 26.3.2 Administrationskonzept... 494 26.4 Technische Sicherheit... 495 26.4.1 DMZ-Netzwerksegmentierung einrichten... 495 26.4.2 Verschlüsselung der Kommunikationsverbindungen einrichten... 496 26.4.3 Zertifikatsbasiertes Authentisierungsverfahren einrichten... 498 26.4.4 Pluggable Authentication Service einrichten... 499 27 SAP GUI 503 27.1 Einführung und Funktionalität... 503 27.2 Risiken und Kontrollen... 504 27.3 Anwendungssicherheit... 506 27.3.1 Signaturarten... 506 27.3.2 Unterstützte elektronische Dokumentenformate... 508 27.3.3 Technische Umsetzung der SSF-Funktionen... 508 27.3.4 Speicherung der digital signierten Dokumente... 511 27.3.5 Installation der SSF-Funktionen... 513 27.4 Technische Sicherheit... 513 27.4.1 SSO für das WebGUI durch Integration in die Betriebssystemauthentisierung... 513 27.4.2 SSO für das WebGUI durch Verwendung von digitalen Zertifikaten... 514 27.4.3 Restriktion des Zugangs auf einen SAP Web AS mithilfe des SAProuter... 516 Inhalt 13
28 Webbrowser 517 28.1 Einführung und Funktionalität... 517 28.2 Risiken und Kontrollen... 518 28.3 Anwendungssicherheit... 519 28.4 Technische Sicherheit... 519 28.4.1 Anti-Viren-Software und deren Aktualisierung für den Desktop... 519 28.4.2 Einsatz einer Personal Firewall für den Desktop... 520 28.4.3 Sicherheitseinstellungen für den Webbrowser... 520 29 Mobile Endgeräte 523 29.1 Einführung und Funktionalität... 523 29.2 Risiken und Kontrollen... 523 29.3 Anwendungssicherheit... 526 29.4 Technische Sicherheit... 527 29.4.1 Verwendung von mobilen Endgeräten mit Authentisierungsmechanismus... 527 29.4.2 Einrichtung einer Verschlüsselungsmethodik für Speichermedien... 528 29.4.3 Verwendung eines Virenschutzes... 528 29.4.4 Einrichtung einer Personal Firewall... 528 29.4.5 Etablierung eines Backup-Konzeptes... 529 29.4.6 Aufsetzen von Zugriffsrechten auf wichtige Systemdateien... 529 29.4.7 Etablierung eines Sicherheitsbewusstseins beim Benutzer... 530 A Die Autoren 531 Index 533 14 Inhalt
Vorwort von Prof. Wolfgang Lassmann Die zunehmende weltweite Vernetzung der Computer, die immer weiter reichenden nationalen und internationalen Geschäftsprozesse über das Internet und die zunehmende Komplexität von Informationssystemen vergrößern die Gefahr fahrlässiger Handlungen oder vorsätzlicher Angriffe auf die Informationssysteme. Anonyme Angreifer können unbefugt von einem beliebigen Ort mit Internet- Zugang in entfernte Systeme eindringen und hohen materiellen oder gesellschaftlichen Schaden verursachen. SAP, Microsoft und andere namhafte Unternehmen haben in jüngster Zeit Initiativen gestartet, die zur allseitigen Verbesserung der IT-Sicherheit dienen. Beispiele sind»deutschland sicher im Netz«oder die»sap Global Security Alliance«. Diese Initiativen helfen sowohl den Kunden als auch den Lösungsanbietern, möglichst einfache Lösungen für die komplizierte IT-Welt gemeinsam zu projektieren und zu implementieren. Eine wichtige Aufgabe wissenschaftlicher Einrichtungen und Institutionen im IT- Bereich ist es, die komplizierten Zusammenhänge und ihre Gefahren aufzuzeigen und wirksame Lösungen zur Gefahrenabwehr vorzuschlagen. Einer solchen Aufgabe widmen sich die Autoren Mario Linkies und Frank Off in sehr geschickter Weise in dem vorliegenden Fachbuch. Als erfahrene Spezialisten auf dem Gebiet der IT-Security der SAP-Beratungsorganisation verfügen sie über wertvolles und aktuelles Praxiswissen, aber auch über die notwendige theoretische Systematik für die wesentlichen Zusammenhänge. Das Buch vermittelt einen überschaubaren Einstieg in die Gesamtthematik der IT- Sicherheit. Dabei ist es den Autoren sehr gut gelungen, das nach außen gerichtete technologische Sicherheitsmanagement (Security Reporting) mit dem nach innen orientierten betriebswirtschaftlichen Risikomanagement (Risk Reporting) zu verbinden. Integrierte Lösungen, Beachtung von Risiken, ganzheitlicher Ansatz all das sind Begriffe, die die Bedeutung der IT-Sicherheit beschreiben. Das Buch regt an, über die bisherigen Sicherheitslösungen im eigenen Unternehmen kritisch nachzudenken und diese mit den neuen Anforderungen zu vergleichen. Folgerichtig gelangt der Leser über die Risikoanalyse zu effektiven Kontrollmethoden und schließlich zu einer IT-Sicherheit, die den gesetzlichen Anforderungen entspricht. Mit dem Global Security Positioning System (GSPS) wird im vorliegenden Buch ein Szenario behandelt, das SAP- und andere IT-Komponenten mit den erforderlichen Kommunikations- und Sicherheitslösungen grafisch in Beziehung setzt. Vorwort von Prof. Wolfgang Lassmann 15
GSPS weist auf die Möglichkeiten hin, wie man mittels eines Simulationstools seine IT-Landschaft unter Nutzung möglicher SAP- und anderer Lösungen optimieren kann. Ich bin sicher, dass dieses Buch einen wesentlichen Beitrag für die verantwortungsvolle Arbeit auf den Gebieten des Sicherheits- und Risikomanagements in der IT-Branche leistet. Den Autoren sei Dank dafür! Im Oktober 2005, Prof. Dr. Dr. h.c. Wolfgang Lassmann Universitätsprofessor für Wirtschaftsinformatik und Operations Research an der Martin-Luther-Universität Halle-Wittenberg 16 Vorwort von Prof. Wolfgang Lassmann
Vorwort von Dr. Sachar Paulus Sicherheit und Compliance wachsen zunehmend zusammen, das ist aus Security- Management-Sicht die zentrale Beobachtung der letzten Monate. Noch vor gar nicht allzu langer Zeit war die Erfüllung der gesetzlichen Anforderungen in der IT (wenn man einmal von wenigen Branchen, etwa den produzierenden Unternehmen der Pharmabranche, absieht) ein Thema, das vorrangig den Finanzvorstand interessiert hat, da die»compliance«auf die Börsenaufsicht und korrekte Rechnungslegung beschränkt war. Die Sicherheitsspezialisten in der IT waren hingegen mit Infrastrukturthemen beschäftigt. Zu dieser Zeit bis ungefähr zum Jahr 2002 waren auch die Interessengruppen geteilt: auf der einen Seite die Wirtschaftsprüfer und die interne Revision, und auf der anderen Seite die IT-Security-Spezialisten. Die Letzteren kümmerten sich um die Sicherheit der Netzwerke, der E-Mail-Systeme mit Firewalls, Anti-Virus- und Passwortmanagement, die Revisoren hingegen um Berechtigungen in betriebswirtschaftlichen Applikationen. Obwohl beide Gruppen dasselbe Ziel haben (alles soll mit»rechten Dingen«vonstatten gehen), sind die Sprachen sehr unterschiedlich. Sicherheitsfachleute sprechen von»maßnahmen«und»bedrohungen«, Auditoren von»kontrollen«und»risiken«. Die Konvergenz der beiden Bereiche ist auf zwei Faktoren zurückzuführen: Der Zusammenbruch von Enron und die darauf folgende Gesetzesinitiative»Sarbanes-Oxley Act«haben die Haftung für Kontrollen in IT-Systemen deutlich erhöht und die Vorgehensweise zur Handhabung von Risiken spezifiziert viele der notwendigen Schritte wurden oft schon von der IT-Sicherheit gemacht, jedoch nicht nach Bedarf und in Abstimmung mit den Auditoren. Die Öffnung von betriebswirtschaftlichen Systemen zu Kunden und Partnern über das Internet wurde zur dringenden Notwendigkeit. Plötzlich mussten die Mitarbeiter der IT-Sicherheit und die Auditoren miteinander sprechen, was vorher nicht notwendig war, weil die Auditoren»in das Innere«geschaut haben, während die IT-Sicherheitsverantwortlichen für»das Drumherum«zuständig waren. Doch innen und außen gibt es nicht mehr, jetzt gilt es, jeden einzelnen Prozess geeignet zu schützen. Und dies erfordert die Zusammenarbeit von Infrastruktur- und Applikationsverantwortlichen. Bei SAP, einer globalen Organisation mit über 33.000 Mitarbeitern an 60 Standorten, befinden wir uns derzeit in einer solchen Konvergenzphase. Es gibt eine globale Sicherheitsorganisation, und es gibt eine globale Risikomanagementorganisation (die lokalen Einheiten haben die entsprechenden Rollen oft in Personal- Vorwort von Dr. Sachar Paulus 17
union besetzt), es gibt ein Risk Reporting, und es gibt ein Security Reporting. Im Risk Reporting tauchen die Sicherheitsrisiken auf, und im Security Reporting die sicherheitsspezifischen Anforderungen aus den gesetzlichen Vorgaben. Die Kooperation und Integration der beiden Ansätze wird stetig auf technischer und prozessualer Ebene vorangetrieben, und es ist nur noch eine Frage der Zeit, bis dies auch organisatorisch umgesetzt wird. Manche Kunden von SAP haben diesen Schritt bereits vollzogen und haben zentrale Abteilungen eingerichtet, die sich»security & Controls«oder»Chief Information Security Office«nennen, die die Umsetzung von gesetzlichen Vorgaben wie zum Beispiel SOX, Bundesdatenschutzgesetz, FDA CFR Part 11 und California Civil Act SB 1386 einerseits und die eigenen Schutzziele andererseits in Maßnahmen und Kontrollen technischer, organisatorischer oder personeller Art verantworten. Die Trennung von Risikomanagement und Sicherheitslösungen ist dort nicht mehr sichtbar. Bei aller Kompetenz im Markt sind die Erfolgsfaktoren das praktische Wissen über Kontrollen für bestimmte Technologien, eine einheitliche Sprache,»Best Practices«weiterhin selten konzentriert anzutreffen. Die Spezialisten an den Schnittstellen zwischen Betriebswirtschaft und Technologie sind gefordert, dieses Wissen zu bündeln, methodisch aufzubereiten und zu verbreiten, damit angemessene Kontrollen nachhaltig industrieweit eingeführt und umgesetzt werden können. Eine besondere Rolle kommt dabei SAP zu. Wie kein anderes Softwareunternehmen ist SAP an der Schnittstelle zwischen betriebswirtschaftlichen Prozessen und Technologie tätig; es hat sich zum Ziel gesetzt, technologischen Fortschritt zum Nutzen neuer, innovativer Geschäftsprozesse einzusetzen. Damit fällt SAP auch bei der Modellierung der Kontrollen für diese neuartigen Geschäftsprozesse eine wesentliche Verantwortung zu: Die von SAP angebotenen Lösungen müssen integrierte Kontrolloptionen bereits im Vorfeld unterstützen und integrativ in Prozesse einbinden. Der Einsatz neuer Technologie, wie zum Beispiel service-orientierte Architekturen (SOA), wird aller Voraussicht nach nicht mit den etablierten Methoden funktionieren und fordert integrative Lösungen und Methoden. SAP, Partnerunternehmen und Spezialisten im direkten Umfeld von SAP können am besten das Wissen aufbauen und verbreiten, das notwendig ist, um geeignete Kontrollen zu definieren und in den Unternehmen auf nationaler und internationaler Ebene zu etablieren und somit vertrauenswürdige Geschäftsprozesse auch produktiv einsetzen zu können. Das vorliegende Buch ist ein wichtiger Schritt auf dem Weg, Compliance- und Sicherheitsanforderungen in den zukünftigen Architekturen zu erkennen und die notwendigen Lösungen aufzuzeigen. Zum ersten Mal werden die Sicherheitsas- 18 Vorwort von Dr. Sachar Paulus
pekte der SAP-Software aus Compliance- und Risikogesichtspunkten beleuchtet und deren Notwendigkeiten bewertet. Dabei wird vor allem auf die neuen SAP- Lösungen eingegangen, die schon erste service-orientierte»züge«aufweisen. Als Leiter der globalen Focus Group Risk Management & IT Security der SAP-Beratungsorganisation, zu der auch Dr. Frank Off gehört, zählt Mario Linkies einerseits zu den Praktikern, die SAP-Lösungen gesetzeskonform bei Mandanten weltweit zum Einsatz bringen, ist andererseits aber nah genug an den neuen Konzepten, um seine Erfahrung in die Konzepterstellung der neuen Produkte einfließen lassen zu können. Mario Linkies und Frank Off sind damit die idealen Autoren für diesen großen Themenkomplex. Ich wünsche Ihnen, dass das vorliegende Buch einen guten Einstieg in die Thematik von Risiko- und Kontrollmanagement, Compliance und IT-Sicherheit bietet, damit Ihnen die Aufgabe, Ihre SAP-Lösungen sicher und gesetzeskonform zu betreiben, leichter fällt, Sie Denkanstöße und Ideen gewinnen, und die richtigen Investitionen im IT-Sicherheitsbereich tätigen, um zusätzlich Kosten für den Betrieb reduzieren zu können. Im Oktober 2005, Dr. Sachar Paulus Chief Security Officer SAP AG Vorwort von Dr. Sachar Paulus 19
1 Einleitung Wir leben in einer unsicheren Welt. Märkte, Finanzen, Unternehmenswerte, Menschen, Arbeit, Gesundheit, Kultur, Werte alles scheint bedroht. Einige dieser Bedrohungen sind real, andere haben ihren Einfluss auf unser Leben in vielen Entwicklungen sichtbar gemacht. Sicherheit ist eines der Grundbedürfnisse der Menschen. Das gilt im privaten ebenso wie im unternehmerischen Umfeld. Die Risiken sind Bestandteil unseres Lebens. Sie bieten Chancen, müssen aber auch kalkulierbar bleiben. Transparenz ist daher gefordert. Erkennbare Risiken lassen sich mit Maßnahmen zur Risikokontrolle minimieren, um die notwendige Sicherheit zu erreichen, die nicht nur für unternehmerisches Handeln ein Grundbedürfnis darstellt. Die Kontrolle von Risiken und deren Reduzierung ist eines der wesentlichen Elemente, das den IT-Bereich in den kommenden Jahren verstärkt prägen wird. Mit wachsender Funktionalität, veränderter Technologie, der Öffnung interner IT-Systeme und zunehmenden staatlichen und internationalen Regulierungen wie Sarbanes-Oxley und Basel II ergeben sich zwangsläufig neue Anforderungen an sichere Prozesse, Systeme und Anwender. Die Globalisierung verbindet nationale und internationale Geschäftspartner über B2B-, I2I- und B2G-Szenarien. Mitarbeiter werden befähigt, neue, effektivere Kommunikationsmittel und Applikationen zu nutzen. Kunden und Konsumenten nutzen mehr und mehr das Internet und mobile Endgeräte, um Informationen zu erhalten, Reservierungen vorzunehmen oder Bestellungen zu platzieren. Die dramatischen ökonomischen und technologischen Veränderungen spiegeln sich in den Geschäfts- und Marktabläufen wider. Diese Veränderungen werden aber auch von neuen Gefahren begleitet, die auf Märkte, Prozesse, Systeme, Organisationen, Mitarbeiter, Partner und Kunden einwirken und diese empfindlich beeinflussen und stören können. Diese Entwicklungen und die Interaktion von Geschäftspartnern, Mitarbeitern und Kunden können nur über geeignete Sicherheitsstrategien und entsprechende Maßnahmen geschützt werden. Wesentliche Elemente der Sicherheitsmaßnahmen und Kontrollen werden im vorliegenden Buch aufgezeigt und erläutert. 1.1 Motivation SAP hat in den letzten Jahren einen Quantensprung vollzogen. Das Angebot der Funktionalität wurde ebenso erweitert wie die Umsetzung in neue Technologien, Applikationen und Systeme. Ein wesentlicher Schritt ist der Übergang der bislang abgegrenzten Architektur auf Basis von Programmen der Sprache ABAP/4 zur neuen Welt von SAP NetWeaver mit Komponenten wie SAP Enterprise Portal, SAP Exchange Infrastructure, J2EE und mobiler Infrastruktur. Die neuen Technologien und erweiterten Funktionalitäten verbessern einerseits die Möglichkeiten Einleitung 21
der Integration von Partnerunternehmen und Kunden, erfordern anderseits jedoch die Betrachtung und Reduktion von Risiken, die diese neuen Entwicklungen mit sich bringen. Der finanzielle Zerfall von Großunternehmen wie Enron oder die Aktivitäten einiger Manager und Wirtschaftsprüfungsgesellschaften hatten Anfang des neuen Jahrtausends das Vertrauen von Anlegern und Teilhabern besonders von börsennotierten Unternehmen tief erschüttert. Dies führte zu neuen Gesetzen und der Erweiterung von staatlichen Kontrollnormen wie beispielsweise dem Sarbanes- Oxley Act in den USA für börsennotierte Unternehmen oder Basel II für die Finanzindustrie. Ziel dieser Gesetzgebungen ist es, stärkere Kontrollen und verbesserte Sicherheitsmaßnahmen innerhalb der Unternehmen und Organisationen zu etablieren, zum Schutz von Anlegern, Unternehmen, Mitarbeitern und Konsumenten. Ein Mittel zur Durchsetzung dieser staatlich kontrollierten und mit persönlichen Strafen für die betroffenen Manager verbundenen Gesetze ist die konsequente Sicherheit von IT-unterstützten Prozessen, Geschäftstransaktionen und Finanzdaten durch IT-Sicherheitsmaßnahmen. Weiterhin gibt es bei einer Vielzahl von bestehenden Organisationen mit SAP- Implementierungen einen großen Nachholbedarf bei der Etablierung effektiver Berechtigungen und sicherer, optimierter Administrationsprozesse. Da es praktisch keine methodischen Standards für Berechtigungs- und Rollenstrukturen gibt, existiert in den Unternehmen eine schier unendliche Vielfalt von Lösungen, die auch die technische IT-Sicherheit betreffen. Die Berechtigungsadministratoren sind teilweise fachlich überfordert, und die Prozesse unterstützen oft nicht die tatsächlichen Anforderungen für sichere Benutzeradministration und Benutzermanagement. Dieses Buch baut auf den internationalen Beratungs- und Lehrerfahrungen der Autoren und der engen Zusammenarbeit mit SAP und Partnerunternehmen im Risiko- und Sicherheitsbereich auf. Es bietet die Möglichkeit, einen Überblick über das Gesamtthema»SAP NetWeaver-Sicherheit«zu erhalten und einen Einstieg in die Komponenten einer gesicherten SAP-Implementierung zu finden. Die Autoren erheben keinen Anspruch auf Vollständigkeit, verfolgen jedoch einen beratungstechnischen Ansatz bei der Beschreibung von Konzepten, Problemen, Vorgehensweisen und Beispielen. Die geneigten Leser Unternehmensleitungen, Wirtschaftsprüfer und interne Revision, Sarbanes-Oxley-Teams, Informationseigner, Datenschutzbeauftragte, Berechtigungsadministratoren, SAP-Projektverantwortliche, Sicherheitsbeauftragte sowie alle interessierten Mitarbeiter, Dienstleister und Berater erhalten eine Anleitung zum Einstieg in die Gesamtthematik der Bewertung von Risiken, Erstellung von Kontrolloptionen, dem Design von Sicherheitsmaßnahmen und der geeigneten Vorgehensweise zum Aufsetzen der unterstützenden Verfahren und Prozesse. 22 Einleitung
Ziel ist es, einen Beitrag zur Verbesserung der Sicherheit von bestehenden SAP- Systemen und Prozessen zu leisten, neue Technologien und das erweiterte Funktionsportfolio in die Betrachtung der Sicherheitsmaßnahmen einzubeziehen, und eine Hilfestellung bei der Bearbeitung von gesetzlichen Forderungen im Bereich Risiko- und Kontrollmanagement zu bieten. Einzelne IT-Sicherheitsthemen dürfen nicht mehr losgelöst und separat betrachtet werden, sondern müssen als ganzheitliche strategische und kontinuierliche Aufgabe verstanden sein, um Sicherheit im gesamten Unternehmen und damit für Geschäftspartner und Shareholder zu etablieren. Das Buch soll helfen, unterstützen, neue Ideen vermitteln, auf Best-Practice- Lösungen hinweisen und einen Einblick in die komplexe, aber wichtige Welt der IT-Sicherheit geben, um den wachsenden Anforderungen mit effizienten Methoden, Lösungen und Strategien gerecht zu werden. 1.2 Inhalt Die folgende Übersicht bietet einen Überblick zu den wesentlichen Inhalten der einzelnen Kapitel des Buches: Teil 1 Kapitel 2 vermittelt eine Übersicht zum Thema Risiko- und Kontrollmanagement. Es werden Begriffe wie Unternehmenswerte, Risiko- und Kontrolltypen, Gefahrenpotenziale sowie Methoden wie Risikoanalyse und Kontrollberatung erläutert. Kapitel 3 bietet Grundlagen für die richtige Sicherheitsstrategie, bewährte Vorgehensweisen, Erfahrungen bei Implementierungsprojekten und Systemprüfungen, neue Methoden und Prinzipien sowie SAP-Sicherheitslösungen, Lösungen von Sicherheitsunternehmen sowie Beispiele für Best-Practices. Kapitel 4 geht auf einige wichtige gesetzliche Regelungen und Anforderungen ein, die Einfluss auf IT-Sicherheit und deren Kenngrößen haben. Kapitel 5 führt in die Beschreibung der länderspezifischen und internationalen Sicherheitsstandards ein, die als Leitfaden für Sicherheitsprojekte dienen können. Kapitel 6 beschreibt die technischen und konzeptionellen Grundlagen von Sicherheitslösungen für die aktive Einbindung in unternehmensweite Kontrollmaßnahmen. Inhalt 23
Teil 2 Kapitel 7 bietet den zentralen Einstieg in das Thema SAP NetWeaver-Sicherheit. Es ermöglicht durch das Global Security Positioning System (GSPS), das diesem Buch auch als Poster beigelegt ist, eine Navigationshilfe, erläutert die Grundzüge der SAP NetWeaver-Technologie und führt zu bewährten und neuen Sicherheitsmethoden und -technologien. Die Kapitel 8 bis 29 stellen die wesentlichen Komponenten von SAP NetWeaver mit Risiken und Kontrollmaßnahmen dar. Dabei werden sowohl die Gefahrenpotenziale anhand von Beispielen als auch die einzelnen Konzepte für Applikationsund Systemsicherheit erklärt. Es gibt einen fachlich fundierten Überblick, ohne sich dabei in technischen Feinheiten zu verstricken. 1.3 Lesart Dieses Buch ist modular aufgebaut. Sowohl dem erfahrenen als auch dem unerfahrenen Leser, sowohl dem Projektleiter und Entscheidungsträger in der Organisation als auch dem internen und externen Mitarbeiter und Berater soll das Buch einen Mehrwert bieten. Es liefert dazu einen Einstieg in die Thematik und soll einen Gesamtüberblick über die komplexe Welt der Sicherung von IT-gestützten Prozessen und angebundener Systeme bieten. Die Kapitel bauen aufeinander auf und sind meist nach dem gleichen Schema strukturiert. Erklärende Kapitel und Inhalte wie Grundlagen, Beispiele und Best-Practice- Methoden ergänzen die Ausführungen. Best-Practice-Methoden sind dabei Lösungen, die in der Vergangenheit sehr erfolgreich genutzt wurden oder neueste Entwicklungen in der Sicherheitsberatung widerspiegeln. Sie bieten Anhaltspunkte, an welchen Stellen Sicherheitsstrategien mit wenig Aufwand und schnellen Erfolgen optimiert werden können. 1.4 Danksagung Die Autoren haben diese Fachlektüre in ihrer Freizeit neben ihrer verantwortungsvollen nationalen und internationalen Beratungs- und Lehrtätigkeit verfasst. Vor allem die Unterstützung aus der eigenen SAP-Unternehmensgruppe durch Kollegen, durch Fachspezialisten und Sicherheitsberater, durch die Zusammenarbeit mit namhaften Beratungs- und Wirtschaftsprüfungsunternehmen, durch Sicherheitsunternehmen, durch Familie, Freunde und professionelle Unterstützer aus Deutschland, Südafrika und Kanada ist dieses Werk zustande gekommen. Freda Li (Toronto) hat die GSPS-Map erstellt. Für die Unterstützung aller möchten sie sich deshalb herzlich bedanken. 24 Einleitung