Embed Size (px)
Citation preview
Sicherheit in SAP R/3 SystemenChancen und Risiken
Dr. Klaus H. Schmidt, secaron AG [email protected]
AusgangssituationRisikenSicherheitsservices im R/3 UmfeldBeispieleChancen zur KosteneinsparungVorgehensweiseFazit
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 2
Der Geschäftszweck
Die secaron AG steht Ihnen als kompetenter Partner in allen Fragen
der IT-Sicherheit zur Verfügung:
IT-Sicherheitsmanagement und IT-Risikomanagement
IT-Sicherheitskonzepte und IT-Sicherheitslösungen
IT-Sicherheitsaudits und -Zertifizierungen
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 3
Ausgangssituation: Marktanforderungen
„Collaborative Business“ stellt neue Anforderungen:• Zugriff auf die Systeme durch Kunden, Partner, Lieferanten und Mitarbeiter• Online-Zugriffe für „Just-in-Time“ Geschäftsabwicklung• Kooperationen auf virtuellen Markplätzen• Kommunikation mit Behörden über elektronischen Bürgerservice
Grundlage dafür sind:• Einhaltung der gesetzlichen Rahmenbedingungen (z.B. Datenschutz)• Solide Vertrauensbasis• Zuverlässige Authentifizierungsverfahren• Benutzerfreundliche und sichere Single-Sign-On Mechanismen
(erhöhtes Risiko durch Kumulationseffekt !)• Digitale Signaturen zum Beweis der Authentizität und Integrität der Daten
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 4
SAP R/3
B
ai
tgd
WebServer
B
I MI M
UNIXNT
OS/390
AdministratorPartner
Kunden
Internet bzw.StandleitungInternet bzw.Standleitung
SSL / TLS
Niederlassung ZentraleMitarbeiter
Flexibilitätund Mobilitätdes SAP- bzw.Web-Zugriffs !
Lieferanten
I MI M
WeblogicWebSphere
IIS
Applikation
Ausgangssituation: Systemarchitektur
Intranet (WLAN / IP)
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 5
Ausgangssituation: Kritische Schwachstellen in SAP R/3 Landschaften
• Fachliche Module (z.B. HR): Höchste Schutzbedarfsklasse aufgrund gesetzlicher Vorschriften
• Absicherung Plattform: Betriebssystem und Datenbank
• Absicherung Web-Schnittstellen: ITS, WAS, WebServer
• Eigenentwicklungen: Berechtigungsabfragen
• Fernwartungszugänge
• Transport von (kritischen) Berechtigungen ins Produktivsystem
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 6
Ausgangssituation: Wirtschaftliche Rahmenbedingungen
Kundenservice und Kosteneinsparung stehen im Vordergrund
Heterogene IT-Landschaften herrschen vor
Die Folgen aufgrund steigender Komplexität sind oft katastrophal:
• Massiv steigende Betriebskosten der IT
• Wenig kostengünstige Möglichkeiten zur Korrektur
• Erhöhtes Sicherheitsrisiko: Beispiel HR-Daten !
Aber: SAP bietet als zentrales ERP-System ein erhebliches Potenzial für Synergieeffekte !
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 7
SAP R/3 Sicherheitsservices
Quelle: SAP Sicherheitsleitfaden
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 8
SAP R/3 Sicherheitsservices
• Benutzerauthentifizierung: Kennwörter, Single-Sign-ON, starke Authentifizierung
• Berechtigungskonzept:Berechtigungsmodell, Profilgenerator, Infosystem Berechtigungen
• NetzwerkkommunikationSAP Router, Secure Network Communications (SNC), SSL/TLS
• Secure-Store&Forward Mechanismen (SSF) für Verschlüsselung und digitale Signatur
• Prüfung und Protokollierung:Audit Info System (AIS), Security-Audit-Log
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 9
Ergänzende Sicherungsmechanismen
• Remote Access (RAS) Virtual Private Network (VPN), z.B. mit IPSec: Fernwartung, Anbindung Töchter/Niederlassungen
• Firewalls:in Verbindung mit SAP-Router
• Plattformsicherheit:Gehärtete Betriebssysteme und Datenbanken
• WebServer Sicherheit:Internet Transaction Server (ITS), Web Application Server (WAS)
• Prozesse und Tools zur Überprüfung kritischer Berechtigungen
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 10
Beispiel 1: Authentifizierung
PluggableAuthenticationAdapter (PAS)
Authentifizierung• UserID/Passwort• X509 Zertifikate
Logon Ticket (SAP)
NTLMLDAP
RadiusWebAccess
...
SAP EnterprisePortal
SAP DiensteApplikationen
1. Nach der Authentifizierung wird ein SAP-Logon Ticket für ausgestellt 2. Externe (Non-SAP) Nutzung möglich: Single-Sign-On (SSO).
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 11
Beispiel 2: Systemabsicherung mit SNC
Datenbank
Benutzer mitSAP GUI
TCP/IPTCP/IPSSL/TLS
SNCSNC
TCP/IPSNC
IBM
http/https
DIAG/RFC
VPN
Webserver+
WGate
Benutzer mitWebbrowser
Intranet /Internet
SAP R/3AGate
SNC = Secure Network Communications
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 12
Beispiel 3: Überprüfung kritischer Berechtigungen I
Komplexes Berechtigungsmodell:Welche Berechtigungen
hat nun ein Benutzer wirklich?
Kontroll und Funktions-trennungsprinzip:
Hat ein Benutzer kritische Rechte?
...Rolle Fachbe-nutzer 2
Revisor
Revisor
Fachbe-nutzer 1
Fachbe-nutzer 2
Fachbe-nutzer 1
X
X
X
X
XXX
AktivitätenBenutzer
...... Sammelprofil
...Berechtigungen
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 13
Beispiel 3: Überprüfung kritischer Berechtigungen II
Konzeption
und
Implementierung
Prüfung
und
Freigabe
Audit
Entwicklung Qualitäts-sicherung Produktion
Change&Transport System
Change&Transport System
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 14
Chancen: Kosteneinsparung im Employee Self Service
Mitarbeiter
Antrag
1 32Manager
Freigabe
Sachbe-arbeiter
Erfassung
4
Archiv
Mitarbeiter
Antrag
Erfassung
1 32Manager
Freigabe
4Archiv
elektronisch
5 min5-15 min 5 min 6-15 min
5-15 min 5 min
Entfällt !
Klassischer Prozess:
Digitalisierter Prozess:
Beispielprozesse (mit hoher Stückzahl):
• Arbeitszeitänderung, insbesondere Nachmeldung
• Urlaubsantrag
• Reiseabrechnung
Prozessoptimierung:
• Direkte, elektronische Erfassung (Mitarbeiter)
• Freigabe durch digitale Signatur (Mitarbeiter und Manager)
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 15
Chancen Kosteneinsparung im Employee Self Service
Nutzenrechnung (konservative Betrachtung):
Zeitersparnis: 6-15 Minuten / VorfallTagessatz: 800 €Kosteneinsparung 10-25 € / Vorfall
Anzahl der Vorfälle 10-20 / Mitarbeiter im JahrKosteneinsparung 100-500 € / Mitarbeiter im Jahr
Ersparnis bei 10.000 Mitarbeitern 1 - 5 Millionen € / Jahr
Zusätzlicher Nutzen:
Beschleunigung und hohe Verfügbarkeit der ProzesseFehlerbereinigung (weitere Einsparungsmöglichkeit)Erfüllung von Datenschutzanforderungen (HR/Personalprozesse !)
Die Sicherheitstechnik ist gleichzeitig
Voraussetzung und Werkzeug für neues Prozessdesign und die
damit verbundene Möglichkeit zur Kosteneinsparung.
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 16
Vorgehensweise im Projekt
1. Durchführung Schutzbedarfsanalyse
2. Erstellung Sicherheitsrichtlinien und –konzepten
3. Implementierung der SAP R/3 Sicherheitsservices und Integrationherkömmlicher IT-Sicherheitsmaßnahmen
4. Durchführung von Audits und Penetrationen der technischen und organisatorischen Sicherheitsmaßnahmen
Vertrauen auch Sie auf unsere Erfahrung, unser Know-how und unsere effiziente und kundenorientierte Projektabwicklung!
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 17
Ziel: Einbindung von SAP R/3 ins unternehmensweite IT-Sicherheitsmanagement
Sicherheits-
Politik
Schutzbedarfsdefinition
(Sicherheitslevel)
Sicherheits-Standards
und Richtlinien
Technische Sicherheitskonzepte
(Detailkonzepte)
Geschäftsbetrieb
Unternehmensleitung
Chief Security Officer
Sicherheitsabteilung
IT-Betrieb
IT-Security
Sic
herh
eit
sorg
an
isati
on
Reporting
Audit
Organisation
Technik
Sicherheits-
Politik
Schutzbedarfsdefinition
(Sicherheitslevel)
Sicherheits-Standards
und Richtlinien
Technische Sicherheitskonzepte
(Detailkonzepte)
Geschäftsbetrieb
Unternehmensleitung
Chief Security Officer
Sicherheitsabteilung
IT-Betrieb
Spezialisten SAP R/3IT-Security
Sic
herh
eit
sorg
an
isati
on
Reporting
Audit
kurzlebig
langlebig
Organisation
Technik
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 18
Vorgehensweise zu sicheren (SAP R/3) Systemen
Erstellung des IT-Sicherheitskonzepts
• Erfassung aller IT-Systeme• Bildung logischer GruppenIT-Strukturanalyse
Einordnung in Schutzklassen(“niedrig”, …, “sehr hoch”)Schutzbedarfsfeststellung
•Quantitatives Vorgehen•Festlegung erweiterter Schutzmaßnahmen•Für Daten, Anwendungen & Systeme mit
hohem Schutzbedarf
Erweiterte Risikoanalyse...bei hohem Schutzbedarf
•Qualitatives Vorgehen•Zuordnung IT-System – Schutzmaßnahme•Ausreichend für den mittleren Schutzbedarf
Grundschutzanalyse
•Wirtschaftliche Bewertung•Konsolidierung / PriorisierungRealisierungsplanung
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 19
IT-SicherheitsmanagementIT-Risiken beherrschen
Fazit
Gehen Sie IT-Risiken bewusst an: 100% Sicherheit gibt es nicht
IT-Sicherheit ist Chefsache: Die Geschäftsleitung trägt die Gesamtverantwortung
Delegieren Sie Verantwortung:IT-Sicherheit erfordert viele Köpfe und Hände
Klassifizieren Sie IT-Anwendungen, IT-Systeme und DatenIST-Analyse und Schutzbedarfsfeststellung als ersten Schritt
Verschaffen Sie sich einen Überblick über den Status QuoModellierung und SOLL-IST Analyse als konsequente Fortsetzung
Überprüfen Sie den laufenden BetriebModellierung nach IT-Grundschutzhandbuch liefert Checkliste
Bestimmen Sie Ihr individuelles RestrisikoSchließen Sie den Sicherheitskreis durch ein umfassendes und schlagkräftiges Sicherheits-Management
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 20
Fazit
Setzen Sie Ihren Fokus auf Ihr SAP R/3 System !
SAP R/3 ist
• „Security-Enabled“: d.h. Sicherheit modular implementierbar
• „Ready-for-Business“: d.h. Geschäftsprozesse vorhanden
Hohes Kosteneinsparungspotential z.B. durch Einsatz
der digitalen Signatur vorhanden: Beispiel liefert die SAP selbst !
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 21
Die secaron AG auf der CeBIT 2003
Halle 17 Stand C31-22
Demos und Beispielrechnungen für Kosteneinsparung durch
Content Security
IPSec Anbindungen.
Wireless LAN
Stimmauthentifizierung.
Windows 2000 + .net Security
digitale Signatur.
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 22
Sicherheit in SAP R/3 Systemen
Herzlichen Dank für Ihre Aufmerksamkeit !Herzlichen Dank für Ihre Aufmerksamkeit !
Dr. Klaus H. Schmidt
secaron AG
www.secaron.com [email protected]
CeBIT 2003, Sicherheit in SAP R/3 Systemen Folie 23
Kontakt
secaron AGLudwigstrasse 55
85399 HallbergmoosAm Flughafen München
DeutschlandTel.: +49 811 95 94 – 0
Fax.: +49 811 95 94 – [email protected]
secaron S.A.R.L.12, route du Vin
L-6794 Grevenmacher
LuxembourgTel.: +352 267469 30Fax.: +352 267469 20
