Information et éducation par et pour la communauté SAP

Die Krux mit den SAP-Schnittstellen

Ungeschützte SAP-Schnittstellen öffnen Hackern Tür und Tor. Das wissen viele Unternehmen – verfügen aber bis heute über keine ausreichenden Sicherheitsmaßnahmen. Erforderlich sind Lösungen, mit denen die Schnittstellen flächendeckend analysiert und überwacht werden können.
Oleksandr Panchenko, Virtual Forge
14. février 2018
Die Krux mit den SAP-Schnittstellen
avatar
Ce texte a été automatiquement traduit en français de l'allemand

SAP-Systemumgebungen wachsen und verändern sich ständig. Dies liegt an allgemeinen Marktentwicklungen, wie der Globalisierung, die zu immer komplexeren Geschäftsprozessen führt. Unternehmen expandieren, fusionieren und kaufen andere Gesellschaften zu. Hinzu kommen neue Digitalisierungstrends, zum Beispiel Cloud Computing und Industrie 4.0, die eine zunehmend starke IT-Vernetzung erfordern.

Im Laufe der Jahre sind dadurch vielerorts heterogene Systemlandschaften mit bis zu mehreren Tausend Datenschnittstellen entstanden, die die SAP-Anwendungen miteinander, aber auch mit Non-SAP-Systemen verbinden.

Neben den bekannten Schnittstellen gibt es etliche, die den Systemverantwortlichen gar nicht als solche bewusst sind, etwa unbefugte Downloads von Listen über den SAP GUI, direkte Zugriffe auf die Datenbank oder die Kommunikation mit externen Systemen.

Schlupfloch für Datendiebe

Sind diese Schnittstellen veraltet, falsch konfiguriert oder unzureichend geschützt, bieten sie Hackern attraktive Einfallstore, um an Informationen zu gelangen. Datendiebe, Wirtschaftsspione und Saboteure sind dann in der Lage, ganze Datenbestände zu kopieren, zu ändern oder zu löschen und damit das Bilanzergebnis zu verfälschen oder das SAP-System komplett abzuschalten.

Dies kann für ein Unternehmen beträchtliche finanzielle und rechtliche Folgen haben, zudem leidet seine Reputation. Verschärft wird der Druck durch immer striktere gesetzliche Datenschutzgesetze, wie die neue EU-Datenschutz-­Grundverordnung (DSGVO), die ab 25. Mai 2018 verbindlich anzuwenden ist.

Mit der EU-DSGVO werden die Regeln für die Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Einrichtungen EU-weit vereinheitlicht. Diese werden zu angemessenen technischen und organisatorischen Maßnahmen verpflichtet, um personenbezogene Daten zum Beispiel gegen die Verarbeitung durch Unbefugte und gegen unbeabsichtigten Verlust zu schützen.

Darüber hinaus werden die Dokumentationspflichten gegenüber den bisher gültigen Datenschutz-Bestimmungen verschärft: So sollte der für die Datenverarbeitung Verantwortliche die Konformität mit den EU-DSGVO-Richtlinien nachweisen können. Verstöße werden mit hohen Strafgeldern von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens bewehrt.

Obwohl die Risiken ungesicherter SAP-Schnittstellen längst bekannt sind, haben die meisten Unternehmen das Problem nicht im Griff – vor allem, weil es keine umfassende Transparenz über die vorhandenen Schnittstellen gibt.

Oleksandr Panchenko Infra 1802

Keine zentrale Dokumentation

In der Regel existiert keine zentrale Stelle, die über eine lückenlose Dokumentation sämtlicher Schnittstellen und darüber ausgetauschter Daten verfügt. Oft handeln die Fachbereiche die Schnittstellen ihrer SAP-Systeme direkt mit den Kunden, Zulieferern oder Systemherstellern aus, ohne dass dies in eine firmenübergreifende Bestandsaufnahme einfließen würde.

So ist es für Unternehmen kaum möglich, die aktuellen SAP-Schnittstellen laufend auszuwerten und zu überwachen, um sie vor möglichen Angriffen zu schützen. Ebenso wenig sind sie in der Lage, den Bestimmungen der EU-DSGVO nachzukommen, da sie nicht einmal genau wissen, über welche SAP-Schnittstellen personenbezogene Informationen überhaupt ausgetauscht werden oder werden können.

Ohne diese Kenntnis jedoch können sie auch nicht nachweisen, dass sie die entsprechenden Schnittstellen nach dem Stand der Technik abgesichert haben, um die personenbezogenen Daten vor unberechtigten Zugriffen oder versehentlichem Abfluss zu schützen.

Viel Aufwand für manuelle Analysen

Um solche Probleme zu vermeiden und Transparenz über ihre Schnittstellenlandschaft zu gewinnen, setzen manche Betriebe bereits auf manuelle Analysen der sicherheitskritischen Parameter der Schnittstellen und Laufzeitstatistiken.

Diese Auswertungen sind in der Regel jedoch nur stichprobenartig durchführbar, da sie enorm aufwändig sind. Ähnliche Beschränkungen gibt es beim Einsatz verschiedener im Markt angebotener Analysewerkzeuge.

Dies hat im Wesentlichen drei Gründe. Zum einen fokussieren sich die vorhandenen Lösungen auf die Auswertung einzelner Schnittstellen-Technologien, wie sie in einer gewachsenen SAP-Systemumgebung nebenei­nander in großer Zahl zu finden sind: zum Beispiel Remote Function Call (RFC), HTTP, FTP, Java Connector (JCo) und viele andere.

Wer einen möglichst vollständigen Überblick über die aktuell vorhandenen Schnittstellen gewinnen will, muss also jede Technologie einzeln analysieren und die Ergebnisse manuell konsolidieren: Auch dieser Zeit- und Kostenaufwand ist beträchtlich.

Verfügbare Lösungen reichen nicht aus

Ein weiterer Nachteil der verfügbaren Lösungen ist, dass sie die Schnittstellen und Datenflüsse nur lokal, das heißt aus einem einzigen System heraus analysieren. Um ein möglichst vollständiges Bild der Kommunikationsbeziehungen innerhalb einer SAP-Systemlandschaft zu erhalten, muss jedoch jede Schnittstelle auf beiden Seiten ausgewertet werden.

Viele herkömmliche Analyse-Werkzeuge konzentrieren sich auf nur eine Problemstellung, etwa auf die Frage, welche Daten über den SAP GUI heruntergeladen werden. In jedem Fall wird nur punktuell Klarheit über die vorhandene Schnittstellenlandschaft erzielt.

Einen vollständigen Überblick können Unternehmen mit Lösungen wie dem Virtual Forge InterfaceProfiler gewinnen. Sie können ein Modell oder Regelwerk für die gewünschte SAP-System- und -Schnittstellenlandschaft erstellen und mit den laufend gesammelten Informationen vergleichen (Soll-Ist-­Analyse).

Dabei werden die Abweichungen gemeldet und dokumentiert. Ausgehend von einem zentralen SAP-System analysiert der InterfaceProfiler die Kommunikationsbeziehungen der gesamten Systemumgebung.

Die Ergebnisse werden grafisch dargestellt und Protokolle der gefundenen Schwachstellen einschließlich ihrer Kritikalität erzeugt. Zudem werden Vorschläge zur möglichen Verbesserung der Sicherheit und technischen Ausgestaltung der Schnittstellen gemacht.

Mit speziellen Sicherheitsfunktionen ist es auf Knopfdruck möglich, zahlreichen Risiken im täglichen Systembetrieb zu begegnen, etwa Berechtigungen zum Download von Ergebnislisten im SAP GUI zu blockieren.

Ebenso lassen sich Copy-and-Paste-Operationen von ALV-Listen vermeiden. Die Berechtigungen können im Cockpit des InterfaceProfiler übersichtlich und feingranular dargestellt werden – eine wichtige Voraussetzung, um die DSGVO zu erfüllen.

Eine Monitoring-Komponente gibt Auskunft über Schnittstellen, die zwar technisch noch funktionsfähig sind, aber seit längerer Zeit nicht mehr genutzt werden. Zudem können die Nutzungsintervalle noch genutzter Schnittstellen ermittelt und damit unbefugte, außerplanmäßige Schnittstellenaktivitäten identifiziert werden. Alle Events werden umfangreich protokolliert und können aktiv gemeldet werden.

 

https://e3mag.com/partners/virtual-forge-gmbh/

avatar
Oleksandr Panchenko, Virtual Forge

Oleksandr Panchenko leitet bei Virtual Forge die Entwicklung des InterfaceProfiler.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.