Information et éducation par et pour la communauté SAP

Hana erfordert Umdenken bei der Sicherheit

Die größte Herausforderung im Bereich der Sicherheit betrifft bei Hana das Rollen- und Berechtigungsmanagement. Im Unterschied zu bisherigen SAP-ERP-Umgebungen verfolgt SAP hier einen komplett neuen Ansatz. Administratoren müssen deshalb umdenken.
René Bader, NTT Security
16. mai 2017
Hana erfordert Umdenken bei der Sicherheit
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Rene BaderHana wurde zunächst als relationale Datenbank für SAP-Systeme entwickelt. Basis bildet dabei die In-memory-Technologie. Hauptvorteil ist dabei der enorme Performance-Schub gegenüber herkömmlichen Datenbanksystemen.

Mit der Einführung von Hana ging SAP auch hinsichtlich Entwicklungsumgebung und Benutzeroberfläche neue Wege: Java und HTML5 bzw. Fiori und SAPUI5 stehen im Vordergrund.

Dadurch ergeben sich auch neue Anwendungsmöglichkeiten für Hana im Business-Einsatz. Hana wird deshalb immer mehr als Entwicklungsplattform angesehen, auf der beliebige Java- und HTML5-Anwendungen in Runtime-Umgebungen ausgeführt werden können.

Das erweiterte Anwendungsspektrum wirkt sich auch auf das Sicherheitsmodell und die Sicherheitsarchitektur aus. Der Fokus liegt nun auf fünf primären Sicherheitsebenen, die sich aus der Java-Entwicklungsumgebung sowie der Datenbanktechnologie ergeben:

Netzwerksicherheit, Authentifizierung und SSO (Single Sign-on), Autorisierung, Verschlüsselung (Transport und Daten)  sowie Audit und Logging.

Der Fokus im Bereich der Netzwerksicherheit liegt auf klassischen Maßnahmen, also auf der Systemarchitektur mit mehreren Sicherheitszonen und der limitierten Bereitstellung erforderlicher Services.

Die Netzwerkkommunikation muss auf die notwendigsten Ports reduziert werden, gerade auch im Hinblick auf Daten- und administrative Zugriffsmöglichkeiten: etwa über das SQLDBC-Protokoll, Hana Studio oder den SolMan.

Hinsichtlich Authentifizierung unterstützt Hana eine Vielzahl von sicheren Methoden, etwa Benutzername und Passwort, Kerberos, SAML (Security Assertion Markup Language) 2.0, SAP-­Logon-Tickets oder X.509.

Wichtig ist die korrekte Implementierung und Integration in die bestehende Authentifizierungsumgebung, das heißt etwa die Anbindung an Microsoft AD (Active Directory) und LDAP-(Lightweight Directory Access Protocol-)Verzeichnisdienste, die Einbindung in PKI-(Public-Key-Infrastruktur-)Umgebungen oder die Verknüpfung mit Token-basierten Authentifizierungsverfahren wie SAML oder Active-Directory-Verbunddiensten (Active Directory Federation Services, AD FS).

Im Bereich Autorisierung gibt es die gravierendsten Änderungen bei Hana. Vereinfacht ausgedrückt müssen die SAP-Admins nun die „DBA-Sprache“ beherrschen.

Waren das Rollen- und Berechtigungsmanagement in der Vergangenheit stets mit SAP-ERP-Anwendungen verknüpft, so werden sie nun auf den Datenbanklayer ausgelagert. Damit übernimmt quasi jede Anwendung innerhalb der Hana-Runtime das Berechtigungsmodell aus dem Datenbankumfeld.

Dieses unterscheidet sich aber deutlich von bisherigen Berechtigungsmodellen, zum Beispiel im ERP-System. Ein SAP-Admin muss nun verstehen, wie Datenbanken funktionieren und sich die bisherigen Rollen und Rechte übertragen lassen. Durch das neue Autorisierungsmodell von Hana ist eine äußerst detaillierte und exakte Zugriffskontrolle möglich.

Dabei werden Rollen genutzt, in denen Rechte zusammengefasst und strukturiert werden. Die Rechte basieren auf Standard-SQL-Berechtigungen für Objekte und Hana-Spezifikationen für Business-Applikationen.

Hinsichtlich Verschlüsselung sind die beiden Ebenen Transport und Daten zu berücksichtigen. Transportverschlüsselung bedeutet zunächst SSL-Verschlüsselung, allerdings sollten auch Alternativen wie VPN-Techniken geprüft werden.

Die Datenverschlüsselung funktioniert nur bei der Ablage von Daten in Sto­rage-Volumes. Die Verschlüsselung der Daten im Hauptspeicher ist hier der Knackpunkt, vor allem dann, wenn mehrere Instanzen auf dem gleichen System ausgeführt werden sollen.

Die entscheidende – aber oft unbeantwortete – Frage lautet in solchen Fällen: „Wer stellt dann die Integrität der Daten sicher und verhindert ein ‚Überspringen‘ der Daten von einer Instanz auf die nächste?“

Hana bietet zudem umfangreiche Audit- und Logging-Möglichkeiten. Der freie Speicherplatz ist dabei allerdings der limitierende Faktor. Durch die Flut an (SQL-)Anfragen auf dem System besteht schnell die Gefahr, dass der Speicher an seine Kapazitätsgrenzen stößt.

Hier helfen aktuell nur externe Tools, gerade bei der Erfüllung von Compliance-Anforderungen geht. Hana bringt somit von Haus aus mehrere Sicherheitsfunktionen mit sich. Ihre Anwendung erfordert aber auf Seite der SAP-Administratoren ein Umdenken.

Die größte Herausforderung betrifft dabei das Rollen- und Berechtigungsmanagement, da es sich im Vergleich zu bisherigen SAP-ERP-Umgebungen, bei denen Anwendungs- und Datenbankebene klar voneinander getrennt waren, komplett gewandelt hat.

Zu diesem Thema erhält NTT Security zurzeit auch die meisten Kundenanfragen. Die Verschlüsselung steht hingegen aktuell auf Anwenderseite noch nicht im Fokus.

Aber auch hier wird bald eine Änderung eintreten, da aufgrund von Compliance-Vorgaben noch ein hoher Handlungsbedarf besteht. Schließlich darf nicht vergessen werden, dass Angreifer bei einem erfolgreichen Zugriff auf Hana ohne großen Aufwand unternehmenskritische Daten stehlen, ändern oder löschen können.

avatar
René Bader, NTT Security


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.