Single Sign-on entlastet Administratoren und User
Authentisierung für SAP-Systeme
Single-Sign-on-Technik, die sich nahtlos in die SAP Umgebung integrieren lässt und eine Vielzahl von Authentisierungsmechanismen unterstützet, bietet ein deutliches Plus an Sicherheit, Produktivität und Flexibilität.
SAP-Geschäftsanwendungen bilden das elektronische Rückgrat vieler Unternehmen. In den
SAP-Anwendungen nämlich befinden sich oft sämtliche relevanten Informationen, die ein Unternehmen
im Geschäftsalltag benötigt. Sicherheit ist damit ein zentraler Aspekt, um finanziellen Schaden und
die Nichterfüllung gesetzlicher Vorschriften zu vermeiden.
Während IT-Manager und Sicherheitsverantwortliche in den vergangenen Jahren viel Zeit und
Energie darauf verwendet haben, die Netzwerke und extern zugängliche Systeme vor Bedrohungen und
Gefahren von außen zu schützen, ist die Sicherheit der Geschäftsdaten noch immer vielfältigen
Risiken ausgesetzt. Dies liegt nicht etwa daran, dass die SAP Software selbst mit Sicherheitslücken
oder Schwachstellen zu kämpfen hätte. Vielmehr lassen sich häufig folgende Ursachen für
Sicherheitsprobleme im SAP-Umfeld ausmachen: Zum einen wird die Sicherheit (Datenintegrität,
Vertraulichkeit und Nachvollziehbarkeit) durch die Unkenntnis, Sorglosigkeit oder auch
Bequemlichkeit der Anwender im Umgang mit Passwörtern gefährdet. Zum anderen bedarf das immer
leistungsfähiger werdende SAP-System besonderer Aufmerksamkeit und einer sorgfältigen
Konfiguration. So lässt sich etwa feststellen, dass Kunden die von SAP empfohlenen
sicherheitsrelevanten Konfigurationen und Einstellungen oft nicht übernehmen und stattdessen mit
den Vorabeinstellungen arbeiten. Ein Beispiel ist hier die Sicherheit der SAP-Client-Software:
SAP-Software enthält bereits Sicherheitsfunktionen wie zum Beispiel das Sicherheitsmodul SNC
(Secure Network Communications), die allerdings zunächst an die jeweiligen Bedürfnisse des
Unternehmens angepasst werden müssen.
Zusätzlicher Sicherheitsbedarf entsteht auch durch den erhöhten Fokus auf die
Nachvollziehbarkeit von Transaktionen auf Grund verschärfter Gesetzgebungen und durch die Öffnung
des zuvor geschlossenen betriebswirtschaftlichen Systems für andere Systeme und Anwendungen nach
außen. Greifen Mitarbeiter, Kunden und Partner über unterschiedlichste Kanäle auf das System zu und
werden neue Techniken wie Webportale eingeführt, eröffnen sich damit nicht nur neue
Anwendungsmöglichkeiten, sondern auch neue Sicherheitsfragen. Dies hat zur Folge, dass
Sicherheitsapplikationen nicht nur als begleitende Mechanismen eingesetzt werden dürfen, sondern
direkt in das SAP-System integriert werden müssen, um zu verhindern, dass gezielte Angriffe auf die
Verfügbarkeit und Stabilität des Systems erfolgen können, und um zu gewährleisten, dass die
geschäftskritischen Unternehmensdaten nur einem genau definierten Kreis von Personen zugänglich
sind.
SSO ist eine wesentliche Sicherheitskomponente
Die in SAP übliche Anmeldung mit einer Kombination aus Benutzername und Passwort stellt hierbei
vielfach die Achillesferse für den Zugriff auf die Anwendungen dar. Unternehmensweite Richtlinien,
die genau festlegen, wie mit vertraulichen Daten umzugehen ist und welche Sicherheitsaspekte
unternehmensweit zu beachten sind, bieten einen Orientierungsrahmen. Die aktive Einbindung der
Mitarbeiter in die Umsetzung der Sicherheitsanforderungen stößt allerdings spätestens dann an ihre
Grenzen, wenn es um die Passwortthematik geht. Entweder wählen die Benutzer ein einfach zu
merkendes und damit auch einfach zu erratendes Passwort. Oder die Passwortrichtlinie, die komplexe
Passwörter aus Zahlen- und Buchstabenkombinationen und einen regelmäßigen Wechsel derselben
vorsieht führt zu steigenden Anfragen in der IT-Abteilung. Darüber hinaus werden die Passwörter
ohne zusätzliche Sicherheitsvorkehrungen bei der Anmeldung an die verschiedenen Anwendungen
unverschlüsselt übertragen und sind damit potenzielle Angriffsziele.
Einen Ausweg aus diesem Dilemma bieten Single-Sign-on- (SSO-) Techniken, wenn sie mit einer
starken Benutzerauthentisierung und einer verschlüsselter Datenübertragung gekoppelt sind. Mit SSO
entfällt die Eingabe von verschiedenen Passwörtern für den Zugang zu Systemen und Anwendungen.
Stattdessen benötigt der Nutzer einzig seine Smartcard oder sein USB-Token sowie die zugehörige
PIN (Zwei-Faktor-Authentisierung) für den Zugriff auf Systeme und Daten. So kann verhindert werden,
dass Unberechtigte auf vertrauliche Informationen zugreifen, absichtlich oder unbeabsichtigt
Veränderungen vornehmen und damit die Datenintegrität kompromittieren.
Die wenigen am Markt verfügbaren SSO-Lösungen für das SAP-Umfeld unterscheiden sich im Hinblick
auf die zu Grunde liegende Technik.
Ein Großteil dieser Lösungen, darunter auch das SAP eigene SSO-Verfahren, sind webbasierte
Lösungen, die zur Benutzerauthentisierung ein Browser-Cookie generieren, das den verschiedenen
Systemen und Anwendungen für die Authentisierung zur Verfügung gestellt wird. Um diese Lösungen im
SAP-Umfeld nutzen zu können, müssen Unternehmen also ein SAP-Portal installiert und konfiguriert
haben, das die Cookies (im SAP-Umfeld "SAP-Logon-Tickets" genannt) entgegen nimmt. Ein weiterer
kritischer Punkt dieses Ansatzes ist die Frage, ob die generierten Cookies bei ihrer Übertragung
verschlüsselt oder unverschlüsselt über das Netz verschickt werden. In der Regel findet die
Kommunikation zwischen SAP-R/3-Server ((beziehungsweise Mysap ERP) und SAP-GUI unverschlüsselt
statt. Sollten die Authentisierungsdaten also unverschlüsselt das Netz passieren, verkehrt sich das
Plus an Sicherheit, das mit der SSO-Lösung erzielt werden soll, sofort wieder ins Gegenteil, denn
die Vertraulichkeit der Authentisierungsdaten kann nicht gewährleistet werden.
Auf vorhandenen Sicherheitsfunktionen aufbauen
Das SAP-System selbst stellt eine Reihe von Schnittstellen und Prozesse für die starke
Authentisierung, SSO und die Anbindung von Token und Zertifikaten sowie für die
Kommunikationssicherheit bereit. Neben der Schnittstelle Secure Network Communications (SNC) werden
in SAP Netweaver beispielsweise die Standards "Secure Sockets Layer" (SSL) und "Transport Layer
Security" (TLS) unterstützt. Lösungen, die auf diesen bereits vorhandenen Sicherheitsfunktionen
aufsetzen, bieten damit bereits von Anfang an eine Integration in das System selbst. Dadurch
ergeben sich vielfältige Vorteile wie zum Beispiel die Möglichkeit, eine singuläre Identität für
alle Systeme und Anwendungen zu nutzen. Mit Hilfe von X.509-Zertifikaten kann sowohl die
Authentisierung über SNC in klassischen SAP-Anwendungen als auch für SSL in der
SAP-Netweaver-Umgebung realisiert werden. Durch den Einsatz von Zertifikaten wird ein sehr hohes
Maß an Sicherheit erreicht. Darüber hinaus kommt diese Vorgehensweise ohne die Implementierung
einer komplexen Public-Key-Infrastruktur (PKI) aus.
Durch die Integration direkt in die SAP-Plattform lassen sich zudem unterschiedliche
Sicherheitsanforderungen an Geschäftsdaten in verschiedenen SAP-Anwendungen durch die parallele
Nutzung verschieden starker Authentisierungsmechanismen realisieren. Ein weiterer Pluspunkt liegt
in der großen Bandbreite an unterstützten Optionen für die Benutzerauthentisierung, die von Windows
Credentials bis zur starken Authentisierung mittels Smartcard oder Security Token reicht.
Unternehmen sind so in der Lage, flexibel und ihrem jeweiligen Sicherheitsbedürfnis entsprechend
aus einer Vielzahl von Authentisierungsmechanismen auszuwählen. Dies macht sich dann bezahlt, wenn
bereits vorhandene Smartcards oder Tokens auch für das SAP gewinnbringend eingesetzt werden können
und zusätzliche Kosten für die Anschaffung und den Roll-out stattdessen in andere
Sicherheitsprojekte fließen können.
Zwar bietet die Benutzerauthentisierung mit SSO-Techniken bereits deutliche Vorteile gegenüber
der Administration der herkömmlichen Authentisierung mit Benutzername und Passwort.
Komfort und Übersicht
Mit einer zentralen Administrationskonsole, wie sie etwa bei Secude Secure Login zur Verfügung
steht, profitieren IT-Manager aber zusätzlich. Die zentrale Administrationskonsole bietet
Unterstützung bei einer zügigen und effizienten Einführung und Konfiguration der SSO-Lösung.
Darüber hinaus erleichtert sie das Sicherheits- und Systemmanagement im laufenden Betrieb mit
Zusatzfunktionen beispielsweise für die Erstellung der Benutzerzertifikate, einer Fernwartung über
Standardbrowser und mit Help Pages, die umfangreiche Informationen zur Konfiguration
beinhalten.
Lesen Sie mehr zum Thema
