Оглавление
Christoph Störkle. SAP Security
Vorwort
Inhaltsverzeichnis
Literaturtipps
1. IT-Sicherheit in Unternehmen
2. Infrastruktursicherheit
2.1 Netzwerk-Sicherheit
2.2 Betriebssystem-Sicherheit (Server)
2.3 Datenbank-Sicherheit
2.4 Frontend-Sicherheit
3. SAP Rollen- und Berechtigungsmanagement / GRC (Data Security)
3.1 Transaktionen Berechtigungsmanagement
3.2 Kritische Berechtigungen
4. SAP-Basis Sicherheitskonfigurationen
4.1 Transaktionen SAP-Basis
4.2 Standardbenutzer mit Default-Passwörtern
SAP*
DDIC
SAPCPIC
EARLYWATCH
TMSADM
Nicht gepflegte Mandanten
Standardbenutzer gesichert?
Standarduser im Java Stack
4.3 Transportmanagementsystem
tp-Parameter
Transporte mit bestimmten Objekten verbieten
4.4 Systemänderbarkeit
SCC4 (bzw. SM30 > Tabelle T000)
SE06 > Systemänderbarkeit bzw. SE03 > Systemänderbarkeit setzen
4.5 Authentifizierung: Kennwörterrichtlinien für User
Unkritische Passwortparameter die immer gesetzt werden sollten
Dringend empfohlene Parameter
Weitere mögliche Parameter
Parameter, die Kompromisse darstellen, falls die Kennwörterrichtlinien nicht vollständig umsetzbar sein sollten
Hash-Werte
USR40 – Tabelle für verbotene Passwörter
Password Policy unter SAP Java Stack
OAuth 2.0
5. Secure Code und Patch-Management
5.1 SAP Code Security
RSECNOTE
System Recommendations
SNOTE
5.2 Custom Code Security
6. Kommunikationssicherheit
6.1 Überflüssige Internetdienste einschränken (SICF)
6.2 Verschlüsselte Anmeldung und Kommunikationsverbindungen
Protokolle und Verschlüsselungsmethoden
SNC
SSO (Single Sign-On)
HTTPS
SAP Gateway
6.3 SAProuter
7. Systemüberwachung / Systemanalyse (Threat Detection und Forensik)
7.1 Security-Audit-Log
Security-Audit-Log Transaktionen
Parameter des Security-Audit-Logs
Ereignisklassen
7.2 Systemprotokoll
7.3 Systemtrace
7.4 Performancetrace
7.5 CCMS
7.6 SAP Web Dispatcher und ICM
7.7 Message Server Monitor
7.8 Tabellenänderungen protokollieren
7.9 ETD (Enterprise Threat Detection)
8. Sicherheit als Prozess
8.1 Kurse und Schulungen im Bereich SAP-Security
8.2 Veranstaltungen und Konferenzen
8.3 Sicherheitsbewusstsein im Unternehmen schaffen
Sicherheit bei diesen Remotezugriffen („Systemöffnungen“)
8.5 SAP Hacking / Monitoring Tools
8.6 Dienstleistungen im Bereich Sicherheit (externes Consulting)
8.7 Notfallkonzept
8.8 Weiterführende Links zum Thema Security
Impressum
