Beitrag

Die SAP Security Baseline

1. Juni 2020 /

Wer sich alle 4 Dokumente vom letzten Beitrag Aller Anfang ist schwer, aber einfacher als man glaubt! angesehen hat, sollte nun einen schönen Überblick über die notwendigen Bereiche und die SAP Security Baseline Anforderungen der On-Premise und Cloud Welt erhalten haben.

Geteilte Verantwortlichkeiten

Schade ist nur, dass man in den Dokumenten keine schöne Übersicht über die Verantwortungsbereiche finden kann. Obwohl gerade das Verständnis über Verantwortlichkeiten, ein wichtiger Aspekt für uns Security Verantwortlichen ist.

Auch wenn es seitens SAP keine schöne Übersicht gibt, können wir uns einfach mal die von Microsoft schnappen und etwas genauer ansehen.

Microsoft shared responsibility model

Als Kunde können wir nicht überall selbst Einstellungen vornehmen und müssen uns besonders bei SaaS und PaaS Lösungen auf den Hersteller verlassen. Klar trifft das in bestimmter Art-und-Weise auch auf IaaS zu, doch ist es nicht selten, dass für die zu Grunde liegende Infrastruktur die SAP Basis auf Netzwerk- oder Serverspezialisten zurückgreift. Und diese somit nicht in den Bereich der SAP Kollegen fällt, weswegen ich auf IaaS auch nicht weiter eingehen werde.

Anhand der Grafik sehen wir gut, dass wir uns in der Cloud Welt sehr stark auf den Anbieter verlassen müssen. Hier wird die Security Baseline vom Serviceanbieter festgelegt und nicht vom Kunden selbst.

Die Security Baseline

Und hiermit sind wir auch schon beim Stichwort Security Baseline. Bevor wir uns um die Behebung der Schwachstellen kümmern, sollten wir wissen, was unser Zielzustand sein soll.

Vergessen wir vorerst mal alle vorhandenen Standards, Guidelines und Best Practices die im Unternehmen bereits definiert sind. Keine Sorge, wir kommen später nochmal darauf zurück, aber erst bei der Erhebung des Ist-Zustandes.

Jetzt widmen wir uns dem SAP Baseline Template. In diesem Dokument finden wir alle Anforderungen und Empfehlungen seitens SAP, um SAP Systeme sicher zu betreiben. Also Konfigurationen, Berechtigungen und vieles mehr, auf Basis der Secure Operations Map.

Secure Operations Map
Secure Operations Map V3

Allein der Blick auf die Secure Operations Map lässt schon erahnen, dass uns jede Menge Arbeit bevorsteht. Wenn wir uns nun das SAP Baseline Template genauer ansehen, merken wir recht rasch, dass besonders die Layer Processes, Application und System die umfangreichsten sind. Und mit diesen werden wir uns, abgesehen von ein paar wenigen Ausnahmen, zu Beginn vermehrt beschäftigen. Die anderen beiden Layer werden früher oder später noch von selbst dazu kommen.

Extrahieren der Controls

Im Template finden wir etwas mehr als 70 Empfehlungen und Mindestanforderungen. Bevor wir uns diese jetzt aber im Detail ansehen, sollten wir sie zunächst mal extrahieren. Und das ist gar nicht so schwierig. Jede Anforderung im Template hat einen eigenen Requirement Identifier. Als Beispiel nehmen wir mal CHANGE-A, hier kann man schon erkennen, dass der Identifier aus zwei Teilen besteht. Der erste Teil ist ein Kurzname und der zweite Teil ist ein Indikator für die Technologie.

Da das SAP Baseline Security Template allerdings nicht öffentlich zugänglich ist, muss ich an dieser Stelle direkt auf das Dokument verweisen. Finden könnt ihr es auf der Website https://support.sap.com/sos in der Media Library (SAP CoE Security Services – Security Baseline Template Version 2.0).

Mit wenig Aufwand ein erstes Dashboard

Schnappt euch nun das Hauptdokument und geht über alle Punkte drüber. Dabei erfasst ihr jetzt einfach mal alle Controls in einem Excel Sheet. Folgende Spalten können euch dabei dienlich sein.

  • Layer
  • Block
  • Control Type (Requirement, Recommendation, Custom)
  • Identifier
  • Classification
  • Short Description
  • Status

Auf Basis der obigen Spalten habt ihr zu Beginn schon mal eine hervorragende Grundlage für ein ganz einfaches Dashboard. Jetzt könnt ihr das Ganze noch um einen Compliance oder Risiko Satus erweitern und voilà – ihr habt schon die erste Übersicht über die notwendigen Mindestanforderungen.

In welchen Tool ihr am Ende die Liste abbildet, liegt natürlich bei euch. Vorrangig hierbei ist, dass ihr eine gute Übersicht bekommt. Gerade für Personen die keine spezielles Tool habe, kann Excel sehr hilfreich sein. Besonders die verfügbaren Charts können sehr gut für Visualisierungen verwendet werden.

Zeit für Paper work

Die Übersicht der Controls ist jedoch nur die halbe Miete. Weswegen wir uns jetzt auch noch ans Eingemachte wagen.

Kommen wir nun wieder zurück zu euren Standards, Guidelines oder ähnlichem. Wenn ihr wollt, gleicht diese mit den Controls ab. Im Anschluss habt ihr einen wunderbaren ersten Überblick über euren aktuellen Ist-Zustand. Sei es fehlende oder vollständig definierte Standards. Oder auch nur Abweichungen zu den Erfordernissen.

Ich empfehle euch alle Standards in einem Dokument zusammenzuführen. So habt ihr am Ende einen zentralen Einstiegspunkt und verliert nicht die Übersicht über die Informationsquellen. Die Verschriftlichung der Standards ist aber nicht nur Aufwand, sondern bringt auch einige Vorteile mit sich.

  • Sie dient als Nachschlagewerk
  • Der Zielzustand ist schriftlich festgehalten
  • Standards können messbar gemacht werden
  • Dokumentation kann bei Audits vorgelegt werden.

Damit das Management nun aber nicht verzweifelt und ewig auf erste Ergebnisse warten muss, solltet ihr am besten zuerst mit den kritischen Punkten beginne und erweitert dann Schritt für Schritt eure Standards.

Wiki statt Word

Falls sich jemand die Frage stellt, mit welchen Tool man die Standards festhalten sollte, dann gibt es für mich nur eine einzige Option. Verwendet eine Wiki Lösung und kein Word Dokument, OneNote oder PDF. Natürlich ist das auch eine Möglichkeit, aber die Pflege und Erweiterung kann mit diesen Tools erheblichen Mehraufwand mit sich bringen und ist teils nicht so einfach.

Eine Wiki Lösung lässt sich einfach und mit wenig Aufwand aktuell halten. Mit Tags könnt ihr euch diverse Views anlegen. Und so könnt ihr zum Beispiel Seiten, gezielt für bestimmte Benutzergruppen wie ein kleines Baukastensystem zusammenführen.

Die erste große Hürde ist geschafft

Diese zwei Dokumente, also das Excel mit den Controls und die Verschriftlichung der Standards, sind ab sofort euer dynamisches Duo. Damit habt ihr einen spitzen Ausgangspunkt für alles weitere. Sei es um einen Überblick für das Management zu bekommen, eine Hilfestellung für Admins oder diversen Benutzergruppen. Oder auch um Themen zu Priorisieren.

Ich hoffe euch damit den Einstieg etwas vereinfacht zu haben. Wenn euch mein Beitrag gefallen hat, könnt ihr mir gerne euer Feedback zukommen lassen.

Viel Spaß beim umsetzen.
Andreas