Kontakt

Ansicht
Dokumentation

< ( RELNBC_ADM_40A_SNC )

< ( RELNBC_ADM_40A_SNC )

CPI1466 during Backup   General Data in Customer Master  
Diese Dokumentation steht unter dem Copyright der SAP AG.
SAP E-Book

Kurztext

Benutzung externer Sicherheitssysteme

Beschreibung

Die verschiedenen Belange der Datensicherheit gewinnen bei R/3-Kunden immer mehr an Bedeutung. SAP unterstützt leistungsstarke Sicherheits- mechanismen, um den Anforderungen der Benutzer gerecht zu werden, hat sich jedoch entschieden, keine Verschlüsselungsfunktionen mit der eigenen Software auszuliefern. Stattdessen können externe Produkte integriert werden, die von Sicherheitsfachleuten entwickelt wurden.

Secure Store and Forward (SSF)

Secure Store & Forward (SSF) bietet die erforderliche Unterstützung zum Schutz von R/3-Daten und von Dokumenten als unabhängige Dateneinheiten. Dieser Schutz erfolgt durch

  • digitale Signaturen und
  • digitale Umschläge.

Der Standard für diese sicheren Datenformate ist PKCS#7. Wenn diese sicheren Formate verwendet werden, werden die authentisierten Daten in einen Umschlag (sogenannte "security wrapper") verpackt, bevor sie auf Daten-träger gespeichert oder über Netzwerke übertragen übertragen werden.

Sicherheit in betriebswirtschaftliche Anwendungen

Für die betriebswirtschaftliche Anwendungssoftware ist es heutzutage zunehmend wichtig, elektronische Authentisierungsmechanismen zu unterstützen und elektronische Geschäftsvorgänge über öffentliche Daten-kommunikations-Netzwerke zu sichern. Während solcher elektronischer Geschäftsvorgänge verlassen betriebswirtschaftliche Daten, wie elektro-nische Zahlungen oder Informationen über Bestellungen und Konten, die sichere Umgebung eines R/3-Systems, um über unsichere Netzwerke über-tragen oder auf Datenträgern oder in Archiven gespeichert zu werden.

Die Sicherheitsanforderungen im Zusammenhang mit elektronischen Geschäftsvorgängen sind von Natur aus anders als die Anforderungen an die Sicherheit der Online-Kommunikation zwischen Systemkomponenten. Die Übertragung von betriebswirtschaftlichen Daten erfolgt durch Computersysteme und Softwareprozesse; die eigentlichen betriebswirtschaftlichen Vorgänge werden jedoch zwischen Personen oder anderen Entitäten mit juristischer Bedeutung durchgeführt. Deshalb sind zusätzliche Sicherheitsmechanismen auf Anwendungsebene erforderlich.

Digitale Signaturen und Digitale Umschläge

Die mit "Secure Store & Forward (SSF)" angebotene Unterstützung ermöglicht den Schutz von R/3-Daten und Dokumenten bei der Speicherung auf Datenträger sowie bei der Übertragung über unsichere Kommunikations- verbindungen, wie z.B. das Internet. Dazu werden digital Signaturen und Verschlüsselung auf Anwendungsebene eingesetzt. Die Daten werden dabei als unabhängige Dateneinheiten gesichert, unabhängig von der Art ihres Inhalts und von dem gewählten Transportverfahren. Die von SSF angebotenen Schutzmechanismen werden außerhalb des Kontexts einer bestehenden Kommunikationsverbindung angewendet.

Mit den SSF-Funktionen werden R/3-Daten und Dokumente in sichere Formate "verpackt", sogenannte "security wrapper", bevor sie auf Datenträgern abgespeichert oder über (unsichere) Kommunikations- verbindungen übertragen werden. Mittels einer digitalen Signatur wird dabei sichergestellt, daß die Daten nicht verfälscht werden, daß der Absender (Unterzeichner) eindeutig festgestellt werden kann und daß ein Beweis für die Auftragsvergabe vorliegt. Durch einen anschließenden digitalen Umschlag wird der Inhalt der Daten nur für den (oder die) gedachten Empfänger lesbar. Dadurch ergeben sich auch bei der Zwischenspeicherung auf dem Trans-portweg oder am Zielort keine Sicherheitslücken.

Zur Erstellung einer digitalen Signatur für ein gegebenes Dokument oder eine Nachricht wird eine Hashfunktion verwendet, die einen Hashwert ("message digest") liefert. Der Hashwert ist ein eindeutiger Finger- abdruck der Nachricht, üblicherweise jedoch viel kürzer als die Nachricht. Wenn eine kryptographische Hashfunktion verwendet wird, sollte es unmöglich sein, eine weitere sinnvolle Eingabenachricht zu berechnen, die denselben Hashwert erzeugt. Der Hashwert wird dann in einen signierten Hashwert umgewandelt, wobei der private Schlüssel des Unterzeichners verwendet wird. Jeder, der Zugriff auf den entsprechenden öffentlichen Schlüssel des Unterzeichners hat, kann die Umwandlung umkehren und den Hashwert aus dem signierten Hashwert berechnen. Um die Echtheit der Signatur und die Datenintegrität zu prüfen, wird dieselbe Hashfunktion auf die Daten angewendet und das Ergebnis mit dem Hashwert verglichen.

Um ein zu schützendes Dokument oder eine Nachricht in einen digitalen Umschlag zu verpacken, wird die Nachricht zunächst verschlüsselt, so daß nur der (die) gedachte(n) Empfänger die Nachricht entschlüsseln können. Üblicherweise werden die Daten mit einem neu generierten DES Schlüssel (Nachrichtenschlüssel) verschlüsselt. Dann wird die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Nur der Besitzer des entsprechenden privaten Schlüssels, d.h. der gedachte Empfänger, kann den Nachrichtenschlüssel und dann die Daten im digitalen Umschlag entschlüsseln.

Erfüllte Sicherheitsanforderungen mit SSF

Der Schutz der R/3-Daten und Dokumente mit SSF erfüllt die folgenden grundlegenden Sicherheitsanforderungen:

  • Integrität der Daten (Schutz vor Verfälschung)
  • Vertraulichkeit der Daten (Schutz vor unberechtigtem Lesen)
  • Authentizität des Absenders (Schutz vor Maskeraden)
  • Unleugbarkeit (Beweis für die Auftragsvergabe)

Mit SSF sind darüberhinaus folgende Eigenschaften gegeben, die für elektronische Geschäftsvorgänge von großer Wichtigkeit sind:

  • asynchrone, d.h. zeitlich entkoppelte Erstellung, Übermittlung, Entgegennahme, Verarbeitung und Bestätigung von Geschäftsvorgängen
  • Unabhängigkeit vom Transportweg, d.h. verschiedene Transportmedien und -verfahren (z.B. öffentliches Netz, Online-Dienst, Internet, Bänder, Disketten) sowie verschiedene Kommunikationsdienste und -protokolle (z.B. HTTP, FTP, Email, EDI) sind möglich.

Diese Eigenschaften bleiben dabei auch nach Ende der Datenübertragung erhalten, solange die Daten im gesicherten Format gespeichert sind.

Anwendungen die SSF benutzen

Secure Network Communications (SNC)

SNC unterstützt starke Authentisierungs-, Datenintegritäts- und Vertraulichkeitsdienste für das R/3-System durch die Integration eines externen Sicherheitsprodukts über definierte Anwendungsprogrammier- Schnittstellen.

SNC schützt die Netzwerkverbindungen zwischen den verteilten Komponenten eines R/3-Systems. Zudem ermöglicht SNC die Verwendung von kryptographischen Verfahren und Smartcards, um die Benutzer sicher zu authentiseren.

SNC bietet dem Kunden mehrere Vorteile:

  • Sicherheit auf der Anwendungsebene und Ende-zu-Ende-Sicherheit. Hieraus ergeben sich bestimmte Vorteile, z.B. Unabhängigkeit vom Transportweg oder die transparente Durchquerung von Firewalls.
  • Die Verwendung von Smartcards für die Authentisierung wird von bestimmten Produkten unterstützt.
  • Viele Netzwerksicherheitssysteme implementieren Single Sign-On, so daß der Benutzer die verteilten Dienste nutzen kann, ohne jedesmal ein Kennwort eingeben zu müssen. Die Gültigkeitsdauer eines Single Sign- On ist gewöhnlich auf einen bestimmten Zeitraum begrenzt oder endet mit dem Entfernen der Smartcard aus dem Lesegerät.
  • Jeder Kunde kann das von ihm bevorzugte Sicherheitsprodukt verwenden Dieses kann jederzeit ersetzt werden, ohne daß die Anwendung beeinträchtigt wird.
  • Die Übertragung von Kennwörtern oder Kennphrasen über ungesicherte Netzwerkverbindungen wird vermieden.

SAP Graphical User Interface

Das SAP Graphical User Interface (SAPgui) wird normalerweise benutzt, um aus "offenen" TCP/IP-Netzwerken oder über "offene" TCP/IP-Netzwerke, wo eine physische Sicherheit der übertragenen Daten unmöglich ist, auf das R/3-System zuzugreifen. Mit der SNC-Schnittstelle kann der Benutzer die Merkmale eines externen Sicherheitstools in sein R/3-System integrieren.

Netzwerke

SNC schützt die Netzwerkkommunikation zwischen den R/3-Clients und Anwendungsservern. Die SNC-geschützten Clients und Anwendungsserver können entweder in LAN oder WAN-Umgebungen betrieben werden; um jedoch ein höheres Maß an Sicherheit zu bieten, sollten die Anwendungs- server und die Datenbankserver in einer einzigen gesicherten LAN-Umgebung betrieben werden.

Einfluß auf den Datenbestand im Fehlerfall

Soft-/Hardwarevoraussetzungen

Beide SSF und SSF nutzen externe Sicherheitsprodukte um die R/3- Sicherheit zu erhöhen. SSF nützt den Standard PKCS#7. SNC- Produkte müssen das GSS-API Version 2 unterstützen. Mit 4.0A ist SECUDE das einzige unterstützte kommerzielle Produkt, das für SAP-Kunden verfügbar ist.

Besonderheiten bei der Installation

Siehe den R/3 Customizing Einführungsleitfaden

Auswirkungen auf die Systemverwaltung

Auswirkungen auf das Customizing

Siehe den R/3 Customizing Einführungsleitfaden Verwaltung externer Sicherheitssysteme

Auswirkungen auf Batch-Input

Änderungen an der Oberfläche

Änderungen in der Vorgehensweise

Aktionen zum Beheben von Fehlern am Datenbestand

Abhängige Funktionen

Planungen

Weitere Hinweise






General Material Data   ROGBILLS - Synchronize billing plans  
Diese Dokumentation steht unter dem Copyright der SAP AG.

Length: 11387 Date: 20240523 Time: 180845     sap01-206 ( 245 ms )