Ansicht
Dokumentation
< ( RELNBC_ADM_40A_SNC )
CPI1466 during Backup General Data in Customer MasterDiese Dokumentation steht unter dem Copyright der SAP AG.
Kurztext
Benutzung externer Sicherheitssysteme
Beschreibung
Die verschiedenen Belange der Datensicherheit gewinnen bei R/3-Kunden immer mehr an Bedeutung. SAP unterstützt leistungsstarke Sicherheits- mechanismen, um den Anforderungen der Benutzer gerecht zu werden, hat sich jedoch entschieden, keine Verschlüsselungsfunktionen mit der eigenen Software auszuliefern. Stattdessen können externe Produkte integriert werden, die von Sicherheitsfachleuten entwickelt wurden.
Secure Store and Forward> (SSF)>
Secure Store & Forward (SSF) bietet die erforderliche Unterstützung zum Schutz von R/3-Daten und von Dokumenten als unabhängige Dateneinheiten. Dieser Schutz erfolgt durch
digitale Signaturen und>
digitale Umschläge.
Der Standard für diese sicheren Datenformate ist PKCS#7. Wenn diese sicheren Formate verwendet werden, werden die authentisierten Daten in einen Umschlag (sogenannte "security wrapper") verpackt, bevor sie auf Daten-träger gespeichert oder über Netzwerke übertragen übertragen werden.
Sicherheit in betriebswirtschaftliche Anwendungen
Für die betriebswirtschaftliche Anwendungssoftware ist es heutzutage zunehmend wichtig, elektronische Authentisierungsmechanismen zu unterstützen und elektronische Geschäftsvorgänge über öffentliche Daten-kommunikations-Netzwerke zu sichern. Während solcher elektronischer Geschäftsvorgänge verlassen betriebswirtschaftliche Daten, wie elektro-nische Zahlungen oder Informationen über Bestellungen und Konten, die sichere Umgebung eines R/3-Systems, um über unsichere Netzwerke über-tragen oder auf Datenträgern oder in Archiven gespeichert zu werden.
Die Sicherheitsanforderungen im Zusammenhang mit elektronischen Geschäftsvorgängen sind von Natur aus anders als die Anforderungen an die Sicherheit der Online-Kommunikation zwischen Systemkomponenten. Die Übertragung von betriebswirtschaftlichen Daten erfolgt durch Computersysteme und Softwareprozesse; die eigentlichen betriebswirtschaftlichen Vorgänge werden jedoch zwischen Personen oder anderen Entitäten mit juristischer Bedeutung durchgeführt. Deshalb sind zusätzliche Sicherheitsmechanismen auf Anwendungsebene erforderlich.
Digitale Signaturen und Digitale Umschläge
Die mit "Secure Store & Forward (SSF)" angebotene Unterstützung ermöglicht den Schutz von R/3-Daten und Dokumenten bei der Speicherung auf Datenträger sowie bei der Übertragung über unsichere Kommunikations- verbindungen, wie z.B. das Internet. Dazu werden digital Signaturen und Verschlüsselung auf Anwendungsebene eingesetzt. Die Daten werden dabei als unabhängige Dateneinheiten gesichert, unabhängig von der Art ihres Inhalts und von dem gewählten Transportverfahren. Die von SSF angebotenen Schutzmechanismen werden außerhalb des Kontexts einer bestehenden Kommunikationsverbindung angewendet.
Mit den SSF-Funktionen werden R/3-Daten und Dokumente in sichere Formate "verpackt", sogenannte "security wrapper", bevor sie auf Datenträgern abgespeichert oder über (unsichere) Kommunikations- verbindungen übertragen werden. Mittels einer digitalen Signatur wird dabei sichergestellt, daß die Daten nicht verfälscht werden, daß der Absender (Unterzeichner) eindeutig festgestellt werden kann und daß ein Beweis für die Auftragsvergabe vorliegt. Durch einen anschließenden digitalen Umschlag wird der Inhalt der Daten nur für den (oder die) gedachten Empfänger lesbar. Dadurch ergeben sich auch bei der Zwischenspeicherung auf dem Trans-portweg oder am Zielort keine Sicherheitslücken.
Zur Erstellung einer digitalen Signatur für ein gegebenes Dokument oder eine Nachricht wird eine Hashfunktion verwendet, die einen Hashwert ("message digest") liefert. Der Hashwert ist ein eindeutiger Finger- abdruck der Nachricht, üblicherweise jedoch viel kürzer als die Nachricht. Wenn eine kryptographische Hashfunktion verwendet wird, sollte es unmöglich sein, eine weitere sinnvolle Eingabenachricht zu berechnen, die denselben Hashwert erzeugt. Der Hashwert wird dann in einen signierten Hashwert umgewandelt, wobei der private Schlüssel des Unterzeichners verwendet wird. Jeder, der Zugriff auf den entsprechenden öffentlichen Schlüssel des Unterzeichners hat, kann die Umwandlung umkehren und den Hashwert aus dem signierten Hashwert berechnen. Um die Echtheit der Signatur und die Datenintegrität zu prüfen, wird dieselbe Hashfunktion auf die Daten angewendet und das Ergebnis mit dem Hashwert verglichen.
Um ein zu schützendes Dokument oder eine Nachricht in einen digitalen Umschlag zu verpacken, wird die Nachricht zunächst verschlüsselt, so daß nur der (die) gedachte(n) Empfänger die Nachricht entschlüsseln können. Üblicherweise werden die Daten mit einem neu generierten DES Schlüssel (Nachrichtenschlüssel) verschlüsselt. Dann wird die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Nur der Besitzer des entsprechenden privaten Schlüssels, d.h. der gedachte Empfänger, kann den Nachrichtenschlüssel und dann die Daten im digitalen Umschlag entschlüsseln.
Erfüllte Sicherheitsanforderungen mit SSF
Der Schutz der R/3-Daten und Dokumente mit SSF erfüllt die folgenden grundlegenden Sicherheitsanforderungen:
- Integrität der Daten (Schutz vor Verfälschung)
- Vertraulichkeit der Daten (Schutz vor unberechtigtem Lesen)
- Authentizität des Absenders (Schutz vor Maskeraden)
- Unleugbarkeit (Beweis für die Auftragsvergabe)
Mit SSF sind darüberhinaus folgende Eigenschaften gegeben, die für elektronische Geschäftsvorgänge von großer Wichtigkeit sind:
- asynchrone, d.h. zeitlich entkoppelte Erstellung, Übermittlung, Entgegennahme, Verarbeitung und Bestätigung von Geschäftsvorgängen
- Unabhängigkeit vom Transportweg, d.h. verschiedene Transportmedien und -verfahren (z.B. öffentliches Netz, Online-Dienst, Internet, Bänder, Disketten) sowie verschiedene Kommunikationsdienste und -protokolle (z.B. HTTP, FTP, Email, EDI) sind möglich.
Diese Eigenschaften bleiben dabei auch nach Ende der Datenübertragung erhalten, solange die Daten im gesicherten Format gespeichert sind.
Anwendungen die SSF benutzen
Secure Network Communications> (SNC)>
SNC unterstützt starke Authentisierungs-, Datenintegritäts- und Vertraulichkeitsdienste für das R/3-System durch die Integration eines externen Sicherheitsprodukts über definierte Anwendungsprogrammier- Schnittstellen.
SNC schützt die Netzwerkverbindungen zwischen den verteilten Komponenten eines R/3-Systems. Zudem ermöglicht SNC die Verwendung von kryptographischen Verfahren und Smartcards, um die Benutzer sicher zu authentiseren.
SNC bietet dem Kunden mehrere Vorteile:
- Sicherheit auf der Anwendungsebene und Ende-zu-Ende-Sicherheit. Hieraus ergeben sich bestimmte Vorteile, z.B. Unabhängigkeit vom Transportweg oder die transparente Durchquerung von Firewalls.
- Die Verwendung von Smartcards für die Authentisierung wird von bestimmten Produkten unterstützt.
- Viele Netzwerksicherheitssysteme implementieren Single Sign-On, so daß der Benutzer die verteilten Dienste nutzen kann, ohne jedesmal ein Kennwort eingeben zu müssen. Die Gültigkeitsdauer eines Single Sign- On ist gewöhnlich auf einen bestimmten Zeitraum begrenzt oder endet mit dem Entfernen der Smartcard aus dem Lesegerät.
- Jeder Kunde kann das von ihm bevorzugte Sicherheitsprodukt verwenden Dieses kann jederzeit ersetzt werden, ohne daß die Anwendung beeinträchtigt wird.
- Die Übertragung von Kennwörtern oder Kennphrasen über ungesicherte Netzwerkverbindungen wird vermieden.
SAP Graphical User Interface
Das SAP Graphical User Interface (SAPgui) wird normalerweise benutzt, um aus "offenen" TCP/IP-Netzwerken oder über "offene" TCP/IP-Netzwerke, wo eine physische Sicherheit der übertragenen Daten unmöglich ist, auf das R/3-System zuzugreifen. Mit der SNC-Schnittstelle kann der Benutzer die Merkmale eines externen Sicherheitstools in sein R/3-System integrieren.
Netzwerke
SNC schützt die Netzwerkkommunikation zwischen den R/3-Clients und Anwendungsservern. Die SNC-geschützten Clients und Anwendungsserver können entweder in LAN oder WAN-Umgebungen betrieben werden; um jedoch ein höheres Maß an Sicherheit zu bieten, sollten die Anwendungs- server und die Datenbankserver in einer einzigen gesicherten LAN-Umgebung betrieben werden.
Einfluß auf den Datenbestand im Fehlerfall
Soft-/Hardwarevoraussetzungen
Beide SSF und SSF nutzen externe Sicherheitsprodukte um die R/3- Sicherheit zu erhöhen. SSF nützt den Standard PKCS#7. SNC- Produkte müssen das GSS-API Version 2 unterstützen. Mit 4.0A ist SECUDE das einzige unterstützte kommerzielle Produkt, das für SAP-Kunden verfügbar ist.
Besonderheiten bei der Installation
Siehe den R/3 Customizing Einführungsleitfaden
Auswirkungen auf die Systemverwaltung
Auswirkungen auf das Customizing
Siehe den R/3 Customizing Einführungsleitfaden Verwaltung externer Sicherheitssysteme
Auswirkungen auf Batch-Input
Änderungen an der Oberfläche
Änderungen in der Vorgehensweise
Aktionen zum Beheben von Fehlern am Datenbestand
Abhängige Funktionen
Planungen
Weitere Hinweise
General Material Data ROGBILLS - Synchronize billing plans
Diese Dokumentation steht unter dem Copyright der SAP AG.
Length: 11387 Date: 20240523 Time: 180845 sap01-206 ( 245 ms )