Die Automatisierung alltäglicher Aufgaben mit der Platform Kosten und setzt Ressourcen frei
Anmerkung der Redaktion: Dieser Blogbeitrag wurde im März 2025 aktualisiert
Als ehemaliger SAP-Basis-Administrator weiß ich aus eigener Erfahrung, dass Sie für eine Vielzahl von Aufgaben verantwortlich sind, die darauf abzielen, sicherzustellen, dass Ihre SAP-Systeme einwandfrei laufen. Während des gesamten Lebenszyklus eines SAP-Systems (Installation, Upgrade, Wartung) müssen Basis-Administratoren sicherstellen, dass die Sicherheitseinstellungen, die Protokollierung und die Parameter des Systems korrekt konfiguriert sind. Dazu nutzen Sie Dokumentationen, die von den NetWeaver-Installationshandbüchern über Baseline SAP Security Baseline und SAP Security Notes bis hin zu Ihren eigenen Unternehmensrichtlinien wie ITGC (IT General Controls), SOX (Sarbanes-Oxley) oder PCI (Payment Card Industry) reichen. Dies kann eine äußerst zeitaufwändige Aufgabe sein, da die SAP-Landschaft nicht statisch ist; ständig kommen neue Konfigurationen, Programme, Mandanten, Instanzen und Systeme hinzu, während gleichzeitig System- und Mandantenaktualisierungen stattfinden und sich auf die Systemeinstellungen auswirken.
Ein durchschnittliches Fortune-1000-Unternehmen nutzt mehrere der vielfältigen Produkte aus dem SAP-Portfolio, um seine wichtigsten Geschäftsanwendungen zu betreiben. Viele Unternehmen setzen SAP S/4HANA, CRM, ERP, SOLMAN, PLM, SCM, BI, SRM, BW, BOBJ und EP ein, um nur einige zu nennen. Zusätzlich zu der Vielfalt der Anwendungen verfügen diese Produkte über unterschiedliche NetWeaver-Stacks wie ABAP und JAVA. Um all diese Einstellungen zu überprüfen, müssen Basis-Administratoren jedes System manuell überprüfen. Dazu müssen sie sich bei mehr als 100 Systemen anmelden – eine Aufgabe, die viele Tage, manchmal sogar Wochen in Anspruch nehmen kann –, während sie gleichzeitig ihre täglichen Change-Management- und Betriebsaufgaben bewältigen müssen, um sicherzustellen, dass die SAP-Systeme stets laufen.
In diesem Blogbeitrag zeige ich Ihnen verschiedene Möglichkeiten auf, wie Sie die Platform nutzen können, um bis zu 90 % des Zeitaufwands für Aufgaben im Zusammenhang mit Installation, Audit und Wartung einzusparen. Langfristig bedeutet dies eine enorme Kostenersparnis für das Unternehmen, da keine zusätzlichen Ressourcen beschafft werden müssen und vorhandenes Personal für andere Projekte und Aufgaben freigestellt werden kann, beispielsweise für die Optimierung und Modernisierung von SAP-Systemen und -Anwendungen.
Die folgende Tabelle enthält eine Auswahl von mehr als 400 gängigen Aufgaben, die Basis-Administratoren in jedem System manuell ausführen müssen. Sie gibt an, in welcher Phase (Installation, Audit oder Wartung) die Aufgaben durchgeführt werden, und vergleicht den Zeitaufwand, den sie normalerweise manuell erfordern, mit der Zeitersparnis, die Sie durch die Automatisierung dieser Aufgaben mit der Assess Comply der Platform erzielen. Mit der Platform können Sie die Auswirkungen von Fehlkonfigurationen, Berechtigungen, Schwachstellen und fehlenden SAP-Notes auf die Compliance ermitteln.
Tabelle – Matrix zu Zeit- und Kosteneinsparungen
| Phase |
Prüfungsaufgabe |
Auswirkungen auf das Geschäft |
Manuelle Bearbeitungszeit pro 10 SIDS (Minuten) |
Onapsis-Zeit pro 10 SIDS (Minuten) |
Zeitersparnis (Min.) |
|
1. Installation |
Die ACL-Datei des SAP Message Servers ist nicht sicher |
Ein anonymer Angreifer könnte eine Verbindung zum Message-Server herstellen, sich als SAP-Anwendungsserver ausgeben und jegliche SAP-Kommunikation abfangen, einschließlich der Anmeldedaten von Benutzern. |
100 |
5 |
95 |
|
2. Installation |
Eine unverschlüsselte HTTP-Verbindung zur Webservice-Schnittstelle ist möglich |
Ein Angreifer könnte durch Sniffing oder Man-in-the-Middle-Angriffe (MITM) gültige Zugangsdaten oder sensible Informationen abfangen und diese nutzen, um kritische Vorgänge im System auszuführen. |
50 |
5 |
45 |
|
3. Installation |
Der ICM BC WEBRFC-Dienst ist aktiviert |
Ein authentifizierter Angreifer könnte über einen Webbrowser RFC-Funktionen ausführen und so beliebige Geschäftsdaten anzeigen und ändern. |
50 |
5 |
45 |
|
4. Installation |
Die ICM-Webgui-BSP-Anwendung ist aktiviert
|
Ein authentifizierter Angreifer könnte über einen Webbrowser Transaktionen und Berichte ausführen und so beliebige Geschäftsdaten anzeigen und ändern. |
50 |
5 |
45 |
|
5. Installation |
Unsichere SAP-GUI-Verbindungen werden akzeptiert |
Da die Verbindungen nicht verschlüsselt sind, könnte ein Angreifer sensible Daten abfangen, wie beispielsweise Zugangsdaten oder geschäftliche Informationen, darunter Kunden- und Lieferantenlisten, Kundenaufträge, Bestellungen, Zahlungen und Gehaltsabrechnungen. |
50 |
5 |
45 |
|
6. Prüfung/Installation |
Es gibt Standard-SAP-Benutzer, die nicht der Benutzergruppe „super“ zugeordnet sind. |
Es gibt Standard-SAP-Benutzer, die nicht der Benutzergruppe SUPER zugeordnet sind. – DDIC: Durchführung betrügerischer Aktivitäten im Zusammenhang mit Geschäftsprozessen, wie z. B. das Anlegen neuer Lieferanten oder die Durchführung von Zahlungen – EARLYWATCH: Zugriff auf Konfigurations- und Überwachungsdaten. – SAPCPIC: RFC-Funktionen ausführen. – TMSADM: Zugriff auf Funktionen des Transportmanagementsystems. – SAP*: Vollzugriff auf das System. |
60 |
5 |
55 |
|
7. Prüfung/Installation |
Benutzer, denen die Berechtigung zum Hinzufügen, Erstellen, Aktivieren oder Generieren von Systemprofilen zugewiesen wurde. |
Ein unbefugter Benutzer mit Berechtigungen zur Konfiguration von Anwendungsserver-Parametern könnte kritische Systemparameter ändern, beispielsweise Passwortrichtlinien, Überwachungsfunktionen deaktivieren, leistungsbezogene Parameter anpassen usw. |
50 |
5 |
45 |
|
8. Prüfung/Installation |
RFC-Ziele ohne Verschlüsselung
|
In den getesteten Clients sind RFC-Ziele ohne Verschlüsselung konfiguriert. Ein externer Angreifer, der Zugriff auf den Netzwerkverkehr hat, könnte auf sensible Informationen zugreifen, darunter auch Anmeldedaten, die über diese Verbindungen gesendet werden. |
50 |
5 |
45 |
|
9. Prüfung/Installation |
Das System akzeptiert ungeschützte interne und externe RFC-Verbindungen |
Ein Angreifer könnte eine ungesicherte Verbindung ausnutzen, um einen Angriff durchzuführen, der zu einem Datenleck führt. |
50 |
5 |
45 |
|
10. Prüfung/Installation |
Die Einhaltung der aktuellen Passwortrichtlinie wird nicht durchgesetzt |
Unter diesen Umständen werden Benutzer mit nicht konformen Passwörtern nicht automatisch aufgefordert, ihr Passwort zu ändern, wenn sie sich das nächste Mal am System anmelden, selbst wenn ein Administrator eine Änderung an der aktuellen Richtlinie vornimmt. |
50 |
5 |
45 |
|
11. Prüfung/Wartung |
Benutzer, denen das Profil SAP_ALL zugewiesen ist
|
Ein anonymer Angreifer könnte sich über ein SAP_ALL-Konto anmelden und betrügerische Handlungen im Rahmen von Geschäftsprozessen durchführen, beispielsweise neue Lieferanten anlegen und Zahlungen vornehmen, fiktive Kunden anlegen und Waren an diese versenden usw. Diese Handlungen sind möglich, da das SAP_ALL-Profil über weitreichende Berechtigungen im System verfügt. |
50 |
5 |
45 |
|
12. Prüfung/Wartung |
Der ICM-Ping-Dienst ist aktiviert
|
Der Ping-Dienst ist auf dem SAP-ICM-Server aktiviert. Mit diesem Dienst lässt sich überprüfen, ob der hinterliegende SAP-Anwendungsserver verfügbar ist. Dieser Dienst befindet sich im dem ICF-Servicepfad „/sap/public/ping“. |
50 |
5 |
45 |
|
13. Prüfung/Wartung |
Unsichere, ungültige Anmeldeversuche bis zum Ende der Sitzung
|
Die Anzahl der ungültigen Anmeldeversuche, die vom SAP GUI zugelassen werden, ohne dass die Sitzung automatisch geschlossen wird, wird durch den Profilparameter „login/fails_to_session_end“ gesteuert. Die aktuelle Konfiguration hinsichtlich der Anzahl der ungültigen Anmeldeversuche, bevor die SAP-GUI-Sitzung geschlossen wird, gilt als unsicher. In diesem Szenario kann ein Angreifer mit einem SAP-GUI-Client leichter einen Brute-Force-Angriff auf den entfernten SAP-Server durchführen. |
50 |
5 |
45 |
|
14. Prüfung/Wartung |
SAP-Passwörter verfallen nie
|
Die SAP-Passwörter verfallen nie. In diesem Fall könnte ein Angreifer, der zuvor ein gültiges Konto kompromittiert hat, möglicherweise wieder Zugriff auf das SAP-System erlangen. |
50 |
5 |
45 |
|
15. Prüfung/Wartung |
Unsichere Anzahl maximaler Anmeldeversuche
|
In diesem Szenario könnte ein Angreifer von außerhalb einen Brute-Force-Angriff auf bestimmte Benutzer starten, um die Kontrolle über das betroffene SAP-System zu erlangen. |
50 |
5 |
45 |
|
16. Wartung/Installation |
Der Client ist nicht ordnungsgemäß gesperrt; Änderungen am Repository und clientübergreifendes Customizing sind zulässig. |
Änderungen sind in Produktions- oder Test-Clients zulässig, sodass ein unbefugter Benutzer kritische Konfigurationen von Geschäftsprozessen ändern könnte, wie beispielsweise Buchungskreise, Belegarten sowie Konfigurationen für Verkaufs- und Einkaufsaufträge. |
50 |
5 |
45 |
|
17. Wartung/Installation |
Mehrere SAP-GUI-Anmeldungen sind aktiviert
|
Ein anonymer Angreifer könnte aus der Ferne einen SAP-GUI-Client angreifen, um sich die Berechtigungen des aktuellen Benutzers anzueignen. Dies könnte dazu führen, dass sich der Angreifer als dieser Benutzer ausgibt. |
50 |
5 |
45 |
|
18. Wartung/Installation |
Die Anweisung „CALL SYSTEM“ ist aktiviert
|
Der ABAP-Befehl SYSTEM ist auf dem Anwendungsserver nicht deaktiviert. Dies ermöglicht die direkte Ausführung von Betriebssystembefehlen auf dem Anwendungsserver, wenn die Ausführung von ABAP-Code möglich ist. |
50 |
5 |
45 |
|
19. Wartung/Installation |
Die Protokollierung von Tabellenänderungen ist für einige Clients teilweise aktiviert |
Die Protokollierung von Tabellenänderungen wird über den Parameter „rec/client“ im SAP-Systemprofil gesteuert. Es wurde festgestellt, dass dieser Parameter nur für bestimmte Mandanten teilweise aktiviert ist. Der Parameter „rec/client“ dient dazu, die mandantenabhängige Tabellenprotokollierung zu aktivieren und zu deaktivieren. Je nach Einstellung dieses Parameters werden bestimmte Änderungsvorgänge entweder gar nicht protokolliert („rec/client“ = OFF), nur in bestimmten Mandanten („rec/client“ = 001, 002, 003) oder in allen Mandanten („rec/client“ = ALL) protokolliert. |
50 |
5 |
45 |
|
20. Wartung/Installation |
Clients des Nachrichten-Servers auflisten
|
Dieses Modul listet alle Clients auf, die mit dem Nachrichtenserver verbunden sind |
50 |
5 |
45 |
|
21. Wartung/Installation |
Erkennung des Verwaltungsports des SAP Message Servers für ABAP
|
Dieses Modul prüft, ob im Message-Server ein Admin-Port konfiguriert ist. Ist dies der Fall, könnte ein nicht authentifizierter Benutzer verschiedene Aktionen auf dem SAP-Server ausführen, beispielsweise Parameter und Konfigurationen im Dienst ändern. |
50 |
5 |
45 |
|
22. Wartung/Installation |
Auf fehlende ABAP-, HANA-, JAVA- und SAP-Sicherheitshinweise prüfen
|
Sollten SAP-Sicherheitshinweise nicht umgesetzt worden sein, sind die betroffenen SAP-Systeme bekannten Sicherheitslücken ausgesetzt. Es konnten SAP-Sicherheitshinweise identifiziert werden, die in der Zielumgebung umgesetzt werden sollten. |
50 |
5 |
45 |
|
23. Wartung/Installation |
SAP-Sicherheitshinweise für den Kernel wurden nicht umgesetzt |
Der SAP-Kernel ist eine zentrale Komponente jeder SAP-Installation. Werden die SAP-Sicherheitshinweise für den Kernel nicht umgesetzt, ist das betroffene SAP-System bekannten Sicherheitslücken ausgesetzt und anfällig für zahlreiche Angriffe wie Pufferüberläufe und Befehlsinjektionen, wodurch das SAP-System sowie alle darin verarbeiteten und gespeicherten Informationen gefährdet werden. Es konnten SAP-Sicherheitshinweise für den Kernel identifiziert werden, die im Zielsystem implementiert werden sollten. |
50 |
5 |
45 |
|
24. Wartung/Installation |
Aktualisierungsstatus des SAP-Kernels
|
Dieses Modul ermittelt den Upgrade-Status von KERNEL im Ziel-SAP-System. |
50 |
5 |
45 |
|
25. Wartung/Installation |
Version der SAP-ABAP-Softwarekomponenten
|
Diese Module listen die Versionen aller im Ziel-SAP-System installierten ABAP-Komponenten auf, indem sie die Tabelle CVERS auswerten.
|
50 |
5 |
45 |
|
26. Prüfung/Wartung |
ICMAD |
Bedrohungsinformationen – Auf dieser Seite finden Sie Informationen, anhand derer Sie feststellen können, ob Ihre Systeme von der Sicherheitslücke im Zusammenhang mit der ICM-Desynchronisation betroffen sind.
|
50 |
5 |
45 |
|
27. Prüfung/Wartung |
10 KBLAZE |
Bedrohungsinformationen – Auf dieser Seite finden Sie Informationen, anhand derer Sie feststellen können, ob Ihre Systeme die mit 10KBLAZE verbundene Fehlkonfiguration aufweisen
|
50 |
5 |
45 |
|
Gesamtzeit |
|
|
1,410 |
135 |
1,275 |
Die obige Tabelle zeigt nur eine kleine Auswahl von 27 Aufgaben, die ein Basis-Administrator während des gesamten Lebenszyklus des SAP-Systems ausführen muss. Durch den Einsatz der Platform lassen sich erhebliche Zeitersparnisse erzielen. Die manuelle Ausführung dieser Aufgaben würde einen Basis-Administrator für nur 10 SIDs etwa 1.275 Minuten (21,25 Stunden) kosten. Durch die Automatisierung dieser Aufgaben mit der Platform wird eine Zeitersparnis von über 90 % der manuell benötigten Zeit erzielt (eine Ersparnis von 1.275 Minuten). Diese Ersparnis bezieht sich auf die anfängliche Einrichtungszeit für die Erstellung der Richtlinie und die erstmalige Durchführung des Scans. Sobald diese Richtlinie eingerichtet ist, würden die Scans schneller ablaufen und noch mehr Zeitersparnis sowie eine höhere Effizienz bieten.
Die Benutzerfreundlichkeit und Flexibilität der Platform Ihnen Zeit Platform indem sie viele manuelle und sich wiederholende Routineaufgaben automatisiert. Dadurch Platform wertvolle Ressourcen freigesetzt, die Sie für wichtigere Projekte einsetzen können, die das Unternehmen voranbringen. Darüber hinaus können Sie sicherstellen, dass Ihr Unternehmen sowohl interne als auch externe Sicherheitsrichtlinien und -kontrollen einhält, sodass Sie sich um eine Sache weniger sorgen müssen. Im nächsten Blogbeitrag zeige ich Ihnen, wie Sie Richtlinien einrichten, damit Sie sehen, wie einfach die Bedienung der Platform ist.
Wenn Sie mehr darüber erfahren möchten, wie die Platform die Effizienz steigern und Ihnen Zeit und Kosten sparen Platform , während gleichzeitig die Verfügbarkeit, Compliance und Sicherheit Ihrer Anwendungen gewährleistet wird, kontaktieren Sie uns.