SAP Management Console: Konzepte, Architektur und Sicherheitsoptimierung

Letzte Aktualisierung: 31.12.2025

Die SAP Management Console (SAP MC) ist ein browserbasiertes oder über die Befehlszeile bedienbares Tool, das einen einheitlichen Rahmen für die zentralisierte Systemadministration bietet. Sie ermöglicht es Administratoren, Prozesse zu überwachen und grundlegende Aufgaben in den ABAP-, Java- und HANA-Stacks auszuführen, ohne sich direkt beim Betriebssystem anmelden zu müssen.

Es fungiert als „Fernbedienung controlfür den Anwendungsserver. Es ist eine wichtige Komponente von SAP-Sicherheit , denn im Falle einer Kompromittierung können Angreifer zentrale Geschäftsprozesse stören, indem sie Instanzen anhalten oder Konfigurationen ändern.

Wichtige Verwaltungsaufgaben

Systemadministratoren nutzen SAP MC, um die folgenden wichtigen Aufgaben auszuführen:

• Instanzverwaltung: Systeme und Instanzen starten, stoppen und registrieren.
• Überwachung: Zeigen Sie Trace-Dateien, Protokolle und den Status des Anwendungsservers in Echtzeit an.
• Debugging: Aktivieren Sie die Debugging-Modi zur Fehlerbehebung.
• Snapshots: System-Snapshots erstellen, anzeigen, auflisten und löschen.
• Parameterverwaltung: Profilparameterwerte anzeigen und ändern.
• Betriebssystembefehle: Betriebssystembefehle aus der Ferne ausführen.

Hinweis: Diese Funktionen werden auch von SAPControl, dem SAP Solution Manager und Überwachungstools von Drittanbietern genutzt.

Architektur und Zugriffsmethoden

Der SAP MC kommuniziert direkt mit dem sapstartsrv Prozess (SAP Start Service), der auf jeder Instanz (ABAP, Java, HANA) vorhanden ist.

Anwendungsbereiche des SAP MC

Der SAP MC kann über die Web-Benutzeroberfläche oder über den WebService genutzt werden:

• Web User Interface: accessing through any browser that supports Java applet (Internet Explorer or Firefox ESR) in:
  http://<sap_host>:<5xx13>
  https://<sap_host>:<5xx14>
  Where <xx> must be replaced for the instance number of your SAP system
• Aufruf der SAP-MC-WebMethods über das SOAP-Protokoll.

Auf die SAP Management Console zugreifen

Web-Benutzeroberfläche

Wenn Sie über die zuvor genannten Links auf die Web-Benutzeroberfläche zugreifen, wird folgende Ansicht angezeigt:

Wenn Sie die entsprechende System-ID (SID) und anschließend die Instanz auswählen, erscheint ein Anmeldefenster (beachten Sie, dass der Benutzername und das Passwort für den SAP MC mit denen des Betriebssystems übereinstimmen):

Nach der Anmeldung stehen alle zuvor beschriebenen detaillierten Aktionen zur Ausführung bereit. Darüber hinaus können im SAP-MC-Panel auch bestimmte „Methoden“ ausgeführt werden:

• Instanz starten, stoppen oder neu starten
• Anzeige von Protokollen und Trace-Dateien
• Werte von Profilparametern usw.

Außerdem können weitere Systeme in derselben Konsole hinzugefügt werden, was deren Verwaltung von einem einzigen Ort aus erleichtert.

Webdienst (SOAP-Protokoll)

Das SAP MC verfügt über einen WebService mit mehreren WebMethods, über die Sie Verwaltungsaufgaben ausführen können. Diese WebMethods können über das SOAP-Protokoll aufgerufen werden. Es stehen zahlreiche verschiedene SOAP-Tools zur Verfügung; Sie können den WebService des SAP MC mit jedem dieser Tools nutzen.

• Die WSDL-Schnittstellendefinition kann direkt vom Webdienst unter folgender Adresse abgerufen werden: 
• http://<sap_host>:<5xx13>/?wsdl (NOT RECOMMENDED)
• https://<sap_host>:<<5xx14>/?wsdl (RECOMMENDED)

Eine Reihe von WebMethods im SAP MC, wie beispielsweise „Start“, „Stop“ oder „GetInstanceProperties“, stehen zur Ausführung bereit. 

Sicherheitsaspekte bei SAP MC

Web-Benutzeroberfläche

Ein wichtiger Sicherheitsaspekt, der stets berücksichtigt werden sollte, ist, dass SSL im System immer aktiviert sein sollte und der Zugriff auf die Management Console über HTTPS erfolgen muss.

Der Zugriff auf die SAP MC über HTTP(S) könnte zu einem potenziellen Man-in-the-Middle-Angriff führen, bei dem die Anmeldedaten gestohlen werden, die Sie für die Interaktion mit der SAP MC verwenden. Es ist wichtig zu berücksichtigen, dass es sich bei den Anmeldedaten für die Authentifizierung gegenüber der SAP MC um die Anmeldedaten des Betriebssystems handelt und welche Auswirkungen ein Diebstahl dieser Daten haben könnte.

Um den Zugriff auf diesen Dienst sicher zu verwalten, müssen die folgenden Parameter konfiguriert werden:

• service/http/acl_file
• service/https/acl_file

Diese Parameter sollten mit dem Speicherort der ACL-Datei konfiguriert werden. Diese Datei muss die Verbindungsregeln enthalten, die den Zugriff gewähren oder verweigern.

„localhost“ muss immer hinzugefügt werden. Andernfalls schlägt der Befehl „sapcontrol“ fehl. Nachfolgend finden Sie einige Empfehlungen, die Sie beachten sollten:

• Bevor Sie diesen Parameter konfigurieren, führen Sie alle erforderlichen Tests durch, um mögliche Verbindungsprobleme in einer Produktionsumgebung mit den Überwachungssystemen zu vermeiden.
• Setzen Sie diesen Parameter im Standardprofil, um alle Instanzen im System zu schützen.
• Seien Sie vorsichtig, wenn Sie große IP-Bereiche zulassen, da dadurch möglicherweise unerwünschten Hosts Zugriff gewährt wird.

WebService | SOAP: Schutz der Webmethods

Alle Webmethods des SAP MC sollten geschützt sein. Sind sie nicht geschützt, könnte ein Angreifer ohne jegliche Authentifizierung administrative Aufgaben ausführen, Ihr System starten, stoppen und sogar Parameterwerte ändern und es so vollständig kompromittieren.

Der Schutz der Webmethoden kann über den Parameter „service/protectedwebmethods“ konfiguriert werden. Dieser Parameter kann entweder mit einer separaten Liste von Webmethoden (wie „Start“, „Stop“ usw.) oder mit einem der vier Standardsätze [ALL | SDEFAULT | DEFAULT | NONE] konfiguriert werden. 

Außerdem lässt es sich durch eine Verkettung möglicher Werte konfigurieren, wobei Standard-Sets mit benutzerdefinierten Methoden kombiniert werden können, zum Beispiel:

• service/protectedwebmethods = SDEFAULT +Start +Stop -GetInstanceProperties (wobei die Plus- und Minuszeichen bedeuten, dass eine bestimmte Methode zum Standard-Set hinzugefügt bzw. daraus entfernt wird)

Weitere Beispiele

• service/protectedwebmethods = SDEFAULT +Start +Stop -GetInstanceProperties
  • Alle in SDEFAULT definierten Methoden, einschließlich „Start“ und „Stop“, sowie die Entfernung von „GetInstanceProperties“.
• Es wird grundsätzlich empfohlen, fast alle Methoden mit SDEFAULT (service/protectedwebmethods=SDEFAULT) zu schützen.
• Ab Version 738 ist der Zugriff auf fast alle Methoden des Webdienstes standardmäßig geschützt (service/protectedwebmethods=SDEFAULT). 
• In früheren Versionen war standardmäßig nur der Zugriff auf kritische Methoden geschützt, die den Zustand der Instanz veränderten (service/protectedwebmethods=DEFAULT). 

Wir bei Onapsis haben es uns zur Aufgabe gemacht, unseren Kunden die besten Empfehlungen und Lösungen für die Sicherheit ihrer SAP-Systeme zu bieten. Die Platform mehrere Module, mit denen all diese kritischen Konfigurationen überprüft werden können. Ein angemessener Schutz Ihrer SAP-Management-Konsole ist wichtig, um die Integrität Ihres Systems zu gewährleisten. 

Zögern Sie nicht, uns um weitere Informationen darüber zu bitten, wie OP Ihre geschäftskritischen Anwendungen schützen kann.

Häufig gestellte Fragen (FAQ)

Welchen Port verwendet die SAP Management Console?

Die Standardports für die SAP Management Console (SAP MC) sind 5xx13 für HTTP und 5xx14 für HTTPS, wobei „xx“ für die eindeutige Instanznummer des SAP-Systems steht. Wenn Ihre Instanznummer beispielsweise 00 lautet, ist der sichere HTTPS-Port 50014.

Wie rufe ich die SAP Management Console auf?

Sie können über einen Standard-Webbrowser unter Verwendung des folgenden URL-Formats auf das SAP MC zugreifen https://<hostname>:5xx14. Alternativ können Administratoren das Befehlszeilentool des Betriebssystems verwenden sapcontrol oder damit SOAP-Clients von Drittanbietern direkt mit der SAP-Start-Service-Schnittstelle kommunizieren können.

Ist die SAP Management Console anfällig für Sicherheitslücken?

Ja, die Standardkonfigurationen der SAP Management Console können Sicherheitslücken aufweisen. Zu den gängigen Risiken zählen der nicht authentifizierte Zugriff auf kritische Webmethods (wodurch Angreifer Systeme neu starten oder Protokolle einsehen können) sowie die Offenlegung von Administratorzugangsdaten über unverschlüsselte HTTP-Verbindungen.

Wie sichere ich die SAP Management Console?

Um die SAP-MC zu gewährleisten, müssen Sie drei zentrale Kontrollmaßnahmen umsetzen:

1. SSL erzwingen, um den Diebstahl von Zugangsdaten zu verhindern.
2. ACLs konfigurieren (service/http/acl_file), um den Zugriff ausschließlich auf vertrauenswürdige IP-Adressen zu beschränken.
3. Webmethods schützen durch Einstellen des Parameters service/protectedwebmethods = SDEFAULT um sicherzustellen, dass für alle wichtigen Verwaltungsaufgaben eine Authentifizierung erforderlich ist.