SAP-Systeme mit dem Unified Connectivity Framework (UCON) schützen

Von:

5. Dezember 2022

Einleitung

SAP-Systeme, die für die Entwicklung, Qualitätssicherung oder Schulung vorgesehen sind, sind in der Regel weniger gut geschützt als Produktionssysteme. Da diese Systeme meist nicht vollständig von der Produktionsumgebung isoliert sind, sind sie weiterhin Risiken ausgesetzt. Ein kritisches Beispiel für dieses Risiko sind Remote Function Call (RFC)-Verbindungen zwischen Systemen auf unterschiedlichen Schutzebenen. Schlimmer noch: Unbefugte RFC-Verbindungen können auch von Angreifern von außen hergestellt werden, wenn die SAP-Landschaft auf Netzwerkebene nicht durch mehrschichtige Sicherheitsmaßnahmen wie Firewalls, Proxys usw. angemessen abgeschirmt ist. Da RFC-Verbindungen die Brücke zwischen einer Umgebung, die relativ offen für böswillige Aktivitäten ist, und den Produktionssystemen bilden, ist ihr Schutz von entscheidender Bedeutung.

Ab SAP NetWeaver 7.40 hat SAP mit dem Unified Connectivity Framework (UCON) eine leistungsstarke Schutzebene gegen böswillige RFC-Aufrufe eingeführt. In diesem Blogbeitrag werden die wichtigsten Aspekte von UCON erläutert und erklärt, wie sich damit die Angriffsfläche für böswillige RFC-Aufrufe um 95 % verringern lässt.

Ein Überblick über das Unified Connectivity Framework (UCON)

Ein Standard-SAP-S/4HANA-System enthält fast 50.000 remote-fähige Funktionsbausteine, von denen nur einige Hundert tatsächlich von außerhalb der Systemumgebung aufgerufen werden. Dafür gibt es zwei Hauptgründe:

  • Obwohl SAP zahlreiche Anwendungsmodule mit jeweils vielen Prozessen bereitstellt, nutzen die meisten SAP-Kunden nur einen kleinen Teil der verfügbaren Geschäftsszenarien.  
  • Funktionsbausteine, die in der Parallelverarbeitung verwendet werden, müssen ebenfalls für den Fernzugriff freigegeben sein, auch wenn sie eigentlich nur lokal im selben System und Mandanten aufgerufen werden sollen

Vor der Einführung von UCON konnte der externe Zugriff auf einzelne Funktionsbausteine nur über Berechtigungen mittels des Berechtigungsobjekts S_RFC gesteuert werden. Dies hat folgende Nachteile:

  • Hoher Wartungsaufwand für diese Berechtigungen
  • Der Einfachheit halber werden Berechtigungen oft auf der Ebene von Funktionsgruppen vergeben und ermöglichen so den Zugriff auf eine größere Auswahl an Funktionsbausteinen
  • Manche Superuser haben oft S_RFC * 

UCON führt zusätzlich zur autorisationsbasierten control eine weitere Schutzebene ein, die auf einem Whitelist-Ansatz basiert: 

Whitelist-Ansatz mit dem Unified Connectivity Framework (UCON)

Die größten Herausforderungen für SAP-Administratoren sind die Ersteinrichtung der UCON-Zulassungsliste und die fortlaufende Pflege dieser Liste, sobald neue Remote-fähige Funktionsbausteine (RFMs) in das System aufgenommen werden. Das UCON-Framework unterstützt beide Aufgaben technisch.

Die drei Phasen eines Remote-Enabled Function Module (RFM) in UCON

Bevor endgültig entschieden wird, ob ein bestimmtes RFM dauerhaft von außerhalb des Systems zugänglich gemacht werden soll oder nicht, durchläuft es in UCON drei verschiedene Phasen:

Drei Sätze zum Unified Connectivity Framework (UCON)

Phase 1: Die Erfassungsphase

Nach der Ersteinrichtung von UCON werden alle vorhandenen RFMs der Protokollierungsphase zugeordnet. In dieser Phase erfasst das Framework statistische Daten zu allen externen RFC-Aufrufen. Standardmäßig dauert diese Phase 90 Tage, und am Ende erhalten Administratoren sehr detaillierte Einblicke darin, welche RFMs in ihren Geschäftsszenarien tatsächlich verwendet werden. 

Nach der Auswertung der statistischen Daten werden alle erforderlichen RFMs der Standard-Kommunikationsbaugruppe (Standard-CA) zugewiesen, die in UCON die Zulassungsliste darstellt. Auf die der Protokollierungsphase zugewiesenen RFMs kann von außerhalb des Systems zugegriffen werden, wodurch jegliche Auswirkungen auf laufende Geschäftsprozesse vermieden werden.

Phase 2: Die Evaluierungsphase   

Die Evaluierungsphase dient dazu, UCON-Laufzeitprüfungen zu simulieren und zu überprüfen, ob in der Standard-CA RFMs fehlen. Fehlende RFMs können jederzeit hinzugefügt werden. RFMs, die der Evaluierungsphase zugeordnet sind, sind auch von außerhalb des Systems weiterhin zugänglich.

Phase 3: Abschließende (Check-Active-)Phase

RFM in der Endphase sind von außerhalb des Systems nur zugänglich, wenn sie der Standard-CA zugewiesen sind. 

Hinweis: Jedes RFM hat seinen eigenen Phasenzyklus, sodass die aktuelle Phase für jedes RFM separat geändert werden kann. Die Standarddauer jeder Phase wird jedoch global in der UCON-Anpassung festgelegt. Die Phase eines RFM wird niemals automatisch geändert. Administratoren können die Transaktion UCONCOCKPIT (Transaktion UCONPHTL für Systeme auf SAP NW 7.40 SP6 oder niedriger) verwenden, um nach RFMs zu filtern, deren aktuelle Phase abgelaufen ist:

Unified Connectivity Framework (UCON) – Abschlussphase

Alle RFMs können in der Ergebnisliste markiert und der nächsten Phase zugeordnet werden.

Ersteinrichtung von UCON

Um UCON in einem System zu aktivieren, muss der Systemprofilparameter „ucon/rfc/active“ auf 1 gesetzt werden.

Anschließend wird die zentrale UCON-Verwaltungstransaktion UCONCOCKPIT/UCONPHTL für die Ersteinrichtung verwendet. UCON wird in der Regel in der RFC-Basisszenario-Landschaft eingerichtet. In diesem Szenario wird das Entwicklungssystem verwendet, um die Phase eines RFM zu ändern und die Standard-Kommunikationsassembly zu pflegen. Das Produktivsystem dient dazu, statistische Daten über RFM-Aufrufe von außerhalb des Systems zu erfassen. Diese statistischen Daten können in das Entwicklungssystem übertragen und als Entscheidungskriterium für Phasen- und CA-Änderungen herangezogen werden.

UCON RFC – Grundlegende Szenario-Landschaft

Unified Connectivity Framework (UCON) – RFC-Basisszenario

Die folgende detaillierte Schritt-für-Schritt-Anleitung stammt aus dem Dokument „UCON RFC Basic Scenario – Leitfaden zur Einrichtung und zum Betrieb von SAP NetWeaver 740 SP5 (und höher) “ und wurde nur geringfügig angepasst.
 

UCON

Verwaltung neuer RFMs

Sobald alle RFMs die definierten Phasen durchlaufen haben (nach der Einrichtung von UCON befinden sich alle in der Phase „Final“), sind nur noch jene RFMs von außerhalb des Systems zugänglich, die der Standard-CA zugewiesen sind. Aber was ist mit neuen RFMs, die nach dieser Anfangsphase erstellt wurden? Nun, sie durchlaufen denselben Prozess. Sie werden zunächst auf dem Entwicklungssystem der Phase „Logging“ zugewiesen, und nach dem Import in die Produktion wird jeder Aufruf von außen protokolliert. 

Die RFM-Phase kann je nach den Ergebnissen der Produktionssystemstatistik auf „Evaluierung“ oder „Endgültig“ gesetzt werden. Sie können auch der Standard-CA zugeordnet werden, falls sie extern zugänglich sein müssen. Die Produktionssystemstatistiken sollten regelmäßig aus der Produktion in die Entwicklung übertragen werden. Die Änderung des Phasenstatus wird in einem separaten Transportobjekt R3TR RFST nachverfolgt und kann separat transportiert werden, ohne dass das gesamte RFM erneut transportiert werden muss. Dies ist wichtig, da der RFM-Quellcode möglicherweise bereits Änderungen enthält, die noch nicht produktionsreif sind.

Das UCON-Cockpit bietet außerdem eine Anpassungsoption namens „Secure by Default“ für neue RFMs:

Unified Connectivity Framework (UCON) Cockpit – Von Haus aus sicher für neue RFMs

Von der Aktivierung dieser Option wird abgeraten, da dadurch lediglich der Phasenstatus „Aktiv (endgültig)“ für den neuen RFM gesetzt wird. Er wird nicht zur Standard-CA hinzugefügt. SAP rät von der Aktivierung ab und erklärt:

 „Daher kann die Auswahl von „Standardmäßig sicher“ im Allgemeinen ein Risiko darstellen, da sich nicht ausschließen lässt, dass ein RFM, der für eines Ihrer RFC-Szenarien benötigt wird, in Ihr System gelangt.“

Überwachung von UCON

RFM-Module können jederzeit zur Standard-CA hinzugefügt oder daraus entfernt werden. RFM-Module, die die UCON-Laufzeitprüfungen beim Aufruf von außerhalb des Systems nicht bestanden haben, lassen sich anhand von Systemprotokolleinträgen (SM21), CCMS-Einträgen und dem UCON-Cockpit identifizieren:

Überwachung des Unified Connectivity Framework (UCON)

Das UCON-Cockpit ermöglicht zudem die Filterung nach RFMs, die sich auf der Standard-CA befinden, aber innerhalb eines bestimmten Zeitraums nicht von außen aufgerufen wurden. Auch diese RFMs sollten analysiert werden, da sie möglicherweise aus der CA entfernt werden.

UCON kann auch als Workaround dienen, falls SAP am SAP Patch Day anfällige RFMs meldet, da es eine schnelle Deaktivierung der betroffenen RFMs ermöglicht. Ein Beispiel hierfür ist der SAP-Sicherheitshinweis Nr . 3089831.  

Fazit

Mit dem Unified Connectivity Framework (UCON) stellt SAP ein leistungsstarkes Tool bereit, mit dem sich SAP-Systeme auf einfache Weise vor unbefugtem externem RFC-Zugriff schützen lassen. Die wichtigsten Vorteile sind:

  • Dadurch wird die Angriffsfläche für böswillige RFC-Aufrufe um durchschnittlich 95 % verringert
  • Es ist innerhalb weniger Minuten aktiviert
  • Das Phasenmodell stellt sicher, dass der Geschäftsbetrieb nicht beeinträchtigt wird, indem der Zugriff auf die benötigten RFMs gesperrt wird 
  • Es bietet Möglichkeiten, sowohl die ursprüngliche Gruppe von RFMs als auch alle neu hinzugefügten RFMs zu schützen
Stichworte, , , , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen