NORMEN UND ZERTIFIKATE ALS NACHWEIS ... - SAP-Fachtagung …

1© HiSolutions 2012 | Workshop Normen und Zertifikate

WORKSHOP BERLIN 27.09.2012

Ronny Frankenstein

NORMEN UND ZERTIFIKATE ALS NACHWEIS DERINFORMATIONSSICHERHEIT (BEI SAP)

2

AGENDA

1 IT-Grundschutz2 ISO 270013 Warum Zertifizierung?4 Was ist SAP Sicherheit?5 SAP im IT-Grundschutz6 Zertifikat vs. Realität7 Fazit

© HiSolutions 2012 | Workshop Normen und Zertifikate

© HiSolutions 2012 | Workshop Normen und Zertifikate3

Ronny Frankenstein

Vorstellung

Jahrgang 1968IT-Branche

Informations-sicherheit

seit 1986

seit 1997

BeruflicherHintergrund

Administrator, Programmierer, IT-Leiter, Geschäftsführer

Qualifikationen Dipl.-Wirtschaftsinformatiker (FH)BSI-lizenzierter Auditteamleiter für ISO 27001auf der Basis von IT-Grundschutz und IS-RevisionZertifizierter DatenschutzbeauftragterIT-Governance ManagerPrince2 Foundation (ProjektmanagementZertifizierter Lead Auditor BS 25999-2 (Business ContinuityManagement)

Verantwortlichbei HiSolutions

Beratungsprodukt ISO 27001 auf der Basis von BSI IT-Grundschutz

Beratungs-schwerpunkte

Coaching von IT-Sicherheitsbeauftragten,Konformitätsprüfung bzgl. Datenschutz undSicherheitsmanagementZertifizierungsvorbereitung ISO 27001 auf der Basis von BSIIT-GrundschutzPublic-Key-Infrastrukturen / Verschlüsselung / IndentityManagement


Sicherheit

Wirksamkeit, Angemessenheit, Vergleichbarkeit? Standards!


Sicherheit

ISO 9000

6

BSI IT-GRUNDSCHUTZ

(C) http://www.bsi.bund.de/


http://www.bsi.bund.de/

Risikoanalyse nötig:Bei erhöhtemSchutzbedarfBei besonderemEinsatzszenarioBei fehlendenBausteinenIn der Regel für ca.20% der Ressourcen

7

DIE PRAXIS: VORGEHENSWEISE GEMÄSSBSI STANDARD 100-2 / 100-3

Standard-Sicherheit Risikoanalyse

Definition Informationsverbund

Strukturanalyse

Schutzbedarfsfeststellung

Modellierung

Ergänzende Sicherheitsanalyse

Basissicherheitscheck

Risikoanalyse

Realisierung

Gefährdungsübersicht

Zusätzliche Gefährdungen

Gefährdungsbewertung

Behandlung von Risiken

Konsolidierung

IdeeGesamtsystem enthält typische Komponenten(z.B. Server und Clients, Betriebssysteme)Pauschalisierte Gefährdungen und EintrittswahrscheinlichkeitenEmpfehlung geeigneter Bündel von Standard-Sicherheitsmaßnahmen (fürnormalen Schutzbedarf)Konkrete Umsetzungshinweise für Maßnahmen

VorteileArbeitsökonomische Anwendungsweise durch Soll-Ist-VergleichKompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle (=Maßnahmen in den IT-GS-Katalogen)Praxiserprobte Maßnahmen mit hoher WirksamkeitErweiterbarkeit und Aktualisierbarkeit

8

DIE PRAXIS: DER GRUNDGEDANKE DES IT-GRUNDSCHUTZ

9

Stark vereinfachter Analysansatz

… Geschäftsprozess, Organisationseinheit, Fachverfahren.

10

DIE DEFINITION UND DOKUMENTATION DESANWENDUNGSBEREICHS

Der InformationsverbundSchritt 1Definition des Anwendungsbereichs und derGrenzen des ISMS unter Berücksichtigung

der Eigenschaften des Geschäfts: des Prozesses,der Fachaufgabe oder des Verfahrensder Organisationsstruktur,der Standorte,der nötigen IT- und Infrastrukturressourcen

Anwendungen

IT-Systeme

Netze

Räumen/Gebäuden

benötigt

sind installiert auf

sind angeschlossen an

sind eingebaut inDiese Elementebetrachtet BSI IT-Grundschutz

Prozess

…nötige organisatorische und technische Ressourcen

11

DIE AUFNAHME ALLER RESSOURCEN IMGELTUNGSBEREICH

Strukturanalyse -RessourcenSchritt 2

Die Inventarisierung aller im Geltungsbereich desISMS eingesetzten Ressourcen.Erfassung der Abhängigkeiten der Ressourcenuntereinander.Die Gruppierung gleichartiger Ressourcen gemäßden Vorschriften des BSI Standards 100-2Ermitteln der Ressourcen-verantwortlichen fürspätere Interviews.

…nötige organisatorische und technische Ressourcen

12

DIE AUFNAHME ALLER RESSOURCEN IMGELTUNGSBEREICH

Strukturanalyse -NetzplanSchritt 2

Die graphische Übersicht über die im betrachtetenBereich der Informations- undKommunikationstechnik eingesetzten Komponentenund deren Vernetzung.Komplexitätsreduktion durch Gruppenbildung, wenndie Komponenten alle

vom gleichen Typ sind,gleich oder nahezu gleich konfiguriert sind,den gleichen administrativen und infrastrukturellenRahmenbedingungen unterliegen unddie gleichen Anwendungen bedienen.

…nach ihrer Relevanz für die Aufgabenerfüllung und das Geschäft

13

DIE BEWERTUNG ALLER GESCHÄFTSPROZESSE UNDFACHVERFAHREN

Schutzbedarfs-feststellungSchritt 3

Die Festlegung von Einstufungsskalen undSchadensszenarien.Durchführen von Interviews mit Prozess- undFachverantwortlichen zur Einstufung derGeschäftsprozesse und Fachverfahren.Hierarchische Weitergabe des Schutzbedarfes überdie ermittelten Abhängigkeiten an die nötigenRessourcen.Berücksichtigen von Kumulations- undVerteilungseffekten.Qualitätssicherung und Interpretation derGesamtschutzbedarfe.

… welche Maßnahmen sind für die jeweilige Ressource umzusetzen.

14

AUSWAHL DER ZUTREFFENDEN SICHERHEITSMODULEAUS IT-GRUNDSCHUTZ

ModellierungSchritt 4Zuordnen der Bausteine ausden IT-Grundschutzkatalogengemäß Vorgaben des BSIStandards 100-2.

Schicht 1: übergreifendeAspekte

Schicht 2: Infrastruktur

Schicht 3: IT-Systeme

Schicht 4: Netze

Schicht 5: Anwendungen

…unter Berücksichtigung der Eigenheiten der Organisation

15

UMSETZUNG VON ORGANISATORISCHEN UNDTECHNISCHEN MASSNAHMEN

BasissicherheitscheckSchritt 5Durchführen des Soll-Ist-Vergleiches bezogenauf die in den IT-Grundschutzbausteinenvorgeschlagenen Maßnahmen.Erfassen des Umsetzungsgrades und derNachweise für die Umsetzung.Festlegen der nötigen Tätigkeiten zur Erfüllungder Defizite.

…Konzentration auf das Wichtigste!

16

DIE ERGÄNZENDE SICHERHEITSANALYSE

Die ergänzendeSicherheitsanalyseSchritt 6

Entscheidungsprozess, aus dem sich ergibt, für welche Zielobjekteweitergehende Untersuchungen erforderlich sind und für welche nicht.Es hat sich gezeigt, dass für einzelne Zielobjekte die IT-Grundschutz-Maßnahmen unter Umständen keine hinreichende Sicherheit bieten, weil...

... es einen hohen oder sehr hohen Bedarf für das Zielobjekt gibt,

... es keinen hinreichend geeigneten IT-Grundschutz-Baustein gibt oder

... das Zielobjekt in einer für das Anwendungsgebiet des IT-Grundschutzes untypischen Weise oder Einsatzumgebung betriebenwird.

Sicherheitsanalyse kann zum Ergebnis führen, dass die IT-Grundschutz-Maßnahmen auch für hohes Niveau ausreichen.

…für den angemessenen Hochschutz Ihrer „Kronjuwelen“

17

DIE ZUSÄTZLICHE RISIKOANALYSE

Die zusätzlicheRisikoanalyseSchritt 7

Es besteht ein Bedarf an zusätzlichen oderhöherwertigen Maßnahmen.Zahlreiche Varianten, viele fordern sehrspezielles Expertenwissen.Vorgehen nach der ISO 27005 Methode.In Anlehnung an das IT-Grundschutz Vorgehenwird eine Methode im BSI Standard 100-3empfohlen!

Umfang richtet sich nach den Vorgaben derZertifizierungsstelle des BSIHohe Vergleichbarkeit durch einheitlichesPrüfschemaAuditoren interpretieren Maßnahmen ähnlichAuditoren prüfen und erstellen nur den BerichtZertifizierungsstelle prüft Angaben und ist ggf.bereits beim Audit anwesend(Qualitätsgedanke)Einheitliche Ausbildung der Auditoren für dieDurchführung der Audits mit jährlicherWeiterbildung

IT-GRUNDSCHUTZ - ZERTIFIZIERUNGSAUDIT

Vorgehensweise:Orientiert sich an der Struktur der IT-RessourcenSehr konkret in den BSI Standards beschrieben

Risikoanalyseansatz:Standardmaßnahmen für normales Niveau, detaillierte Analyse nötig fürhöheres Niveau

Definition der Anforderungen und Maßnahmen:Kaum AnforderungsmanagementDetaillierte, praxiserprobte Maßnahmenvorschläge

Zertifizierungsaudit:Einheitliche Prüfung, vergleichbare Ergebnisse

IT-GRUNDSCHUTZ - ZWISCHENFAZIT

20

ISO 27001 / 27002


(C) http://www.iso.org/

http://www.iso.org/

Der „internationale“ Standard ISO/IEC 27001

Status: Erst-Veröffentlichung 10/2005

Titel: Information technology - Securitytechniques - Information securitymanagement systems Requirements

Ursprung: BS 7799 Teil 2

Inhalt: Allgemeine Aussagen über ein Information SecurityManagement System (ISMS)

Umfang des normativen Teils: ca. 30 Seiten(insges. 48 Seiten)

Scope: „Overall business risk“

Zertifizierung: durch akkreditierte Zertifizierungsunternehmenmöglich (aktuelle Liste ist auf derHomepage der TGA bzw. DGA)

Der „internationale“ Standard SIO/IEC 27002

Status: Erst-Veröffentlichung 2007

Titel: Information technology – Code of practicefor information security management

Ursprung: BS 7799-1:1999

Inhalt: Definition eines Rahmenwerks für dasIT-Sicherheitsmanagement

Umfang: 136 Seiten

Detailtiefe: Empfehlungen sind auf Management-Ebene und enthalten kaum konkrete technischeHinweise

Zertifizierung: Zertifizierung nach ISO/IEC 27002ist grundsätzlich nicht möglich

Der 1. Schritt: Festlegung des AnwendungsbereichsFestlegung des ISMS-Anwendungsbereich und dessen Umfang. Daraushervorgehend eine Dokumentation, aus der die Geschäftstätigkeit desUnternehmens, die Organisationsstruktur, die Wirtschaftsgüter, dieTechnologie usw. ersichtlich wird.

Der 2. Schritt: Inventarisieren der Werte (Assets)Aufbau oder Erweiterung eines Inventars unter Nutzung der vorhandenenDatensammlungen. Einbeziehen aller den ISMS-Anwendungsbereichbetreffenden Werte.

Der 3. Schritt: Analysieren und Behandeln von RisikenDefinition eines systematischen Ansatzes zur Risikoabschätzung, dessenVorgehensmodell der Geschäftstätigkeit des Unternehmens angepasst ist.Nennung von Regelungen und Zielen, die das ISMS enthält um die Risikenauf ein akzeptables Niveau zu senken, sowie Kriterien für die Akzeptanz vonRisiken festlegen.

Der 4. Schritt: Maßnahmen festlegen und umsetzenAuswahl der Control Objectives (Schutzziele) und der entsprechendenMaßnahmen, die implementiert werden sollen.

Der 5. Schritt: Aufbau des Statement of Applicability (SOA)Aufbau einer detaillierten Erläuterung, wie die Sicherheitsziele desAnwendungsbereichs erzielt wurden.

23

NOTWENDIGE UMSETZUNGSSCHRITTE

5 0 0 0 0 0

4 0 0 0 0 0

3 0 0 0 0 0

2 0 0 0 0 0

1 0 0 0 0 0

1 2 3 4 5

Scha

dens

höhe

Scope

Werte

Risiko

Maßnahmen

Anwendbarkeit

Dok

umen

tatio

n

KVP: Kontinuierlicher Verbesserungsprozess

KVP

24

SCHRITT 1: FESTLEGUNG DES ANWENDUNGSBEREICHS

Definition des Anwendungsbereichs und derGrenzen des ISMS unter Berücksichtigung

der Eigenschaften des Geschäfts,der Organisation,des Standortes,der Werte (Assets) undder Technologie,einschließlich der Details über undRechtfertigung von jeglichenAusschlüssen aus dem Gültigkeitsbereich

Prozessorientierter Aufbau desAnwendungsbereichs

25

SCHRITT 2: INVENTARISIEREN DER WERTE

Die Inventarisierung und Bewertung aller imAnwendungsbereichs des ISMSeingesetzten Werte (Aktivposten,Vermögen), unabhängig

von der Dauer des Einsatzes,von der Höhe der Anschaffungskostenvom Einsatzbereich

Die Verknüpfung der primären mit dennotwendigen unterstützenden Assets

StandorteSoftware Organisation

Unterstützende Werte

PersonalHardware Netzwerk

Klassifikation der Werte

Betriebswirt-schaftlicheEinschätzung

• Vertraulichkeit• Verfügbarkeit• Integrität

Primäre Werte

InformationenGeschäftsprozesse

Vererbung Vererbung

26

SCHRITT 3: ANALYSIEREN UND BEHANDELN VON RISIKEN

Erfassung konkreter IT-Risiken auf Basistatsächlicher SchutzanforderungenKombination von „Bauchgefühl“ undlangjähriger ErfahrungBestimmung eines Risikoakzeptanz-NiveausKontrolle und Überwachung derausgewählten MaßnahmenImplementierung von Prozessen zurVerbesserung der Transparenz undVerantwortungsübernahmeIntegration von detaillierten IT-Risiken

27

SCHRITT 4: MASSNAHMEN FESTLEGEN UND UMSETZEN

Auswahl oder Definition von Maßnahmen, umidentifizierte und bewertete Risiken auf einakzeptables (Risiko-) Niveau senken zu könnenUmsetzung von Maßnahmen nach Kosten-Nutzen-AnalyseGenerische Vorschläge aus den ISO Standards27001 und 27002Erweiterung durch ausgearbeitete technischeMaßnahmen der IT-Grund-schutz-Kataloge(Bundesamt für Sicherheit in derInformationstechnik)Berücksichtigung des „Standard of GoodPractice for Information Security“ des ISF(Information Security Forum)

Nebeneffekte:Kontinuierlicher Verbesserungsprozessdurch regelmäßige Überprüfung.Effizienzsteigerung.Grundlage zur Kennzahlenerhebung.

DOACT

Check

Plan

28

SCHRITT 5: STATEMENT OF APPLICABILITY (SOA)

Erläuterung, auf welche Weise dieSicherheitsanforderungen erfüllt wurden.Es wird dazu eine Darstellung vorgenommen,durch welche Maßnahmen die durch denStandard geforderten Controls umgesetztwerden

29

DOKUMENTATIONSANFORDERUNGEN IM ISMS

Aus dem Standard abgeleitete notwendigeDokumentation (zwingend notwendig alsVoraussetzung zur Zertifizierung)Ausarbeitung und Festlegung derAufzeichnungen und auch Hilfsmittel.Definition von Dokumenten- undAufzeichnungslenkung

…

Vorgehensweise:Die individuelle Ausprägung lässt dem implementierenden Unternehmen einenbreiten Gestaltungsspielraum.

Risikoanalyseansatz:Geforderter Risikoanalyseansatz auf Basis der tatsächlichenSicherheitsanforderungen der Schutzobjekte.

Definition der Anforderungen und Maßnahmen:Der normative Teil des Standards hat diverse Anforderungen, die aber wederim Annex A noch in der ISO 27002 konkretisiert werden.Umsetzung nach Anforderungsmanagement - keine Maßnahmen!Keine Maßnahme vor Risikoanalyse!

Zertifizierungsaudit:Vorgehen beim Audit abhängig von der Zertifizierungs-gesellschaftunterschiedlich und nicht öffentlich

© 2010, HiSolutions AG | ISO 27001 mit oder ohne IT-Grundschutz? 30

ISO 27001 - Zwischenfazit

WARUM ZERTIFIZIERUNG?

Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern undextern)

Für Behörden gegenüber Bürgern oder UnternehmenFür Unternehmen gegenüber Kunden, Geschäftspartner, Geldgeber(z. B. Basel II), Aufsichtsorganen

Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohenSicherheitsanforderungen

Gesetzliche oder vertragliche AnforderungenIdentifikation von Mitarbeitern und Unternehmensleitung mit SicherheitszielenOptimierung der internen Prozesse:

geordneter effektiver IT-Betriebmittelfristige Kosteneinsparungen

Vermeidung von Imageschäden

32

WARUM ISO 27001-ZERTIFIZIERUNG?

Vorteile der ZertifizierungZertifizierung dient als vertrauenswürdiger Nachweis, dass Maßnahmen nachden IT-Grundschutzkatalogen realisiert wurdenZusicherung eines Mindest-Grades von IT-Sicherheit für Geschäftspartner,Kunden und sonstige AnspruchsgruppenKeine untragbaren Risiken bei zertifizierten IT-Dienstleistern, die anbestehende Netzstrukturen angekoppelt werdenVerdeutlichung der Bemühungen um eine ausreichende IT-Sicherheit durchUnternehmen und Behörden gegenüber Kunden und Bürgern

Akkreditierte Prüfer können beim BSI online eingesehen werdenhttps://www.bsi.bund.de/cln_134/ContentBSI/grundschutz/zert/veroeffentl/ISO27001Auditoren/auditoren27001.html

33

IT-GRUNDSCHUTZ / ISO 27001 ZERTIFIZIERUNG

„ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz ist sowohl fürkleine Unternehmen als auch für große Rechenzentren geeignet!“

Umsetzung IT-Grundschutz: 12 - 36 MonateAufwand des Auditors: ca. 15 - 35 Tage, je nach Größe und Komplexität desUntersuchungsgegenstandes

ErfolgsfaktorenUnterstützung durch die GeschäftsleitungVerständnis, Kooperationsbereitschaft und aktiveUnterstützung durch alle Verantwortlichenkonsequente GruppenbildungTool-Unterstützung

34

ERFAHRUNGEN MIT DER ZERTIFIZIERUNG

Eine BSI-Zertifizierungumfasst sowohl eine Prüfung des ISMS als auch der konkreten IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutzbeinhaltet immer eine offizielle ISO-Zertifizierung nach ISO 27001ist aber aufgrund der zusätzlich geprüften technischen Aspekte wesentlichaussagekräftiger als eine reine ISO-Zertifizierung

Vom BSI lizenzierte Auditoren…erfüllen alle Anforderungen, die die ISO anAuditoren für ein ISMS stellt (EA-7/03)

35

ISO 27001 ZERTIFIKAT AUF DER BASIS VON IT-GRUNDSCHUTZ

36

WAS IST SAP SICHERHEIT

37

38

SAP wird oft außerhalb der Standard-Administrationsprozesse betriebenSystemeinführung erfolgt oft unter großem ProjektdruckDas Vorhandensein von Standardkomponenten wird „vergessen“Abhängigkeit von Verfügbarkeit und Integrität der gespeicherten Daten steigtzunehmendVertraulichkeitsgrad der gespeicherten Daten steigtVerdichtungsgrad der Daten steigt z.B. durch BWArchitekturfehler der ersten Stunde werden nicht behoben„non-SAP“-Schnittstellen erhöhen Angriffswahrscheinlichkeitschlichte Masse: 50.000 Transaktionscodes, 20.000 Tabellen!Und natürlich sind „Wir“ im Internet!

39

SAP R/3 - das vergessene Risiko

40

SAP R/3 Sicherheitsservices

41

Application-Level Gateway für SAP-Dienste

SAProuter

Telnet, SQLNet

DIAG

DIAG

Als alleiniges Sicherungssystem aber nicht ausreichend!

Nach Installation die Fähigkeiten der Standard-Benutzer überprüfenSAP*, DDIC, SAPCPIC, EARLYWATCH

Benutzer-Informationssystem (im AIS) verwendenzur Überprüfung der existierenden Benutzerund ihrer Berechtigungen

Regeln für die Standard-Anmeldung definierenPasswörterFehlversuche

42

Userverwaltung und Anmeldung

Das Security-Audit-Log ermöglicht einen langfristigen Zugriff auf Daten.

Im Security-Audit-Log können folgende Informationen aufgezeichnet werden:erfolgreiche und erfolglose Anmeldeversuche im Dialogerfolgreiche und erfolglose Anmeldeversuche per RFCRFC-Aufrufe von FunktionsbausteinenÄnderungen an Benutzerstammsätzenerfolgreiche und erfolglose TransaktionsstartsÄnderungen an der Audit-Konfiguration

Einschalten via rsau/enable 1 (mit SM19 Auditprofil anlegen und aktivieren)

43

Prüfung und Protokollierung

44

Profilparameter für BenutzerkennungenLogin/fails_to_sessions_end Anzahl fehlerhafter Anmeldeversuche

Login/fails_to_user_lock Anzahl fehlerhafter Anmeldeversuche nach denen der User für einen Tag gesperrt wird

Login/failed_user_auto_unlock Sperrung der standardmäßig am Folgetag eintretenden automatischen Freigabe einer durch fehlerhafte Anmeldung gesperrten

Benutzerkennung..

Login/password_expiration_time Gültigkeitsdauer von Kennwörtern in Tagen an.

Login/min_password_lng Mindestlänge des Passworts

Login/no_automatic_user_sapstar Bei Werten größer Null wird eine erneute Anmeldung unter der Kennung SAP* nach versehentlicher Löschung des

Benutzerstammsatzes unmöglich.

Login/disable_multi_gui_login verhindert mehrfache Dialoganmeldungen des gleichen Users im gleichen Mandanten

Login/min_password_digits Mindestanzahl von Ziffern im Passwort, ab Release 6.10

Login/min_password_letters Mindestanzahl von Buchstaben im Passwort , ab Release 6.10

Login/min_password_specials Mindestanzahl von Sonderzeichen im Passwort , ab Release 6.10

[...]

Mindestlänge 3 Zeichenmaximale Länge 8 Zeichenkeine Unterscheidung zwischen Groß- und Kleinbuchstabendas erste Zeichen darf nicht ! oder ? seindie ersten drei Zeichen des Passwortes dürfen nicht identisch seindas Passwort darf nicht PASS oder SAP* lautendas Passwort darf nicht mit den letzten fünf Passwörtern des Benutzers identisch

sein

45

SAP Passwortkonventionen

Nach der Installation verfügt das System über 3 Mandanten:Mandant 000 für SAP-Customizing-StandardeinstellungenMandant 001 für kundeneigene StandardeinstellungenMandant 066 für Earlywatch

Jeder Mandant enthält 2 vordefinierte Benutzer:Benutzer SAP*

DER PoweruserAnfangskennwort 06071992

Benutzer DDICWird für das Transport- und Korrektursystem verwendetAnfangskennwort 19920706

46

Beispiele für kritische R/3-Benutzer

Erstellen eines eigenen Superuser-Accounts mit dem Profil SAP_ALL

Anlegen eines Benutzerstammsatzes SAP* (existiert noch nicht, da hartkodierterAccount)

Mitglied der Gruppe SUPERDadurch Schutz dieses Stammsatzes vor Modifikation

Löschen aller Profile für diesen AccountAccount kann keinen Schaden mehr anrichten

Passwort für SAP* ändernBenutzer SAP* nie löschenZugriff auf Benutzerstammsatz und Anmeldeversuche protokollieren

47

Empfehlungen für den User SAP*

Benutzerstammsatz für DDIC:

Alle Profile beibehaltenDDIC wird für Transport- und Korrekturwesen benötigt!

Mitglied der Gruppe SUPERDadurch Schutz dieses Stammsatzes vor Modifikation

regelmäßige Kennwortänderung

48

Empfehlungen für den User DDIC

49

Auswahl schützenswerter Profile:

P_BAS_ALLS_A.SYSTEMS_A.ADMINS_A.CUSTOMIZS_A.DEVELOPS_A.SHOWS_A.USER

S_SCD0_ALL

S_SCRP_ALL

S_SPOOL_ALL

S_SYST_ALL

S_TABU_ALL

S_TSKH_ALL

S_USER_ALL

SAP_ALL

SAP_ANWEND

SAP_NEW

S_WF_ALL

Z_ANWEND

S_ABAP_ALL

S_ADMI_ALL

S_BDC_ALL

S_BTCH_ALL

S_DDIC_ALL

S_DDIC_SU

S_NUMBER

Wird heute auf Grund der Konzentration auf das Workshop Thema nichtbehandelt!

50

Sicherheit von RFC, Betriebssystem und Datenbank

Werkzeug für Systemadministratoren und Revisoren

Übersicht über alle sicherheitsrelevanten Informationen

Sicherheitsüberprüfungen

Identifikation und Beseitigung von Sicherheitslücken

51

Audit Information System

Folgende Reports dienen der Analyse (teilweise im AIS enthalten)RSUSR003 Standardkennwörtern der Benutzer SAP* und DDICRSUSR005 Benutzer mit kritischen Berechtigungen (SAP-Sicht)RSUSR006 durch Passwortfehleingabe gesperrte Benutzer (autounlock!)RSUSR007 Benutzer mit unvollständigen AdressdatenRSUSR008 Benutzer mit kritischen Kombinationen aus Berechtigung und

TransaktionRSUSR009 Benutzer mit kritischen Berechtigungen (selbst definierbar)RSUSR100 Änderungen an den BenutzersicherheitseinstellungenRSUSR101 Änderungen an den ProfilenRSUSR102 Änderungen an den Berechtigungen

52

Prüfreports

53

Eine Auswahl schützenswerter Transaktionen:F040 ReorganisationF041 Archivierung BankstammdatenF042 Archivierung SachkontenF043 Archivierung DebitorenF044 Archivierung KreditorenF045 Archivierung BelegeF046 Archivierung VerkehrszahlenGCE2 ProfileGCE3 ObjektklassenKA10 Kostenstellen archivieren (gesamt)KA12 Kostenstellen archivieren (Plan)KA16 Kostenstellen archivieren(Einzelpositionen)KA18 Archivverwaltung: Umlage, Vert., …OY20 Berechtigungen Customizing

OY21 Benutzerprofile Customizing

OY22 Unterverwalter anlegen Customizing

OY27 Superuser anlegen Customizing

OY28 SAP* deaktivieren

OY29 Dokumentationsentwickler

OY30 Dokumentationsentwickler

SARA Archivadministration

SCC5 Mandanten löschen

SE06 Einrichten Transport Organizer

SE11 R/3-Data-Dictionary

SE16 Tabellenanzeige

SE38 ABAP-Editor

SME30 Pflege von USR40

SM49 Ausführen externer OS-Kommandos

SU12 Massenänderungen Benutzerstamm

[...]

54

SAP IM IT-GRUNDSCHUTZ


IT-Grundschutz - Baustein SAP: Gefährdungen

Höhere Gewalt- G 1.1 PersonalausfallOrganisatorische Mängel- G 2.7 Unerlaubte Ausübung von Rechten- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen- G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen- G 2.108 Fehlende oder unzureichende Planung des SAP EinsatzesMenschliche Fehlhandlungen- G 3.8 Fehlerhafte Nutzung von IT-Systemen- G 3.9 Fehlerhafte Administration von IT-Systemen- G 3.16 Fehlerhafte Administration von Zugangs- und ZugriffsrechtenVorsätzliche Handlungen- G 5.2 Manipulation an Informationen oder Software- G 5.7 Abhören von Leitungen- G 5.9 Unberechtigte IT-Nutzung- G 5.21 Trojanische Pferde- G 5.23 Schadprogramme- G 5.128 Unberechtigter Zugriff auf Daten durch Einbringen von Code in ein SAP System

IT-Grundschutz - Baustein SAP: Maßnahmen (1/3)

Planung und Konzeption- M 2.341 (A) Planung des SAP Einsatzes- M 2.342 (A) Planung von SAP Berechtigungen- M 2.343 (C) Absicherung eines SAP Systems im Portal-Szenario- M 2.344 (C) Sicherer Betrieb von SAP Systemen im Internet- M 2.345 (C) Outsourcing eines SAP Systems- M 2.346 (A) Nutzung der SAP Dokumentation- M 3.52 (A) Schulung zu SAP Systemen- M 3.53 (Z) Einführung in SAP SystemeUmsetzung- M 4.256 (A) Sichere Installation von SAP Systemen- M 4.257 (A) Absicherung des SAP Installationsverzeichnisses auf Betriebssystemebene- M 4.258 (A) Sichere Konfiguration des SAP ABAP-Stacks- M 4.259 (A) Sicherer Einsatz der ABAP-Stack Benutzerverwaltung- M 4.260 (A) Berechtigungsverwaltung für SAP Systeme- M 4.261 (B) Sicherer Umgang mit kritischen SAP Berechtigungen


Umsetzung (Fortsetzung)- M 4.262 (C) Konfiguration zusätzlicher SAP Berechtigungsprüfungen- M 4.263 (A) Absicherung von SAP Destinationen- M 4.264 (A) Einschränkung von direkten Tabellenveränderungen in SAP Systemen- M 4.265 (B) Sichere Konfiguration der Batch-Verarbeitung im SAP System- M 4.266 (A) Sichere Konfiguration des SAP Java-Stacks- M 4.267 (A) Sicherer Einsatz der SAP Java-Stack Benutzerverwaltung- M 4.268 (A) Sichere Konfiguration der SAP Java-Stack Berechtigungen- M 4.269 (A) Sichere Konfiguration der SAP System Datenbank- M 5.125 (B) Absicherung der Kommunikation von und zu SAP Systemen- M 5.126 (A) Absicherung der SAP RFC-Schnittstelle- M 5.127 (B) Absicherung des SAP Internet Connection Framework (ICF)- M 5.128 (B) Absicherung der SAP ALE (IDoc/BAPI) Schnittstelle- M 5.129 (C) Sichere Konfiguration der HTTP-basierten Dienste von SAP Systemen


Betrieb- M 2.347 (B) Regelmäßige Sicherheitsprüfungen für SAP Systeme- M 2.348 (C) Sicherheit beim Customizing von SAP Systemen- M 2.349 (C) Sicherheit bei der Software-Entwicklung für SAP Systeme- M 4.270 (A) SAP Protokollierung- M 4.271 (C) Virenschutz für SAP Systeme- M 4.272 (A) Sichere Nutzung des SAP Transportsystems- M 4.273 (A) Sichere Nutzung der SAP Java-Stack Software-VerteilungAussonderung- M 2.350 (A) Aussonderung von SAP SystemenNotfallvorsorge- M 6.97 (A) Notfallvorsorge für SAP Systeme

Ein Praxisbeispiel…

BASISSICHERHEITSCHECK

60

ZERTIFIKAT VS. REALITÄT


Nach Prüfschema der jeweiligen Zertifizierungsstelle.

In der Regel zuerst ein Dokumentenaudit.

Danach Erstellung eines Prüfplanes (Stichproben) vor Ort.

Besuch der Orte und Prüfung.

Erstellung von Mängelberichten

Behebung von Mängeln & evtl. erneute vor Ort Prüfung

Erstellung des Berichtes für die Zertifizierungsstellen

Ggf. Prüfung des Berichtes durch die Zertifizierungsstellen (keine Pflicht!)

Erteilung des Zertifikates

Wie läuft ein Zertifizierungsaudit ab?

Das Audit Teil 1 Dokumentenprüfung:Sind die Sicherheitsrichtlinien vollständig, aktuelle und geeignet?Schutzbedarf des Geschäftes korrekt erhoben und an die Infrastruktur„vererbt“?Plausibilitätsprüfung: Inventar des IS-Verbundes im Netzplan? AngewendeteBausteine geeignet?Zustand der Sicherheit im IS-Verbund nahe an 100% der Forderungen der IT-Grundschutzkataloge?

Ergebnisse der Audits und Basissicherheitschecks nachvollziehbar?Zusätzliche Maßnahmen bei höheren Schutzerfordernissen erkannt undumgesetzt?Funktion der Prozesse besonders hinsichtlich Notfall undSicherheitsvorfall nachvollziehbar?


Das Audit Teil 2 Inspektion vor Ort:

Hat der Auditor den Eindruck gewonnen, dass das Informationssicherheits-Managementsystem des IT-Verbundes wirksam und effizient ist und dieZiele der Leitlinien erreicht werden?

Besteht Übereinstimmung des Netzplanes mit der Realität und umgekehrt?

Sind die umgesetzten Maßnahmen und die zusätzlichen Maßnahmen fürhöheren Schutz wirklich umgesetzt? (Prüfung anhand von 10Stichproben).

Sind die entbehrlichen Maßnahmen stichhaltig begründet?

Wurden Risiken nachvollziehbar vermieden?


Was heißt umgesetzt?Die Überprüfung der Maßnahmen umfasst nicht nur die Kontrollfragen,sondern die Umsetzung der Maßnahme ihrem Sinn und Zweck nach.

Aufgrund der Vielfalt der unterschiedlichen Einsatzszenarien undRealisierungsmöglichkeiten ist es nicht immer sinnvoll, die Maßnahmen derIT-Grundschutz-Kataloge wörtlich und ohne Anpassung an dasEinsatzumfeld umzusetzen.

Der Auditor hat zu prüfen und zu dokumentieren, ob die Umsetzungsinngemäß erfolgt ist.

Bei zusätzlichen Maßnahmen für höheren Schutz hat der Auditor zu prüfenund zu dokumentieren, ob die Umsetzung wirksam ist .d.h. den zusätzlichidentifizierten Gefährdungen tatsächlich ausreichend entgegen wirkt.

Prüfung der Umsetzung der Sicherheitsmaßnahmen

1. Problem: Unzureichende Standards bei denZertifizierungsstellen für die Prüfung

Bei uns bekommen Sie Ihr Zertifikat in 20 Tagen!

Der Umfang ist ja noch nicht bekannt!

Die ISO 27001 Umsetzung ist ja viel einfacher…

Der Aufwand für die ernsthafte ISO 27001 Umsetzung ist genausoumfangreich wie die Umsetzung nach BSI IT-Grundschutz!

Zertifizierungsstellen haben nur grobe Anforderungen an die Prüfschema der„Oberzertifizierungsbehörde“ TGA

Die ISO Anforderungen sind auch bei der Personenzertifizierungunspezifisch.

Deshalb besitzen die Auditoren nicht immer genügend Erfahrungen!

1. Problem: Unzureichende Standards bei denZertifizierungsstellen

1. Problem: Unzureichende Standards bei denZertifizierungsstellen

2. Problem: Menge vs. Qualität / Tiefe der Prüfung

Beispiel T-Systems:

Scope: Produkt ICT Lösungen

Ist SAP da überhaupt mitdrin?

Alle Prozesse bzw.Teilprozesse

Verteilt über verschiedeneStandorte in Deutschland undweltweit

2. Problem: Menge vs. Qualität / Tiefe der Prüfung

Im Anhang zum Zertifikat folgen 4Seiten mit Standortadressen!

Darunter Brasilien, Russland, Mexico,Slowakei

An jedem Standort Gebäude, Räume,Mitarbeiter, Anwendungen, IT-Systeme, Netze, Speicher,Arbeitsplätze etc.

3. Problem: Aussage zur IT-Sicherheit evtl. nichtausreichend

Interessant wäre ja noch der ordnungsgemäße Ablauf von Prozessenrings um SAP.

Die Genehmigung bei der Verwendung der Daten in SAP.

„Excel vs. Word Problem“

Eine Prüfung aus anderem Blickwinkel und mit mehr Intensität lieferthier die Revision!

3. Problem: Aussage zur IT-Sicherheit evtl. nichtausreichend

Spannungsfeld Datenschutz vs. Informationssicherheit

72

FAZIT ZU ZERTIFIKATEN


• Sicherheit grundsätzlich vorhanden

• Abgrenzung des Zertifikates hinterfragen

• Zusätzliche Unterlagen anfordern

• Prüffokus des Auditors abfragen

• Berichte der internen Revision

• Bericht des Datenschutzbeauftragten


RONNY FRANKENSTEINBEDANKTSICH FÜR IHREAUFMERKSAMKEIT

HiSolutions AG

Bouchéstraße 1212435 [email protected]+49 30 533 289 0

73

NORMEN UND ZERTIFIKATE ALS NACHWEIS ... - SAP-Fachtagung …

Documents