SAP RFC Sicherheit
Sie brauchen einen SAP RFC Sicherheits-Berater und/oder möchten, dass wir Ihnen unser Angebot in diesem Umfeld vorstellen?
Remote-Function-Call-Schnittstellen (RFC) für die Kommunikation zwischen SAP-Systemen und einem SAP- und Nicht-SAP-System sind ein unterschätztes Sicherheitsrisiko. Abhilfe schafft unter anderem die restriktive Vergabe von RFC-Berechtigungen.
Inhaltsverzeichnis
Funktionsweise von RFCs
Der Remote Function Call (RFC), der entfernte Funktionsaufruf, ist die SAP-Standardschnittstelle für die systemübergreifende Kommunikation in einer SAP-Landschaft aber auch zwischen SAP- und Nicht-SAP-Lösungen. Die remotefähigen Funktionsbausteine bilden eine wichtige Grundlage, um die IT-Prozesse aus den einzelnen SAP- aber auch Nicht-SAP-Anwendungen in einer IT-Landschaft zu integrieren und bidirektional zu verknüpfen. Das RFC-Schnittstellenprotokoll bildet so die Brücke, um ABAP-Funktionsbausteine innerhalb eines SAP-Systems wie auch in einem entfernten SAP- oder Nicht-SAP-System aufzurufen und auszuführen.
Sicherheitsrisiken
Die einzelnen SAP- und Nicht-SAP-Lösungen sind oft über Hunderte, manchmal sogar Tausende von RFC-Schnittstellen verbunden, was zu hoher Komplexität führt und vor allem ein potenzielles Sicherheitsrisiko darstellt. Via RFC können praktisch von jedem Rechner aus, der eine Netzwerkverbindung zu einem SAP System hat, remotefähige ABAP-Funktionsbausteine aufgerufen werden. Wird die Sicherheit vernachlässigt, ist die Gefahr eines Missbrauchs und damit der Verlust von Vertraulichkeit und Integrität groß. Das gilt besonders im Zuge der digitalen Transformation der Geschäftswelt, etwa wenn im Sinne von Industrie 4.0 Industrieanlagen per SAP RFC gesteuert, bestückt und kontrolliert werden.
Die Erfahrung zeigt, dass RFC-Schnittstellen häufig unzureichend technisch abgesichert sind und wirksame Zugriffsbeschränkungen fehlen. Das zeigen folgende Beispiele:
Werden Sie in 3 Tagen zum Profi für SAP Workflows. In der SAP Workflow Schulung lernen Sie alles, was Sie wissen müssen, um in Ihrem Unternehmen Workflows effektiv zu implementieren und zu warten. Außerdem erhalten Sie Tipps zur Performance-Optimierung und Best-Practice-Insights.
- Sind Dialogbenutzer und Kennwörter zu RFC-Verbindungen hinterlegt, kann ohne Anmeldung eine Verbindung aufgebaut und zu nicht autorisierten Zwecken verwendet werden.
- Es gibt zu viele SAP RFC Benutzer, die eine Vollberechtigung (SAP_ALL oder S_RFC) oder umfangreiche Systemrechte (S_USER_GRP, S_AMI_FCD) und somit auch einen ungehinderten Zugriff auf kritische Funktionsbausteine haben.
- Eine Schwachstelle im Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN kann missbraucht werden, um ohne Berechtigungsprüfung Programme und Daten zu manipulieren und Änderungsbelege zu löschen.
- Ist eine Vertrauensbeziehung zwischen SAP-Systemen definiert (“Trusted System”), kann der RFC-Zugriff und Aufruf von Funktionsbausteinen ohne Kennwortanmeldung erfolgen.
- Das SAP-RFC-Gateway und die Firewall-Konfiguration weisen manchmal ebenfalls Lücken auf.
Absicherung durch die SAP RFC Sicherheit
Durch verschiedene Maßnahmen lassen sich RFC-Verbindungen so absichern, dass nicht autorisierte Zugriffe auf kritische Kommunikationsprozesse zwischen SAP- und (Nicht)-SAP-Systeme nahezu ausgeschlossen sind.
- Für jede RFC-Verbindung müssen der Eigentümer und das Ziel bekannt sein; nicht mehr benötigte RFC-Verbindungen sind zu löschen.
- Vor allem für technische Nutzer dürfen RFC-Berechtigungen nur restriktiv vergeben werden und die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration ist strikt einzuhalten.
- RFC-Verbindungen mit hinterlegten Benutzerdaten sollten nur zwischen Systemen mit dem gleichen Sicherheitsstand oder von einem System mit einem höheren Sicherheitsstand in eines mit einem niedrigeren Sicherheitsstand hergestellt werden.
- Benutzerinformationen dürfen nur für Systembenutzer (nicht für Dialogbenutzer) abgelegt werden und es muss darauf geachtet werden, dass sie nur sehr eingeschränkte Rechte in den Zielsystemen haben.
- Der Zugriff auf die RFCDES-Tabelle, in der Informationen zu RFC-Destinationen aber auch Systembenutzerkennungen und Kennwörter hinterlegt sind, ist auf ein Mindestmaß zu beschränken.
- Erfolgt der RFC-Zugriff über eine “Trusted System”-Beziehung, muss im Berechtigungsobjekt S_RFCACL exakt festgelegt sein, welcher Benutzer im Zielsystem Funktionsaufrufe ohne Passwortangabe durchführen darf.
- Um die RFC-Sicherheit weiter zu erhöhen, empfiehlt sich die Prüfung und Absicherung von SAP Gateways und die Implementierung der Komponente Unified Connectivity (UCON), die die Anzahl RFC-Funktionsbausteine reduziert, die sich extern aufrufen lassen.
- Je nach Bedarf empfiehlt sich der Einsatz von Secure Network Communications” (SNC) als zusätzlicher Sicherheitsschicht zum Schutz der Datenkommunikation per RFC-Protokoll.
Websession: SAP RFC Sicherheit
Sollten Sie Fragen zu uns und unserer Arbeit oder konkret zu Umstellungsprojekten haben, dann vereinbaren Sie eine kostenlose Websession mit uns.
Fazit & Best Practices zu SAP RFC Sicherheit
Es gibt zahlreiche Methoden und Technologien, durch deren Anwendung sich die in den SAP-RFC-Verbindungen vorhandenen Schwachstellen und Sicherheitslücken gezielt beheben lassen. Dadurch werden die Risiken bei Funktionsaufrufen zwischen SAP-Systemen deutlich reduziert
Sie haben Fragen zur SAP-RFC-Sicherheit?
Sie suchen kompetente Unterstützung bei der Absicherung Ihrer RFC-Verbindungen und wollen dabei von Best Practices erfahrener Berater profitieren?
mindsquare ist ein Technologie-Beratungsunternehmen, das sich auf die Beratung und Entwicklung im SAP- und Salesforce-Umfeld spezialisiert hat. Unsere SAP Berater beschäftigen sich seit vielen Jahren intensiv mit Technologien und Methoden rund um die SAP-RFC-Sicherheit und haben bereits zahlreiche Projekte in diesem Bereich mit Erfolg umgesetzt.
Verwandte Know-Hows
Passende Angebote zum Thema
Weitere Themen zu SAP RFC Sicherheit
Beratung und Unterstützung für die Unternehmens-IT
- Individualentwicklung für SAP und Salesforce
- SAP S/4HANA-Strategieentwicklung, Einführung, Migration
- Mobile App Komplettlösungen – von der Idee über die Entwicklung und Einführung bis zum Betrieb, für SAP Fiori und Salesforce Lightning
- Automatisierung von Prozessen durch Schnittstellen, künstliche Intelligenz (KI) und Robotic Process Automation (RPA)
- Beratung, Entwicklung, Einführung
- Formular- und Outputmanagement, E-Rechnung & SAP DRC
- SAP Archivierung und SAP ILM
- SAP Basis & Security, Enterprise IT-Security & Datenschutz
- SAP BI & Analytics
- Low Code / No Code – Lösungen
Vollumfängliche Implementierungs- und Betriebsunterstützung für führende Softwareprodukte unserer Partnerunternehmen:
Besondere Prozessexzellenz im Bereich Personal / HR
- Knowhow in Personalprozessen und IT-Technologien verbinden
- HR-Berater, die IT-ler und Personaler in einer Person sind
- Beratung zu HR IT Landschafts- & Roadmap sowie HR Software Auswahl
- Beratung und Entwicklung im SAP HCM, SuccessFactors und der SAP Business Technology Platform
- HCM for S/4HANA (H4S4) Migration & Support
- Als Advisory Partner Plattform und Prozessberatung in Workday
- Mobile Development mit SAP Fiori, SAPUI5, HTML5 und JavaScript
- Marktführer im Bereich ESS/MSS
Vollumfängliche Implementierungs- und Betriebsunterstützung für führende Softwareprodukte unserer Partnerunternehmen:
Besondere Prozessexzellenz im Bereich Produktion & Logistik
- Optimierung und Digitalisierung von Produktions- und Logistikprozessen sowie Einkaufs- und Vertriebsprozessen
- Einführung mobiler Datenerfassung in Produktion, Lager und Instandhaltung
- Umfassendes Knowhow in den SAP-Modulen LO, MM, SD, WM, PM und CCS/CCM
- Modul-Beratung & Einführung, Entwicklung individueller (mobiler) Anwendungen
- Beratung und Entwicklung in der SAP Freischaltungsabwicklung (SAP WCM, eWCM)
- Optimierung sämtlicher Prozesse im Bereich der nachträglichen Vergütung (Bonus)
Vollumfängliche Implementierungs- und Betriebsunterstützung für führende Softwareprodukte unserer Partnerunternehmen:
Besondere Prozessexzellenz im Bereich Vertrieb & Service
- Vertriebs- & Service-Prozesse auf Basis von Salesforce
- Beratung, Einführung und Entwicklung für Salesforce-Lösungen: Sales Cloud, Service Cloud, Marketing Cloud inkl. Account Engagement (ehem. Pardot)
- Salesforce Customizing: Individuelle Lösungen in Salesforce, u.a. für Chemie-Branche
- Betriebsunterstützung und Service für Salesforce-Kunden
- Schnittstellen-Entwicklung, besondere Expertise SAP – Salesforce Integration
Vollumfängliche Implementierungs- und Betriebsunterstützung für führende Softwareprodukte unserer Partnerunternehmen:
msDevSupport
Service / Development Support
- fester, eingearbeiteter Ansprechpartner als Koordinator
- kontinuierliche Weiterentwicklung und Digitalisierung Ihres Unternehmens, z.B. Fehlerbehebung, Updates, neue Features implementieren
- kleinere Entwicklungen realisieren, die kein Projektmanagement erfordern
- günstige Abrechnungen pro h
- sehr einfache und schnelle Beauftragung auf Zuruf
- ständige Verfügbarkeit: (Teil-)Ressourcen geblockt für Sie
- kurze Reaktionszeiten 2 – 24h
- Wir halten Wissen vor und stellen Stellvertretung sicher
msSolution
Projekte
- Projektleitung und Steering inklusive Qualitätssicherung
- „Wir machen Ihr fachliches Problem zu unserem.“
- mindsquare steuert IT-Experten selbst
- Abrechnung pro Tag
- Längerer Angebots- und Beauftragungsprozess
- Lieferzeit 6 – 12 Wochen ab Auftragseingang
- Zum Auftragsende Transition zu einem Service & Support notwendig, um schnell helfen zu können
msPeople
IT-Experten auf Zeit
- Wir lösen Ihren personellen Engpass, z.B. liefern von IT-Experten für Ihr laufendes Projekt
- Breites Experten-Netzwerk für praktisch jedes Thema und Budget:
- interne festangestellte mindsquare Mitarbeiter:innen
- externe Experten aus unserem Netzwerk von 27.000 Freiberufler:innen aus Deutschland
- externe Experten im Nearshoring mit derzeit 37 Partnern
- Verbindliches Buchen der Experten in einem definierten Zeitraum an festen Tagen
- Ohne Projektleitung und Steering, Sie steuern die Experten
- Lieferzeit in der Regel 2 – 6 Wochen
- Nach Auftragsende KEIN Vorhalten von Experten und Knowhow
