mindsquare.de durchsuchen

SAP RFC Sicherheit

Sie brauchen einen SAP RFC Sicherheits-Berater und/oder möchten, dass wir Ihnen unser Angebot in diesem Umfeld vorstellen?

Jetzt kostenloses Beratungsgespräch vereinbaren!
Tobias Harmes
Tobias Harmes
31. August 2017

Remote-Function-Call-Schnittstellen (RFC) für die Kommunikation zwischen SAP-Systemen und einem SAP- und Nicht-SAP-System sind ein unterschätztes Sicherheitsrisiko. Abhilfe schafft unter anderem die restriktive Vergabe von RFC-Berechtigungen.

Inhaltsverzeichnis

Funktionsweise von RFCs

Der Remote Function Call (RFC), der entfernte Funktionsaufruf, ist die SAP-Standardschnittstelle für die systemübergreifende Kommunikation in einer SAP-Landschaft aber auch zwischen SAP- und Nicht-SAP-Lösungen. Die remotefähigen Funktionsbausteine bilden eine wichtige Grundlage, um die IT-Prozesse aus den einzelnen SAP- aber auch Nicht-SAP-Anwendungen in einer IT-Landschaft zu integrieren und bidirektional zu verknüpfen. Das RFC-Schnittstellenprotokoll bildet so die Brücke, um ABAP-Funktionsbausteine innerhalb eines SAP-Systems wie auch in einem entfernten SAP- oder Nicht-SAP-System aufzurufen und auszuführen.

Sicherheitsrisiken

Die einzelnen SAP- und Nicht-SAP-Lösungen sind oft über Hunderte, manchmal sogar Tausende von RFC-Schnittstellen verbunden, was zu hoher Komplexität führt und vor allem ein potenzielles Sicherheitsrisiko darstellt. Via RFC können praktisch von jedem Rechner aus, der eine Netzwerkverbindung zu einem SAP System hat, remotefähige ABAP-Funktionsbausteine aufgerufen werden. Wird die Sicherheit vernachlässigt, ist die Gefahr eines Missbrauchs und damit der Verlust von Vertraulichkeit und Integrität groß. Das gilt besonders im Zuge der digitalen Transformation der Geschäftswelt, etwa wenn im Sinne von Industrie 4.0 Industrieanlagen per SAP RFC gesteuert, bestückt und kontrolliert werden.

Die Erfahrung zeigt, dass RFC-Schnittstellen häufig unzureichend technisch abgesichert sind und wirksame Zugriffsbeschränkungen fehlen. Das zeigen folgende Beispiele:

SAP Workflow Schulung
SAP Workflow Schulung

Werden Sie in 3 Tagen zum Profi für SAP Workflows. In der SAP Workflow Schulung lernen Sie alles, was Sie wissen müssen, um in Ihrem Unternehmen Workflows effektiv zu implementieren und zu warten. Außerdem erhalten Sie Tipps zur Performance-Optimierung und Best-Practice-Insights.

Schulung ansehen
  • Sind Dialogbenutzer und Kennwörter zu RFC-Verbindungen hinterlegt, kann ohne Anmeldung eine Verbindung aufgebaut und zu nicht autorisierten Zwecken verwendet werden.
  • Es gibt zu viele SAP RFC Benutzer, die eine Vollberechtigung (SAP_ALL oder S_RFC) oder umfangreiche Systemrechte (S_USER_GRP, S_AMI_FCD) und somit auch einen ungehinderten Zugriff auf kritische Funktionsbausteine haben.
  • Eine Schwachstelle im Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN kann missbraucht werden, um ohne Berechtigungsprüfung Programme und Daten zu manipulieren und Änderungsbelege zu löschen.
  • Ist eine Vertrauensbeziehung zwischen SAP-Systemen definiert (“Trusted System”), kann der RFC-Zugriff und Aufruf von Funktionsbausteinen ohne Kennwortanmeldung erfolgen.
  • Das SAP-RFC-Gateway und die Firewall-Konfiguration weisen manchmal ebenfalls Lücken auf.
Unser E-Book zu den RFC-Schnittstellen

E-Book SAP RFC Sicherheit

RFC-Schnittstellen sind ein unterschätztes Sicherheitsrisiko – erfahren Sie, wie Sie mit der Gefahr optimal umgehen.

Jetzt anfordern

Absicherung durch die SAP RFC Sicherheit

Durch verschiedene Maßnahmen lassen sich RFC-Verbindungen so absichern, dass nicht autorisierte Zugriffe auf kritische Kommunikationsprozesse zwischen SAP- und (Nicht)-SAP-Systeme nahezu ausgeschlossen sind.

  • Für jede RFC-Verbindung müssen der Eigentümer und das Ziel bekannt sein; nicht mehr benötigte RFC-Verbindungen sind zu löschen.
  • Vor allem für technische Nutzer dürfen RFC-Berechtigungen nur restriktiv vergeben werden und die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration ist strikt einzuhalten.
  • RFC-Verbindungen mit hinterlegten Benutzerdaten sollten nur zwischen Systemen mit dem gleichen Sicherheitsstand oder von einem System mit einem höheren Sicherheitsstand in eines mit einem niedrigeren Sicherheitsstand hergestellt werden.
  • Benutzerinformationen dürfen nur für Systembenutzer (nicht für Dialogbenutzer) abgelegt werden und es muss darauf geachtet werden, dass sie nur sehr eingeschränkte Rechte in den Zielsystemen haben.
  • Der Zugriff auf die RFCDES-Tabelle, in der Informationen zu RFC-Destinationen aber auch Systembenutzerkennungen und Kennwörter hinterlegt sind, ist auf ein Mindestmaß zu beschränken.
  • Erfolgt der RFC-Zugriff über eine “Trusted System”-Beziehung, muss im Berechtigungsobjekt S_RFCACL exakt festgelegt sein, welcher Benutzer im Zielsystem Funktionsaufrufe ohne Passwortangabe durchführen darf.
  • Um die RFC-Sicherheit weiter zu erhöhen, empfiehlt sich die Prüfung und Absicherung von SAP Gateways und die Implementierung der Komponente Unified Connectivity (UCON), die die Anzahl RFC-Funktionsbausteine reduziert, die sich extern aufrufen lassen.
  • Je nach Bedarf empfiehlt sich der Einsatz von Secure Network Communications” (SNC) als zusätzlicher Sicherheitsschicht zum Schutz der Datenkommunikation per RFC-Protokoll.

Websession: SAP RFC Sicherheit

Sollten Sie Fragen zu uns und unserer Arbeit oder konkret zu Umstellungsprojekten haben, dann vereinbaren Sie eine kostenlose Websession mit uns.

Websession anfragen

Fazit & Best Practices zu SAP RFC Sicherheit

Es gibt zahlreiche Methoden und Technologien, durch deren Anwendung sich die in den SAP-RFC-Verbindungen vorhandenen Schwachstellen und Sicherheitslücken gezielt beheben lassen. Dadurch werden die Risiken bei Funktionsaufrufen zwischen SAP-Systemen deutlich reduziert

Sie haben Fragen zur SAP-RFC-Sicherheit?

Sie suchen kompetente Unterstützung bei der Absicherung Ihrer RFC-Verbindungen und wollen dabei von Best Practices erfahrener Berater profitieren?

mindsquare ist ein Technologie-Beratungsunternehmen, das sich auf die Beratung und Entwicklung im SAP- und Salesforce-Umfeld spezialisiert hat. Unsere SAP Berater beschäftigen sich seit vielen Jahren intensiv mit Technologien und Methoden rund um die SAP-RFC-Sicherheit und haben bereits zahlreiche Projekte in diesem Bereich mit Erfolg umgesetzt.

Kostenloses E-Book
Unser E-Book zu den RFC-Schnittstellen
Download
Kostenloses Whitepaper
Unser Whitepaper zum Thema Fuba RFC_READ_TABLE
Download

Verwandte Know-Hows

SAP Berechtigungskonzept
SAP Berechtigungskonzept
Zugriffsmöglichkeiten und Berechtigungen werden im SAP Berechtigungskonzept festgelegt und kontrolliert. Wie sicher Geschäftsdaten in SAP sind, hängt maßgeblich an der Vergabe von Berechtigungen und Zugriffsmöglichkeiten der Benutzer eines Unternehmens. 
ansehen
SAP Change Request Management
SAP Change Request Management
Das SAP Change Request Management umfasst und steuert alle Schritte, die für die Umsetzung von Verbesserungswünschen und Behebung von Programmfehlern im SAP-System erforderlich sind.
ansehen
SAP GRC
SAP GRC
SAP GRC ist ein Toolset der SAP, mit denen Unternehmen die steigenden technologischen und regulatorischen Anforderungen aus Governance, Risikomanagement und Compliance (GRC) erfüllen können.
ansehen

Passende Angebote zum Thema

SAP_ALL aus RFC Verbindungen entfernen
Sie wollen die Berechtigungen Ihrer SAP-Schnittstellenbenutzer einschränken? Wir optimieren für Sie die Berechtigungen von technischen Benutzern und sichern Ihre Schnittstellen ab – ohne Ausfall.
ansehen
xams
RFC Scoping Workshop
Der RFC Scoping Workshop ist Voraussetzung für eine RFC Schnittstellenbereinigung. In unserem Workshop lernen Sie alles notwendige über Ihre RFC Systemlandschaft & die Optimierungsmöglichkeiten & erhalten sowohl fachliche als auch […]
ansehen
Basis und Security Support on Demand
SAP Basis und Security Support on Demand
Mit SAP Basis und Security Support on Demand können Sie Aufgaben aus dem Bereich SAP Basis und SAP Security in Form von Tickets zum Festpreis durch unsere Support Spezialisten erledigen […]
ansehen

Weitere Themen zu SAP RFC Sicherheit

© copyright 2024 mindsquare AG
Kontakt aufnehmen
Ansprechpartner
Laura Feldkamp mindsquare Kundenservice
Laura Feldkamp Kundenservice
0521 560 645 – 0 info@mindsquare.de Ihre Anfrage
Suche