SAP RFC Sicherheit

Remote-Function-Call-Schnittstellen (RFC) für die Kommunikation zwischen SAP-Systemen und einem SAP- und Nicht-SAP-System sind ein unterschätztes Sicherheitsrisiko. Abhilfe schafft unter anderem die restriktive Vergabe von RFC-Berechtigungen.

Funktionsweise von RFCs

Der Remote Function Call (RFC), der entfernte Funktionsaufruf, ist die SAP-Standardschnittstelle für die systemübergreifende Kommunikation in einer SAP-Landschaft aber auch zwischen SAP- und Nicht-SAP-Lösungen. Die remotefähigen Funktionsbausteine bilden eine wichtige Grundlage, um die IT-Prozesse aus den einzelnen SAP- aber auch Nicht-SAP-Anwendungen in einer IT-Landschaft zu integrieren und bidirektional zu verknüpfen. Das RFC-Schnittstellenprotokoll bildet so die Brücke, um ABAP-Funktionsbausteine innerhalb eines SAP-Systems wie auch in einem entfernten SAP- oder Nicht-SAP-System aufzurufen und auszuführen.

Sicherheitsrisiken

Die einzelnen SAP- und Nicht-SAP-Lösungen sind oft über Hunderte, manchmal sogar Tausende von RFC-Schnittstellen verbunden, was zu hoher Komplexität führt und vor allem ein potenzielles Sicherheitsrisiko darstellt. Via RFC können praktisch von jedem Rechner aus, der eine Netzwerkverbindung zu einem SAP System hat, remotefähige ABAP-Funktionsbausteine aufgerufen werden. Wird die Sicherheit vernachlässigt, ist die Gefahr eines Missbrauchs und damit der Verlust von Vertraulichkeit und Integrität groß. Das gilt besonders im Zuge der digitalen Transformation der Geschäftswelt, etwa wenn im Sinne von Industrie 4.0 Industrieanlagen per SAP RFC gesteuert, bestückt und kontrolliert werden.

Die Erfahrung zeigt, dass RFC-Schnittstellen häufig unzureichend technisch abgesichert sind und wirksame Zugriffsbeschränkungen fehlen. Das zeigen folgende Beispiele:

Werden Sie in 3 Tagen zum Profi für SAP Workflows. In der SAP Workflow Schulung lernen Sie alles, was Sie wissen müssen, um in Ihrem Unternehmen Workflows effektiv zu implementieren und zu warten. Außerdem erhalten Sie Tipps zur Performance-Optimierung und Best-Practice-Insights.

  • Sind Dialogbenutzer und Kennwörter zu RFC-Verbindungen hinterlegt, kann ohne Anmeldung eine Verbindung aufgebaut und zu nicht autorisierten Zwecken verwendet werden.
  • Es gibt zu viele SAP RFC Benutzer, die eine Vollberechtigung (SAP_ALL oder S_RFC) oder umfangreiche Systemrechte (S_USER_GRP, S_AMI_FCD) und somit auch einen ungehinderten Zugriff auf kritische Funktionsbausteine haben.
  • Eine Schwachstelle im Funktionsbaustein RFC_ABAP_INSTALL_AND_RUN kann missbraucht werden, um ohne Berechtigungsprüfung Programme und Daten zu manipulieren und Änderungsbelege zu löschen.
  • Ist eine Vertrauensbeziehung zwischen SAP-Systemen definiert („Trusted System“), kann der RFC-Zugriff und Aufruf von Funktionsbausteinen ohne Kennwortanmeldung erfolgen.
  • Das SAP-RFC-Gateway und die Firewall-Konfiguration weisen manchmal ebenfalls Lücken auf.

Absicherung durch die SAP RFC Sicherheit

Durch verschiedene Maßnahmen lassen sich RFC-Verbindungen so absichern, dass nicht autorisierte Zugriffe auf kritische Kommunikationsprozesse zwischen SAP- und (Nicht)-SAP-Systeme nahezu ausgeschlossen sind.

  • Für jede RFC-Verbindung müssen der Eigentümer und das Ziel bekannt sein; nicht mehr benötigte RFC-Verbindungen sind zu löschen.
  • Vor allem für technische Nutzer dürfen RFC-Berechtigungen nur restriktiv vergeben werden und die Funktionstrennung zwischen Benutzer, Anwendungsentwicklung und Systemadministration ist strikt einzuhalten.
  • RFC-Verbindungen mit hinterlegten Benutzerdaten sollten nur zwischen Systemen mit dem gleichen Sicherheitsstand oder von einem System mit einem höheren Sicherheitsstand in eines mit einem niedrigeren Sicherheitsstand hergestellt werden.
  • Benutzerinformationen dürfen nur für Systembenutzer (nicht für Dialogbenutzer) abgelegt werden und es muss darauf geachtet werden, dass sie nur sehr eingeschränkte Rechte in den Zielsystemen haben.
  • Der Zugriff auf die RFCDES-Tabelle, in der Informationen zu RFC-Destinationen aber auch Systembenutzerkennungen und Kennwörter hinterlegt sind, ist auf ein Mindestmaß zu beschränken.
  • Erfolgt der RFC-Zugriff über eine „Trusted System“-Beziehung, muss im Berechtigungsobjekt S_RFCACL exakt festgelegt sein, welcher Benutzer im Zielsystem Funktionsaufrufe ohne Passwortangabe durchführen darf.
  • Um die RFC-Sicherheit weiter zu erhöhen, empfiehlt sich die Prüfung und Absicherung von SAP Gateways und die Implementierung der Komponente Unified Connectivity (UCON), die die Anzahl RFC-Funktionsbausteine reduziert, die sich extern aufrufen lassen.
  • Je nach Bedarf empfiehlt sich der Einsatz von Secure Network Communications“ (SNC) als zusätzlicher Sicherheitsschicht zum Schutz der Datenkommunikation per RFC-Protokoll.

Fazit & Best Practices zu SAP RFC Sicherheit

Es gibt zahlreiche Methoden und Technologien, durch deren Anwendung sich die in den SAP-RFC-Verbindungen vorhandenen Schwachstellen und Sicherheitslücken gezielt beheben lassen. Dadurch werden die Risiken bei Funktionsaufrufen zwischen SAP-Systemen deutlich reduziert

Sie haben Fragen zur SAP-RFC-Sicherheit?

Sie suchen kompetente Unterstützung bei der Absicherung Ihrer RFC-Verbindungen und wollen dabei von Best Practices erfahrener Berater profitieren?

mindsquare ist ein Technologie-Beratungsunternehmen, das sich auf die Beratung und Entwicklung im SAP- und Salesforce-Umfeld spezialisiert hat. Unsere SAP Berater beschäftigen sich seit vielen Jahren intensiv mit Technologien und Methoden rund um die SAP-RFC-Sicherheit und haben bereits zahlreiche Projekte in diesem Bereich mit Erfolg umgesetzt.

Wie geht es weiter?

Schritt 1

Sie nehmen telefonisch, per Mail oder Formular Kontakt auf und schildern uns Ihr Anliegen.

Schritt 2

Zur Klärung von Rückfragen und von Details zum weiteren Vorgehen melden wir uns telefonisch bei Ihnen.

Schritt 3

Wir unterbreiten Ihnen ein Angebot und unterstützen Sie gerne auch bei der Präsentation für Ihr Management.

Jetzt Kontakt aufnehmen

Passende Angebote zum Thema

Bereinigung RFC User entfernen
Sie wollen die Berechtigungen Ihrer SAP-Schnittstellenbenutzer einschränken und die Sicherheit Ihres SAP erhöhen - ohne einen Ausfall der Schnittstelle? Wir optimieren für Sie die benötigten Berechtigungen von technischen Benutzern und sichern Ihre Schnittstellen ab.
Basis und Security Support on Demand
Mit SAP Basis und Security Support on Demand können Sie Aufgaben aus dem Bereich SAP Basis und SAP Security in Form von Tickets zum Festpreis durch unsere Support Spezialisten erledigen lassen. Kurzfristige Engpässe überbrücken - Konzentration auf Ihre Kernprozesse.