M 2.350 Aussonderung von SAP Systemen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Wird entschieden, ein SAP System nicht weiter zu betreiben, weil es beispielsweise durch eine neuere Systemversion auf neuer Hardware abgelöst wird, so sind die nachfolgend beschriebenen Punkte zu beachten. Die Maßnahmen sollen verhindern, dass ein Angreifer die freigewordene Identität des SAP Systems missbrauchen kann. Der Aussonderungsprozess muss also dafür Sorge tragen, dass die Identität des SAP Systems gelöscht und unbrauchbar wird.
Löschen/Entsorgen der Speichermedien
Die Speichermedien aller betroffenen Rechner sind vor der Wiederverwendung sicher zu löschen (siehe M 2.167 Sicheres Löschen von Datenträgern). Wird die Hardware entsorgt, so muss dies ebenfalls auf sichere Weise geschehen (siehe M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln ).
System aus dem SAP Verbund löschen
In der Regel ist ein SAP System in einen SAP Verbund eingebunden. Andere Systeme besitzen daher Referenzen auf das auszusondernde System.
Alle Referenzen auf das ausgesonderte System in anderen SAP Systemen oder Komponenten müssen gelöscht werden. Dies betrifft unter anderem
- Identitäten (d. h. technische Benutzer), unter denen das ausgesonderte System zugreift,
- Vertrauensstellungen,
- Destinationen,
- Konfigurationen des Transportsystems,
- Konfigurationen der zentralen Benutzerverwaltung,
- Konfigurationen der Systemüberwachung (Monitoring).
Es muss beachtet werden, dass dabei auch Referenzen in Systemen externer Partner betroffen sein können. Der Aussonderungsprozess muss daher auch dafür sorgen, dass entsprechende Prozesse bei betroffenen externen Partnern angestoßen werden.
System aus dem Netzverbund löschen
Alle Referenzen auf Netz- und Betriebssystem-Ebene sind zu löschen. Dies betrifft unter anderem
- DNS-Einträge,
- Firewall-Regeln,
- SAPGui/SAPLogon-Konfiguration (Systemlisten),
- Einträge in "host" und "services" Dateien.
Für die Listen verfügbarer Systeme für das SAP Logon - diese werden in der Datei saplogon.ini gespeichert - empfiehlt es sich, eine zentrale Verwaltung zu nutzen und die Datei auf die Clients zu verteilen.
Ergänzende Kontrollfragen:
- Sind alle aktuellen Referenzen eines SAP Systems dokumentiert?
- Sind alle Daten auf den verwendeten Datenträgern sicher gelöscht worden?
- Sind externe Partner darüber informiert, dass das SAP System ausgesondert wurde?