Ein Schlüssel zu SAP-Anwendungen

Feature | 26. Mai 2003 von admin 0

Die in der Vergangenheit als sicher geltende Authentisierung bei der Anmeldung an SAP-Anwendungen mittels einer Kombination aus Benutzername und Passwort reicht oftmals nicht aus. Es entstehen Sicherheitslücken, weil Anwender aus Bequemlichkeit entweder leicht zu merkende Passwörter verwenden oder komplizierte Passwörter schriftlich notieren. Gefahr droht auch, wenn sie Benutzername und Passwort mit einem Cookie speichern. Dieses ist leicht auslesbar und stellt somit einen Sicherheitsschwachpunkt dar. Hinzu kommt, dass Anwender beim Wechsel zu einer anderen SAP-Applikation erneut Benutzername und Passwort eingeben müssen.

eToken PRO

eToken PRO

Einen Ausweg bietet die Sicherheitslösung SECUDE for mySAP.com des SAP-Softwarepartners SECUDE aus Darmstadt in Verbindung mit dem eToken PRO der Aladdin Knowledge Systems Germany. Der eToken PRO ist eine Kryptohardware, die das Schlüsselmaterial eines Anwenders speichert und die notwendigen Operationen zum Verschlüsseln durchführt. Anwender sind somit in der Lage, sich lediglich mit einem Passwort per Single Sign-On sicher zu authentisieren.

Single Sign-On für SAP-Applikationen

Der eToken PRO ermöglicht in Verbindung mit der Sicherheitssoftware SECUDE for mySAP.com eine starke, das heißt sehr sichere, Authentisierung mittels digitalem Ausweis und bietet zudem Single Sign-On. Anwender stecken den eToken PRO als persönlichen Sicherheitsschlüssel an den USB-Port eines Rechners und authentisieren sich mit ihrem persönlichen Passwort. Daraufhin greift der SAP-Client auf das auf dem Schlüssel abgelegte Zertifikat zu. Jeder Besitzer eines solchen Schlüssels kann sich auf diese Weise von jedem Computer innerhalb des Unternehmens-Netzwerkes anmelden und ohne erneute Passworteingabe auf alle Applikationen zugreifen. Die Sicherheit beruht auf zwei Komponenten: Der Anwender muss den Schlüssel physisch in Händen halten und zudem das Passwort kennen.
Wird beim Anmelden für eine Applikation der Server gewechselt, findet eine Drei-Wege-Authentisierung zwischen Client und Server statt, die für den Anwender unbemerkt im Hintergrund abläuft. Dabei authentisieren sich Client und Server durch den Austausch digitaler Signaturen. Zusätzlich wird ein Sitzungsschlüssel erzeugt, der zum Beispiel ausschließlich für die laufende SAP-Sitzung gültig ist und nur den beteiligten Kommunikationspartnern bekannt ist. Meldet sich der Anwender vom System ab, wird dieser Schlüssel verworfen. Für die Authentisierung findet der RSA-Algorithmus mit einer Schlüssellänge von 1024 bit Anwendung. Dies entspricht zwei hoch 1024 Kombinationsmöglichkeiten. Zum Vergleich: Bereits zwei hoch 64 Reiskörner würden die Oberfläche der Erde mehrere Meter hoch bedecken.

Digitaler Ausweis sichert den Datentransfer

Alle Komponenten einer SAP-Landschaft, wie zum Beispiel Server, Router und Druckdienste, sind mit einem digitalen Ausweis ausgestattet, über den sie sich authentisieren. Mit einem Sitzungsschlüssel von 156 bit Länge werden die Datenpakete einer Verbindung digital signiert und verschlüsselt. Dadurch weiß der Empfänger, dass die Daten auf dem Weg zu ihm nicht manipuliert wurden und kann sich bei jedem Datenpaket über die Identität des Absenders Gewissheit verschaffen. Außerdem lassen sich die Datenpakete nur von dazu Berechtigten einsehen.
Anwender authentisieren sich gegenüber SAP-Anwendungen auf der Basis von X.509v3-Zertifikaten, dem heutigen Standardformat für Zertifikate, die auch der eToken PRO verwendet. Dieses Zertifikat enthält unter anderem den Namen des Besitzers und der ausstellenden Behörde, zum Beispiel eine Zertifizierungsstelle, den Gültigkeitszeitraum sowie den öffentlichen Teil des asymmetrischen Schlüsselpaares des Besitzers. Über das Zertifikat ist der öffentliche Schlüssel eindeutig an seinen Besitzer gebunden. Die Sicherheitslösung SECUDE for mySAP.com ist über die Komponente Secure Network Communication an das SAP-System angebunden.

Aladdin eToken PRO

eToken PRO ist mit einer dem deutschen Signaturgesetz konformen Sicherheitsarchitektur und einem Smartcard-Chip ausgestattet, außerdem mit einem Kryptoprozessor mit Dateistruktur, einem Betriebssystem mit Ein- und Ausgabeeinheiten und Algorithmen. Wie ein eigenständiger kleiner Computer führt der eToken PRO sensitive Operationen durch. So wird auf dem Schlüssel beispielsweise die digitale Signatur berechnet. Der Signaturschlüssel eines Anwenders verlässt den eToken PRO nicht – und kann damit auch nicht ungeschützt in der PC-Umgebung vorliegen.
Digitale Zertifikate, Passwörter, Schlüssel und andere Berechtigungsnachweise sind auf dem eToken PRO gespeichert. Die Zugriffsrechte hingegen werden von den entsprechenden Anwendungen, etwa der Dateiverwaltung, den E-Mail-Programmen oder dem SAP-System, gesteuert. eToken PRO unterstützt außerdem mit Plug-Ins die Datei-, Ordner- und Festplatten-Verschlüsselung sowie das Signieren und Verschlüsseln von E-Mails. Des Weiteren unterstützt er Public-Key-Infrastrukturen (PKI), Web Access, Virtual Private Network (VPN) Clients, Rechner und Netzwerk Logon sowie Boot Protection.

Susanne Mayer

Susanne Mayer

Leave a Reply