Kontakt

Sie haben Fragen oder Anregungen? Wir freuen uns auf Ihr Feedback!

tel +49 89 991950-0
fax +49 89 991950-999
info@genua.de

» Kontaktformular

Sichere Fernwartungsautobahn für SAP-Systeme

Insights | 17.10.2019
Nächtliche Autobahn mit Lichtstreifen

Eine hohe Zuverlässigkeit beim Betrieb sowie Kostenersparnisse bei Service und Support: Die Fernwartung von SAP-Systemen bietet große Nutzenvorteile. Beim Fernzugriff durch externe Experten gilt es jedoch Risiken zu vermeiden und ein sehr hohes Schutzniveau sicherzustellen. Eine von genua gemeinsam mit SAP entwickelte Fernwartungslösung zeigt neue Wege auf. Dabei wird ein Fernwartungskonzept vom industriellen Bereich auf die SAP-Welt übertragen.

SAP-Anwendungen gehören zu den kritischen IT-Lösungen in fast allen Unternehmen. Kommt es hier zu Ausfällen, hat dies schnell negative Auswirkungen auf zentrale Geschäftsprozesse. Für SAP-Kunden steht deshalb die sichere und verlässliche Remote-Anbindung der Systeme an den SAP-Support an oberster Stelle. Geplante, aber auch ungeplante Aufschaltungen auf Systeme können so als pro- und reaktiver Service rund um die Uhr erfolgen, zeit- und kostenintensive Einsätze vor Ort werden auf ein Minimum beschränkt.

Unternehmen und Behörden mit hohen Sicherheitsanforderungen erhalten von SAP die Advanced Secure Support Services. Diese ergänzen die Premium Services um zusätzliche Maßnahmen, sodass hohe Sicherheitsstandards erfüllt werden und sich die Services noch bsser nutzen lassen – speziell im Bereich Fernwartung. Dazu gehören zum Beispiel sicherheitsgeprüfte Supportmitarbeiter sowie spezielle sichere Bereiche und Räume an SAP-Standorten.

IT-Sicherheit ständig verbessern

Eine der Kunden der Advanced Secure Support Services ist die Bundesdruckerei aus Berlin. Das Unternehmen legt großen Wert auf ein umfassendes Sicherheits- und Qualitätsmanagement.

Christian Helfrich, Geschäftsführer der Bundesdruckerei "Mit der Fernwartung unserer SAP-Systeme stellen wir eine hohe Betriebsverfügbarkeit sicher, ohne Kompromisse bei Informationssicherheit und Datenschutz einzugehen", sagt Christian Helfrich, Geschäftsführer der Bundesdruckerei.

"IT-Security wird bei uns aktiv gelebt und ist die Basis unseres Geschäfts. Entsprechend sind wir immer auf der Suche nach Lösungen, die unsere Prozesse noch effizienter und sicherer machen", sagt Christian Helfrich, Geschäftsführer der Bundesdruckerei und unter anderem für die IT zuständig. Im Austausch mit dem SAP-Management entstand die Idee, die Fernwartung in Punkto Sicherheit weiter zu optimieren.

Fernwartung in der Industrie als Vorbild

Helfrich konnte dabei die Bundesdruckerei-Tochter genua empfehlen, die unter anderem für industrielle Produktionsprozesse eine hochsichere Fernwartungslösung anbietet. Dabei kommt ein sogenannter Rendezvous-Server zum Einsatz, der in einer "Demilitarisierten Zone" (DMZ) neben der Firewall installiert ist. Dorthin verbinden sich sowohl der Kunde als auch der Fernwartungs-Dienstleister zu einem verabredeten Zeitpunkt. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Über diese kann der Service die betreute Maschinenanlage im Unternehmensnetz ansprechen. Der Kunde hat somit stets die volle Kontrolle über alle Fernwartungszugriffe in sein Netzwerk.

"Zusammen mit SAP standen wir vor der Aufgabe, das Rendezvous-Konzept zur Wartung von Produktionsumgebungen auf die Fernwartung eines SAP-Systems zu übertragen", berichtet Matthias Ochs, Geschäftsführer von genua, und fährt fort: "Entscheidend war, die bestehenden Lösungskomponenten von SAP und genua nahtlos miteinander zu verknüpfen."

Die sichere Fernwartungs-Autobahn

Matthias Ochs von genua vergleicht die Lösung mit Maßnahmen für eine sichere Autobahn: "So wie Schutzplanken, Fahrbahnmarkierungen, Verkehrsschilder und Tempolimits im Zusammenwirken für mehr Sicherheit auf Autobahnen sorgen, so führt die Kombination von Security-Komponenten mit gehärteten Betriebssystemen und Microkernel-Technologie sowie hochwertigen Verschlüsselungsverfahren bei genua Advanced Secure Connect zu einer ‚gesicherten Fernwartungs-Autobahn’."

Überblick sichere SAP-Fernwartung

Kern der Lösung ist eine Hardware-Appliance, der genua Secure Connector. Dieser ist in der DMZ des Kundennetzes installiert. Auf dem genua Secure Connector laufen der Rendezvous-Server und ein VPN-Gateway (Virtual Private Network). Im Rechenzentrum des SAP-Supports befindet sich zudem ein kundeneigenes VPN-Gateway. Damit die Kommunikation zwischen dem SAP- und Kunden-Netz reibungslos funktioniert, hat SAP einen eigenen Verbindungstyp entwickelt.

Über das VPN-Gateway erzeugt der SAP-Support eine verschlüsselte Verbindung zum genua Secure Connector. Dorthin wählt sich der Kundenmitarbeiter zum vereinbarten Zeitpunkt ebenfalls ein. Haben beide Parteien ihre Identität erfolgreich nachgewiesen, treffen sie auf dem Rendezvous-Server zusammen. Erst wenn all diese Schritte erfolgreich durchgeführt sind, kann der SAP-Support auf das betreute System im Netz zugreifen. Zur Verschlüsselung der Wartungsverbindung kommen hochwertige Verfahren zum Einsatz, die sich im staatlichen Geheimschutzbereich bewährt haben und mit heutiger Technologie nicht gebrochen werden können.

Zusätzlich abgesichert

Der genua Secure Connector ist mit einem Microkernel-Betriebssystem ausgestattet. Durch die geringe Komplexität der Software werden Fehler im Code und damit potenzielle Angriffsflächen vermieden. Weiterhin erzeugt das Betriebssystem zwei strikt getrennte Bereiche: einen Bereich für die Systeme zum Aufbau der VPN-Verbindung und einen zweiten für das SAProuter-Protokoll.

Matthias Ochs, Geschäftsführer genua gmbh "Entscheidend war, die bestehenden Lösungskomponenten von SAP und genua nahtlos miteinander zu verknüpfen", sagt Matthias Ochs, Geschäftsführer von genua.

Ochs: "Mit der Separationstechnologie schaffen wir eine starke Barriere gegen Angreifer. Denn selbst wenn diese in einen Bereich eindringen und dort Schadsoftware verstecken, ist der Weg in andere Bereiche und vor allem ins Kundennetz versperrt."

Eine weitere Sicherheitskomponente ist die Service Box. Diese wird am Endpunkt der Wartungsverbindung vor dem SAP-System des Kunden betrieben. Die Service Box schirmt das betreute SAP-System vom restlichen Kunden-Netz ab. Auf diese Weise führt der Fernwartungszugang ausschließlich zum betreuten System, Zugriffe auf andere IT-Systeme des Kunden sind nicht möglich.

Fernwartungszugriffe sind lückenlos nachvollziehbar

Alle Aktionen des SAP-Supports sind über die Bedienoberfläche der Management Station genucenter live verfolgbar. Zusätzlich lassen sich mit dieser Administrationslösung Videomitschnitte des Wartungsvorgangs erstellen und archivieren. Schließlich werden alle Logdaten erfasst. Kunden haben somit die externen Zugriffe stets im Blick und können bei Bedarf erfolgte Fernwartungen jederzeit lückenlos nachvollziehen.

Matthias Ochs fasst zusammen: "Die Rendezvous-Lösung, zusätzliche Security-Komponenten, die Hoheit über die komplette Verbindung und das umfassende Monitoring führen bei der Fernwartung zu einem Maximum an Sicherheit. Mit diesen Funktionen erfüllen wir die Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) an die Absicherung der Fernwartung im industriellen Umfeld."

Die Vorteile aus Kundensicht erläutert Bundesdruckerei-Geschäftsführer Helfrich: "Mit der Fernwartung unserer SAP-Systeme sparen wir Kosten und stellen eine hohe Betriebsverfügbarkeit sicher, ohne Kompromisse bei Informationssicherheit und Datenschutz einzugehen. Wir wollen immer die volle Kontrolle über unsere IT-Systeme behalten, genau dies bietet uns genua Advanced Secure Connect."

Attraktives Geschäftsmodell

Alle Kunden der Advanced Secure Support Services können die neue Lösung einsetzen. Die technische Ausstattung für die hochsichere Fernwartungsinfrastruktur kommt von genua. Diese umfasst alle Hardware- und Software-Komponenten auf Mietbasis für drei Jahre. Wird der Vertrag anschließend verlängert, erfolgt ein Austausch der eingesetzten Hardware. Zum Komplettpaket gehört auch ein 24/7 Support für die Fernwartungslösung. Darin enthalten sind auch regelmäßige Software-Updates und für die Hardware ein Next Business Day Replacement Service: Fällt ein System aus, bekommen Kunden am nächsten Arbeitstag ein identisches Austauschgerät zugeschickt. Die Bundesdruckerei implementierte als Pilotkunde die neue SAP-Fernwartungslösung. Geschäftsführer Helfrich sagt: "Alleingänge führen in der IT-Security nicht zum Ziel. Vielmehr ist eine strategische und ganzheitliche Herangehensweise notwendig. Co-Innovationen wie im Fall von Advanced Secure Connect zeigen hier den richtigen Weg. Wir sind von den Mehrwerten und Nutzenvorteilen der Fernwartungslösung überzeugt."

 

Anwenderbericht als PDF zum Download

Dietmar Bruhns Press & Public Relations, genua GmbH
Um für Sie unsere Webseite zu optimieren, verwenden wir Cookies.
Klicken Sie auf "Cookies zulassen", falls Sie der Nutzung von diesen Cookies zustimmen.
Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung, in der Sie auch jederzeit Ihre Cookie-Einstellungen einsehen und anpassen können.
Datenschutz