Case Study
Sichere Fernwartungsautobahn für SAP-Systeme
Eine hohe Zuverlässigkeit beim Betrieb sowie Kostenersparnisse bei Service und Support: Die Fernwartung von SAP-Systemen bietet große Nutzenvorteile. Beim Fernzugriff durch externe Experten gilt es jedoch, Risiken zu vermeiden und ein sehr hohes Schutzniveau sicherzustellen. Eine von genua gemeinsam mit SAP entwickelte Fernwartungslösung zeigt neue Wege auf. Dabei wird ein Fernwartungskonzept vom industriellen Bereich auf die SAP-Welt übertragen.
SAP-Anwendungen gehören zu den kritischen IT-Lösungen in fast allen Unternehmen. Kommt es hier zu Ausfällen, hat dies schnell negative Auswirkungen auf zentrale Geschäftsprozesse. Für SAP-Kunden steht deshalb die sichere und verlässliche Remote-Anbindung der Systeme an den SAP-Support an oberster Stelle. Geplante, aber auch ungeplante Aufschaltungen auf Systeme können so als pro- und reaktiver Service rund um die Uhr erfolgen, zeit- und kostenintensive Einsätze vor Ort werden auf ein Minimum beschränkt.
Unternehmen und Behörden mit hohen Sicherheitsanforderungen erhalten von SAP die Advanced Secure Support Services. Diese ergänzen die Premium Services um zusätzliche Maßnahmen, sodass hohe Sicherheitsstandards erfüllt werden und sich die Services noch besser nutzen lassen – speziell im Bereich Fernwartung. Dazu gehören z. B. sicherheitsgeprüfte Support-Mitarbeiter sowie spezielle sichere Bereiche und Räume an SAP-Standorten.
IT-Sicherheit ständig verbessern
Einer der Kunden der Advanced Secure Support Services ist die Bundesdruckerei aus Berlin. Das Unternehmen legt großen Wert auf ein umfassendes Sicherheits- und Qualitätsmanagement.
„IT Security wird bei uns aktiv gelebt und ist die Basis unseres Geschäfts. Entsprechend sind wir immer auf der Suche nach Lösungen, die unsere Prozesse noch effizienter und sicherer machen“, sagt Christian Helfrich, Geschäftsführer der Bundesdruckerei und u. a. für die IT zuständig. Im Austausch mit dem SAP-Management entstand die Idee, die Fernwartung in puncto Sicherheit weiter zu optimieren.
Fernwartung in der Industrie als Vorbild
Helfrich konnte dabei die Bundesdruckerei-Tochter genua empfehlen, die u. a. für industrielle Produktionsprozesse eine hochsichere Fernwartungslösung anbietet. Dabei kommt ein sogenannter Rendezvous Server zum Einsatz, der in einer „Demilitarisierten Zone“ (DMZ) neben der Firewall installiert ist. Dorthin verbinden sich sowohl der Kunde als auch der Fernwartungsdienstleister zu einem verabredeten Zeitpunkt. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Über diese kann der Service die betreute Maschinenanlage im Unternehmensnetz ansprechen. Der Kunde hat somit stets die volle Kontrolle über alle Fernwartungszugriffe in sein Netzwerk.
„Zusammen mit SAP standen wir vor der Aufgabe, das Rendezvous-Konzept zur Wartung von Produktionsumgebungen auf die Fernwartung eines SAP-Systems zu übertragen“, berichtet Matthias Ochs, Geschäftsführer von genua, und fährt fort: „Entscheidend war, die bestehenden Lösungskomponenten von SAP und genua nahtlos miteinander zu verknüpfen.“
Die sichere Fernwartungsautobahn
Matthias Ochs von genua vergleicht die Lösung mit Maßnahmen für eine sichere Autobahn: „So wie Schutzplanken, Fahrbahnmarkierungen, Verkehrsschilder und Tempolimits im Zusammenwirken für mehr Sicherheit auf Autobahnen sorgen, so führt die Kombination von Security-Komponenten mit gehärteten Betriebssystemen und Microkernel-Technologie sowie hochwertigen Verschlüsselungsverfahren bei genua Advanced Secure Connect zu einer ‚gesicherten Fernwartungsautobahn‘.“
Kern der Lösung ist eine Hardware Appliance, genua Advanced Secure Connect. Diese ist in der DMZ des Kundennetzes installiert. Auf genua Advanced Secure Connect laufen der Rendezvous Server und ein VPN-Gateway (Virtual Private Network). Im Rechenzentrum des SAP-Supports befindet sich zudem ein kundeneigenes VPN-Gateway. Damit die Kommunikation zwischen dem SAP- und dem Kundennetz reibungslos funktioniert, hat SAP einen eigenen Verbindungstyp entwickelt.
Über das VPN-Gateway erzeugt der SAP-Support eine verschlüsselte Verbindung zu genua Advanced Secure Connect. Dorthin wählt sich der Kundenmitarbeiter zum vereinbarten Zeitpunkt ebenfalls ein. Haben beide Parteien ihre Identität erfolgreich nachgewiesen, treffen sie auf dem Rendezvous Server zusammen. Erst wenn all diese Schritte erfolgreich durchgeführt sind, kann der SAP-Support auf das betreute System im Netz zugreifen. Zur Verschlüsselung der Wartungsverbindung kommen hochwertige Verfahren zum Einsatz, die sich im staatlichen Geheimschutzbereich bewährt haben und mit heutiger Technologie nicht gebrochen werden können.
Zusätzlich abgesichert
genua Advanced Secure Connect ist mit einem Microkernel-Betriebssystem ausgestattet. Durch die geringe Komplexität der Software werden Fehler im Code und damit potenzielle Angriffsflächen vermieden. Weiterhin erzeugt das Betriebssystem zwei strikt getrennte Bereiche: einen Bereich für die Systeme zum Aufbau der VPN-Verbindung und einen zweiten für das SAProuter-Protokoll.
Ochs: „Mit der Separationstechnologie schaffen wir eine starke Barriere gegen Angreifer. Denn selbst wenn diese in einen Bereich eindringen und dort Schadsoftware verstecken, ist der Weg in andere Bereiche und vor allem ins Kundennetz versperrt.“
Eine weitere Sicherheitskomponente ist die Service Box. Diese wird am Endpunkt der Wartungsverbindung vor dem SAP-System des Kunden betrieben. Die Service Box schirmt das betreute SAP-System vom restlichen Kundennetz ab. Auf diese Weise führt der Fernwartungszugang ausschließlich zum betreuten System, Zugriffe auf andere IT-Systeme des Kunden sind nicht möglich.
Fernwartungszugriffe sind lückenlos nachvollziehbar
Alle Aktionen des SAP-Supports sind über die Bedienoberfläche der Management Station genucenter live verfolgbar. Zusätzlich lassen sich mit dieser Administrationslösung Videomitschnitte des Wartungsvorgangs erstellen und archivieren. Schließlich werden alle Log-Daten erfasst. Kunden haben somit die externen Zugriffe stets im Blick und können bei Bedarf erfolgte Fernwartungen jederzeit lückenlos nachvollziehen.
Matthias Ochs fasst zusammen: „Die Rendezvous-Lösung, zusätzliche Security-Komponenten, die Hoheit über die komplette Verbindung und das umfassende Monitoring führen bei der Fernwartung zu einem Maximum an Sicherheit. Mit diesen Funktionen erfüllen wir die Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) an die Absicherung der Fernwartung im industriellen Umfeld.“
Die Vorteile aus Kundensicht erläutert Bundesdruckerei-Geschäftsführer Helfrich: „Mit der Fernwartung unserer SAP-Systeme sparen wir Kosten und stellen eine hohe Betriebsverfügbarkeit sicher, ohne Kompromisse bei Informationssicherheit und Datenschutz einzugehen. Wir wollen immer die volle Kontrolle über unsere IT-Systeme behalten, genau dies bietet uns genua Advanced Secure Connect.“
Attraktives Geschäftsmodell
Alle Kunden der Advanced Secure Support Services können die neue Lösung einsetzen. Die technische Ausstattung für die hochsichere Fernwartungsinfrastruktur kommt von genua. Diese umfasst alle Hardware- und Software-Komponenten auf Mietbasis für drei Jahre. Wird der Vertrag anschließend verlängert, erfolgt ein Austausch der eingesetzten Hardware. Zum Komplettpaket gehört auch ein 24/7 Support für die Fernwartungslösung. Darin enthalten sind auch regelmäßige Software-Updates und für die Hardware ein Next Business Day Replacement Service: Fällt ein System aus, bekommen Kunden am nächsten Arbeitstag ein identisches Austauschgerät zugeschickt. Die Bundesdruckerei implementierte als Pilotkunde die neue SAP-Fernwartungslösung. Geschäftsführer Helfrich sagt: „Alleingänge führen in der IT Security nicht zum Ziel. Vielmehr ist eine strategische und ganzheitliche Herangehensweise notwendig. Co-Innovationen wie im Fall von genua Advanced Secure Connect zeigen hier den richtigen Weg. Wir sind von den Mehrwerten und Nutzenvorteilen der Fernwartungslösung überzeugt.“