Beim Schutz von Netzwerkverbindungen werden drei Sicherheitsstufen unterschieden:

• Authentifizierung
  Bei der Authentifizierung wird nur die Identität des Kommunikationspartners sichergestellt. Die Daten selbst werden nicht geschützt.
• Integrität
  Wenn dieser Schutzmechanismus verwendet wird, erkennt das System Änderungen an Daten, die während der Übertragung zwischen Sender und Empfänger vorgenommen werden.
• Vertraulichkeit
  Für den Schutz der Vertraulichkeit werden die übertragenen Nachrichten verschlüsselt, wodurch ein Abhören sinnlos wird.

Bei allen drei Sicherheitsstufen kommen kryptographische Methoden zum Einsatz. Authentifizierung ist die niedrigste Stufe, Vertraulichkeit die höchste. Höhere Stufen schließen normalerweise die darunterliegenden mit ein.

Kryptographische Methoden können auf unterschiedlichen Schichten im Netzwerkprotokoll-Stack eingesetzt werden:

1. Physikalische Schicht (Physical Layer)
   Die physikalische Verbindung ist eine passive Komponente, die keine kryptographische Sicherheit bieten kann. Elektronische Abhörsicherheit ist nicht Thema dieses Artikels.
2. Datenverbindungsschicht (Data Link Layer)
   Die Netzwerkpakete in der Verbindungsschicht (z.B. Ethernet) können direkt von der Netzwerkkarte verschlüsselt werden. Diese Methode ist aufwendig, da spezielle Hardware verwendet werden muß. Sie wird daher in Computern nur selten eingesetzt.
3. Netzwerkschicht (Network Layer)
   Zur Sicherung auf der Netzwerkschicht (z.B. IP) existieren verschiedene Standards; der bekannteste ist IPsec, das auch integraler Teil des zukünftigen Internet-Protokollstandards IPv6 sein wird.
4. Transportschicht (Transport Layer)
   Auch auf der Transportschicht (z.B. TCP) gibt es eine Reihe von Standards. Besonders im Internet kommt häufig der Secure Socket Layer (SSL) zum Einsatz.
5. Anwendungsschicht (Application Layer)
   Auf der Anwendungsschicht definieren die meisten Anwendungen eigene Sicherheitsprotokolle. SAP hat kein eigenes Sicherungsverfahren implementiert, sondern stellt mit Secure Network Communication (SNC) ein Interface zu Sicherheitsprodukten anderer Hersteller zur Verfügung. Näheres hierzu siehe unten.

Die Sicherung der Datenübertragung kann auf allen Schichten unterhalb der Anwendung erfolgen. Voraussetzung ist, daß der Mechanismus völlig transparent für das SAP-System sein muß, da SAP kein solches Verfahren direkt unterstützt.

Es existiert eine Reihe von Produkten, die das TCP/IP-Protokoll im Betriebssystem durch Sicherheitsfunktionen erweitern, die für die Anwendung transparent sind. Beispielsweise kann die Authentifizierung jeder TCP-Verbindung mit einem externen Programm auf einem Firewall-System erfolgen, ohne daß die Kommunikationspartner dies bemerken. Manche Hersteller modifizieren auch direkt den TCP/IP-Protokoll-Stack durch Sicherheitsfunktionen. Im Prinzip können solche Produkte zusammen mit SAP-Software eingesetzt werden; es ist aber genau zu überprüfen, ob das Produkt mit dem SAP-System, dem SAPgui und allen anderen eingesetzten SAP-Komponenten verträglich ist. SAP testet solche Systeme nicht.

Wenn Verbindungen zwischen getrennten lokalen Netzen durch ein unsicheres öffentliches Netz wie beispielsweise das Internet geführt werden sollen, können beispielsweise sogenannte "Virtual Private Networks" (VPNs) eingesetzt werden. Hierbei werden alle Netzwerkverbindungen zwischen den beiden lokalen Netzen von entsprechenden Netzwerkgeräten (z.B. Routern) verschlüsselt. Auch diese Sicherung ist für Anwendungen völlig transparent. Sie können daher auch Ihre SAP-Verbindungen über ein solches VPN betreiben.

SNC (Secure Network Communication) ist eine Schnittstelle der SAP-Architektur, die es erlaubt, die SAP-Kommunikation unter Verwendung von externen kryptographischen Produkten zu sichern. SAP hat keine kryptographischen Methoden in Ihrer Software implementiert. Somit überläßt SAP dem Anwender die Wahl der kryptographischen Verfahren und der Infrastruktur, wie z.B. Schlüsselverteilung. Die SAP-Software ist unabhängig von länderspezifischen Einschränkungen für Verschlüsselungssoftware und stets auf dem neuesten Stand. Das Sicherheitsprodukt kann zusätzliche, von SAP nicht direkt angebotene Sicherheitsfunktionen für die Authentifizierung einsetzen, z.B. Smartcards oder biometrische Verfahren. Verschiedene Produkte sind bereits für den Einsatz mit SAP zertifiziert. Je nach eingesetztem Produkt unterstützt SNC alle drei oben beschriebenen Sicherheitsstufen.

Eine ausführliche Beschreibung von SNC finden Sie in der SAP-Online-Dokumentation . An dieser Stelle werden nur Aspekte beschrieben, die SNC von anderen Methoden der Übertragungssicherung unterscheiden.

SNC bietet Sicherheit auf der Anwendungsschicht. Dies bedeutet, daß eine sichere Verbindung zwischen den Endpunkten der SAP-Kommunikation (z.B. zwischen dem SAPgui und dem SAP-Applikationsserver) garantiert ist, unabhängig von der verwendeten Kommunikationsverbindung oder dem Transportmedium. Die Sicherung betrifft nur den SAP-Datenverkehr.

SNC läßt sich für alle Arten externer SAP-Kommunikation einsetzen:

• SAPgui
• Drucken (in Verbindung mit dem SAPLPD-Druckserver)
• Kommunikation zwischen SAP-Systemen
• Kommunikation mit externen Programmen über RFC und CPI-C
• Internet Transaction Server

Ein Anwender, der sich mit SAPgui über eine SNC-Verbindung anmeldet, wird automatisch am SAP-System authentifiziert. Dazu sind keine weiteren Logon-Informationen wie Benutzernamen und Paßwort erforderlich.

Die folgende Tabelle faßt die wesentlichen Unterschiede zwischen Sicherung auf der Netzwerkschicht und Sicherung auf der Anwendungsschicht (SNC) zusammen:

Die folgende Abbildung zeigt die Absicherung einer SAPgui-Verbindung über das Internet mit SNC. Die Kommunikation wird zwischen den Endpunkten SAPgui und SAP-System gesichert. Dies wird durch die Linie dargestellt, die von der Anwendungsschicht im Protokoll-Stack des Frontends bis zu SAP-Anwendung durchgeht.

Authentifizierung am SAP-System wird von der Sicherheitssoftware geleistet. Zusätzlich benötigen Sie noch eine Authentifizierung an der Firewall, um den Zugriff auf das Firmen-Netzwerk zu beschränken. Verschlüsselt werden nur SAP-Daten – Dateizugriffe oder E-Mail-Austausch mit dem Firmennetzwerk sind nicht abgesichert.

Die folgende Abbildung zeigt eine Sicherung der Datenübertragung auf der Netzwerkschicht. Sie erfolgt nur zwischen den Zugangspunkten des öffentlichen Netzwerks, nicht aber in den internen Netzwerken.

Zur Anbindung eines Netzwerks in einer entfernten Niederlassung wird hier ein sogenanntes "Virtual Private Network" (VPN) eingesetzt. Hierbei bauen die Netzwerkkomponenten an den Endpunkten des Internet Service Providers, der den Zugang zum Internet herstellt, eine gesicherte Verbindung auf, über die die Netzwerkpakete zwischen den lokalen Netzwerken "getunnelt" werden. Die gesicherte Verbindung erfolgt über ein gesichertes Protokoll, z.B. Ipsec. Die Sicherheitsfunktionen können entweder von Geräten in Ihrem Netzwerk oder vom Internet Service Provider zur Verfügung gestellt werden.

Wählverbindungen, die von einem einzelnen Computer ausgehen, können ein sogenanntes "Virtual Private Dial-Up Network" benutzen. Hier muß entweder die Netzwerksoftware im Frontend-Rechner oder der Internet Service Provider die Sicherung übernehmen. Die Abbildung zeigt, an welcher Stelle im Netzwerkprotokoll-Stack die Sicherheitsfunktion ansetzt.

Welche der beiden Sicherungsmöglichkeiten Sie verwenden sollten, hängt von der Aufgabenstellung ab. Ist Sicherung der Übertragung "End-to-End" sowie Authentifizierung am SAP-System mit kryptographischen Methoden notwendig, so müssen Sie SNC verwenden. Der Aufbau einer entsprechende Infrastruktur mit einem von SAP zertifizierten Sicherheitsprodukt lohnt sich besonders dann, wenn Sie SNC firmenweit einsetzen wollen. Soll hingegen nur die Übertragung der Daten gesichert werden, so ist der Einsatz eines VPNs wahrscheinlich die einfachste Lösung. Sie können dann handelsübliche Netzwerkkomponenten mit Sicherheitsfunktionen verwenden, die den gesamten Datenverkehr zwischen den Niederlassungen sichern.