von

SAP BTP Custom Domains in der Energiebranche: Kryptische URLs maskieren und IT-SiG 2.0 konform agieren

In der kritischen Infrastruktur (KRITIS) der Energieversorgung sind Vertrauen und Datensicherheit das höchste Gut. Dennoch nutzen viele Unternehmen standardmäßig die kryptischen URLs der SAP Business Technology Platform (BTP), wie etwa https://tenant.region.hana.ondemand.com.

In diesem Leitfaden erfahren Sie, warum die Umstellung auf eine eigene Subdomain (z. B. https://myapp.mein-unternehmen.de) nicht nur eine Frage des Brandings ist, sondern eine zentrale Anforderung der Cybersecurity im Rahmen des IT-Sicherheitsgesetzes 2.0 darstellt.

Warum „Sprechende URLs“ für Energieversorger kritisch sind

Für Betreiber kritischer Infrastrukturen gelten verschärfte Regeln durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA). Kryptische Standard-URLs bergen spezifische Risiken:

  1. Schutz vor Social Engineering: Mitarbeiter und Partner im Energiesektor sind primäre Ziele für Phishing-Angriffe. Eine klare, firmeneigene Domain (z.B. mein-unternehmen.de) ist ein wichtiges Identitätsmerkmal, das von Drittanbieter-URLs nicht ersetzt werden kann.
  2. Vermeidung von Information Leakage: Standard-URLs verraten oft technische Details über den Cloud-Anbieter, die Region und interne Mandanten-IDs. Im Sinne der „Security by Obscurity“ erschwert eine Custom Domain das Profiling durch Angreifer.
  3. Compliance & Datenschutz: In der Energiebranche fließen sensible Verbrauchs- und Kundendaten. Die Maskierung von URLs verhindert, dass technische Parameter oder Nutzer-IDs unbeabsichtigt in Browser-Historien oder Proxy-Logs auftauchen.

Schritt-für-Schritt-Anleitung: SAP BTP Custom Domain einrichten

Um Ihre SAP-Anwendungen professionell und sicher zu maskieren, folgen Sie diesem Prozess:

1. Aktivierung des Custom Domain Service

Stellen Sie sicher, dass in Ihrem SAP BTP Subaccount das entsprechende Entitlement für den Custom Domain Service (Plan: standard) aktiv ist. Dies ist die technische Basis für die Zertifikatsverwaltung.

2. DNS-Konfiguration (CNAME-Record)

Bevor die BTP die Domain akzeptiert, muss Ihre IT-Abteilung im DNS Ihrer Hauptdomain einen Eintrag vornehmen:

  • Typ: CNAME
  • Host: myapp (für myapp.mein-unternehmen.de)
  • Ziel: Der technische API-Endpunkt Ihres BTP-Subaccounts (z. B. custom-domain.eu10.hana.ondemand.com).

3. Technische Umsetzung via CLI

Die Konfiguration erfolgt sicher über das Cloud Foundry Command Line Interface (CLI). Hier ist der vollständige Funktionsablauf:

Experten-Tipp: Nutzen Sie für diese Schritte eine gesicherte Verbindung und achten Sie darauf, dass keine API-Keys in Ihrer Bash-History gespeichert werden.

Bash

# 1. Login in den SAP BTP Subaccount
cf login -a https://api.cf.eu10.hana.ondemand.com

# 2. Domain im System registrieren
cf custom-domain-create mein-unternehmen.de

# 3. Certificate Signing Request (CSR) erstellen
# Wichtig: Nutzen Sie mindestens RSA 3072 oder höher für KRITIS-Konformität!
cf custom-domain-create-key my-secret-key "CN=myapp.mein-unternehmen.de, O=MEIN-UNTERNEHMEN, C=DE"

# 4. Signiertes Zertifikat hochladen
cf custom-domain-upload-certificate -n MeinUnternehmenCert -c ./certificate.pem

4. Das Route-Mapping

Sobald das Zertifikat aktiv ist, verknüpfen Sie Ihre App mit der neuen Identität: cf map-route <Ihre-App-Name> mein-unternehmen.de --hostname myapp

Cybersecurity & IT-Sicherheitsgesetz 2.0 (KRITIS)

Die Umsetzung von Custom Domains zahlt direkt auf den IT-Sicherheitskatalog der BNetzA ein. Durch die Nutzung eigener Domains behalten Sie die volle Kontrolle über:

  • TLS-Konfiguration: Sie bestimmen, welche Verschlüsselungsprotokolle (z.B. TLS 1.3) und Cipher-Suites zugelassen sind.
  • HSTS-Policies: Erzwingen Sie HTTPS-Verbindungen für alle Endgeräte.
  • Authentifizierung: Integration von Double Opt-In und Single Sign-On (SSO) erfolgt nahtlos unter einer einheitlichen Identität.

Fazit: Sicherheit beginnt bei der URL

Die Maskierung kryptischer SAP-Links ist für Energieversorger keine Option, sondern eine Notwendigkeit. Sie stärkt die Resilienz gegen Cyberangriffe und professionalisiert den digitalen Auftritt gegenüber Kunden und Regulierungsbehörden.