Bewertung Ihrer SAP-Implementierung: Tipps von Onapsis Research Labs

Von:

2. Oktober 2024

SAP-Systeme bilden das Rückgrat vieler Unternehmen, insbesondere der meisten Großkonzerne, und beherbergen geschäftskritische Daten und Prozesse. Eine unzureichend gesicherte SAP-Umgebung kann Ihr Unternehmen jedoch anfällig für Datenlecks, finanzielle Verluste, Reputationsschäden sowie erhebliche Compliance- oder regulatorische Konsequenzen machen. Dieser Artikel beleuchtet verschiedene Ansätze zur Bewertung des Sicherheitsstatus Ihrer SAP-Implementierung, um deren Widerstandsfähigkeit gegenüber potenziellen Sicherheitsbedrohungen und Angriffen sicherzustellen.

Die Bedrohungslage verstehen

Bevor wir uns mit den Bewertungsmethoden befassen, wollen wir uns zunächst die vielfältigen Bedrohungen vor Augen führen, denen SAP-Anwendungen ausgesetzt sind:

  • Sicherheitslücken in SAP-Anwendungen: Wie jede andere Software ist auch SAP anfällig für Sicherheitslücken, die Angreifer ausnutzen können. Diese Sicherheitslücken können in Kernmodulen, Add-ons oder benutzerdefiniertem Code auftreten.
  • Falsch konfigurierte Sicherheitseinstellungen: Falsch konfigurierte Einstellungen und Sicherheitsparameter können Lücken für unbefugten Zugriff schaffen.
  • Authentifizierung und Passwortverwaltung: Unzureichende Passwortrichtlinien, fehlende Authentifizierungsmaßnahmen, die Wiederverwendung von Passwörtern, Standardpasswörter und ähnliche Probleme können es Angreifern erleichtern, sich Zugang zu verschaffen.
  • Interne Bedrohungen: SAP-Anwendungen werden in der Regel von Tausenden von verschiedenen Benutzern gleichzeitig genutzt. Ein unzufriedener Mitarbeiter oder ein Mitarbeiter mit übermäßigen Berechtigungen kann ein erhebliches Risiko für das Unternehmen darstellen.

Ansätze zur Assess der Assess -Sicherheit

Die Bewertung der Sicherheit von SAP-Anwendungen umfasst den Einsatz verschiedener Tools und Techniken zur Identifizierung und Behebung von Sicherheitslücken. Es gibt zahlreiche Methoden, die zur assess Anwendungen herangezogen werden können. Unabhängig von der gewählten Methode liefern alle im Ergebnis eine Liste von Sicherheitsschwächen bzw. -lücken, die nach Schweregrad priorisiert sind und Maßnahmen zur Risikominderung oder Lösungen enthalten. Was die Methoden betrifft, so sind dies einige der gängigsten Optionen, auf die Unternehmen zurückgreifen können:

  • SAP-Schwachstellenanalyse (VA): Diese Analyse erfolgt größtenteils automatisiert und nutzt Technologien, um Ihr SAP-System auf bekannte Schwachstellen in verschiedenen Bereichen der Anwendung zu überprüfen (unter anderem Software-Patches, Konfigurationen, Benutzerzugriffe oder benutzerdefinierter Code).
  • SAP-Penetrationstests (Pen-Test): Bei dieser Art von Prüfung wird ein simulierter Angriff auf Ihr SAP-System durchgeführt, der die Taktiken realer Angreifer nachahmt. Pen-Tester nutzen eine Kombination aus automatisierten Tools und manuellen Techniken, um Schwachstellen zu identifizieren, diese auszunutzen, um sich unbefugten Zugriff zu verschaffen, und assess potenziellen Auswirkungen assess . Das Pentest-Projekt liefert in der Regel eine Liste von Angriffsvektoren oder Angriffsszenarien, die von den Pen-Testern genutzt wurden oder die auf Grundlage der im System festgestellten Schwachstellen hätten genutzt werden können. Darüber hinaus werden Pen-Tests in folgende Kategorien unterteilt:
    • Black-Box-Testing: Simuliert einen externen Angreifer ohne Vorkenntnisse über das System. Dieser Ansatz deckt Schwachstellen auf, die von jedermann ausgenutzt werden könnten, ohne dass ein Benutzername oder Passwort erforderlich ist.
    • White-Box-Testing: Hier sind Tester beteiligt, die über zusätzliche Kenntnisse des Systems verfügen, beispielsweise über Konfigurationen, interne Dokumentationen oder sogar Zugangsdaten. Dieser Ansatz deckt Schwachstellen auf, die von Insidern oder Angreifern mit entsprechenden Zugriffsrechten ausgenutzt werden könnten.
  • Bewertung von SAP-Eigenentwicklungen: In SAP entwickelte Eigenentwicklungen können Sicherheitslücken verursachen, wenn sie nicht gründlich geprüft werden. Diese Bewertung konzentriert sich auf die Identifizierung von Sicherheitsmängeln in den Eigenentwicklungen, um sicherzustellen, dass diese den Best Practices entsprechen und keine Sicherheitslücken verursachen.
  • SAP-Sicherheitsaudit: Eine umfassende Überprüfung Ihrer SAP-Sicherheitslage, die Benutzerzugriffskontrollen, die Berechtigungsverwaltung, Sicherheitsrichtlinien und -verfahren umfasst. Dabei wird die Einhaltung von Branchenvorschriften und Best Practices bewertet und es werden Verbesserungsmöglichkeiten aufgezeigt. Diese Art der Bewertung erfordert einen höheren Zeit- und Ressourcenaufwand, da sie mehr Bereiche abdeckt und diese eingehender untersucht als andere Arten von Bewertungen.

Die Wahl des richtigen Ansatzes:

Die Wahl der Bewertungsmethoden hängt von Ihren spezifischen Anforderungen und Ihrem Risikoprofil ab. Hier finden Sie eine Übersicht, die Ihnen bei der Entscheidung helfen soll:

  • Um sich einen umfassenden Überblick über Sicherheitslücken zu verschaffen: Führen Sie eine SAP-Sicherheitslückenanalyse durch .
  • Um reale Angriffe zu simulieren: Führen Sie einen SAP-Penetrationstest durch – je nach Ihrem Bedrohungsmodell entweder als Black-Box- oder als White-Box-Test.
  • Um die Sicherheit von benutzerdefiniertem Code zu gewährleisten: Führen Sie eine Überprüfung des benutzerdefinierten Codes durch .
  • Um einen umfassenden Überblick über die Sicherheitslage zu erhalten: Führen Sie ein SAP-Sicherheitsaudit durch .

Über die Bewertung hinaus: Aufbau einer sicheren SAP-Umgebung

Sicherheitsbewertungen sind wertvolle Instrumente, doch sie sind nur ein Teil des Puzzles und bieten Einblicke in Sicherheitsbereiche, in denen Unternehmen Verbesserungen vornehmen können. Hier sind weitere Schritte zum Aufbau einer soliden SAP-Sicherheitsstrategie:

  • Führen Sie strenge Zugriffskontrollen ein: Wenden Sie das Prinzip der geringsten Berechtigungen an und gewähren Sie den Benutzern nur die Zugriffsrechte, die sie zur Erfüllung ihrer Aufgaben benötigen. Dies war in der Vergangenheit ein wichtiger Schwerpunkt für Unternehmen bei der Absicherung ihrer SAP-Anwendungen.
  • Aktualisieren Sie die SAP-Software regelmäßig: Halten Sie sich mit den neuesten Sicherheitspatches auf dem Laufenden, um neu entdeckte Sicherheitslücken in der SAP-Software zu beheben.
  • Benutzeraktivitäten überwachen: Führen Sie eine Sicherheitsüberwachung ein , um assess Benutzerverhalten assess , verdächtige Aktivitäten sowie die potenzielle Ausnutzung von Schwachstellen und Sicherheitslücken zu erkennen.
  • Sichern Sie Ihre Entwicklungspipelines: Integrieren Sie Schwachstellenscans in Ihre Pipelines zur Entwicklung von benutzerdefiniertem Code, um das Entstehen neuer Schwachstellen zu verhindern.
  • Implementierung von Threat Intelligence : Stellen Sie sicher , dass Sie Zugang zu einer zeitnah geprüften und qualitativ hochwertigen Quelle für threat intelligence haben, threat intelligence in Ihr gesamtes System zur Überwachung und Alarmierung von Aktivitäten threat intelligence .

Verschiedene Arten von Sicherheitsüberprüfungen bieten Ihnen unterschiedliche Einblicke in potenzielle Sicherheitsrisiken. Bedenken Sie jedoch, dass Sicherheit ein fortlaufender Prozess ist und keine einmalige Angelegenheit. assess SAP-Umgebung regelmäßig, bleiben Sie wachsam und passen Sie Ihre Sicherheitsmaßnahmen an die sich ständig verändernde Bedrohungslage an.

Stichworte, , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen