Sicherheitstipps für DBAs zur Oracle E-Business Suite

Von:

19. Dezember 2018

Die Oracle-Datenbank ist das eigentliche Herzstück der Oracle E-Business Suite (EBS) und der Ort, an dem die „Wunder geschehen“. Aber wie Sie bereits wissen, bedeutet die Absicherung von Oracle EBS mehr als nur die Absicherung der Datenbank. Über die empfohlenen Best Practices für die Datenbanksicherheit hinaus möchte ich Ihnen einige praktische Tipps geben, die Ihnen helfen, einen besseren Sicherheitsprozess für Oracle EBS zu definieren. Natürlich werde ich Ihnen auch zeigen, wie die Onapsis Security Platform Ihnen dies erheblich erleichtern kann.

Tipp Nr. 1: Oracle EBS ist standardmäßig nicht sicher
Wenn Sie Oracle EBS installieren, erhalten Sie das „komplette Paket“. Unabhängig davon, ob Ihr Unternehmen alle EBS-Anwendungen nutzen wird oder nicht, stehen Ihnen alle Module zur Verfügung – Auftragsmanagement, Logistik, Beschaffung, Projekte, Fertigung, Asset Lifecycle Management (ALM), Service, Finanzwesen und Personalmanagement (HCM).

Zur Unterstützung all dieser Module werden Hunderte von Standardpasswörtern angelegt, die Sie ändern müssen – selbst für die Module, die Sie gar nicht nutzen. Und vergessen Sie nicht, die EBS-Endbenutzerpasswörter sicher zu hashen. Zwar werden Benutzerpasswörter für Oracle-EBS-Anwendungen in verschlüsselter Form gespeichert, doch werden sie standardmäßig nicht optional gehasht.

Das ist allerdings nur die sprichwörtliche Spitze des Eisbergs, wenn es darum geht, Oracle EBS sicher und konform zu machen. Sie sollten mit dem „Oracle EBS Security Configuration Guide“ beginnen.

Tipp Nr. 2: Der „Oracle EBS Security Configuration Guide“ enthält die Mindestanforderungen
. Der „Oracle EBS Security Configuration Guide“ ist zwar ein guter Ausgangspunkt, enthält jedoch lediglich die Mindestanforderungen für die Absicherung von EBS. Zudem unterscheidet sich Ihre Oracle-EBS-Implementierung zwangsläufig von der anderer Anwender. Es wird zahlreiche Anpassungen und spezifische Anwendungsfälle geben. Das bedeutet, dass die Einrichtung und Absicherung Ihrer Oracle-EBS-Implementierung individuell auf Sie zugeschnitten sein muss. Es wird empfohlen, dass Sie dem Leitfaden folgen, aber stellen Sie sicher, dass Sie zusätzliche Maßnahmen ergreifen, die auf den Sicherheitsrichtlinien Ihres Unternehmens basieren. Die Absicherung von Sicherheitseinstellungen, Konfigurationen und Kontrollen ist absolut notwendig, um Ihre Anwendungen vor Schwachstellen zu schützen.

Tipp Nr. 3: Die Installation der Oracle Critical Patch Updates allein reicht nicht aus, um die Sicherheit von Oracle EBS zu gewährleisten
Ja, es gilt als bewährte Vorgehensweise, die Oracle Critical Patch Updates (CPUs) so oft wie möglich zu installieren. Vergessen Sie dabei nicht, die Patches auf alle Oracle EBS-Anwendungen sowie auf die zugrunde liegenden Technologien wie die Datenbank und WebLogic anzuwenden.

Für manche Unternehmen ist das Installieren von Patches unter Umständen gar nicht praktikabel, da das Risiko längerer Ausfallzeiten bei der Installation der Patches größer sein könnte als das wahrgenommene Sicherheitsrisiko. Sie müssen die Auswirkungen des Patches und die Schwere der Sicherheitslücke abwägen, um zu entscheiden, ob der Patch installiert werden soll oder nicht. Viele Unternehmen installieren Sicherheitspatches nicht sofort, sondern verfolgen einen „n-1“-Patching-Ansatz: Sie installieren den Sicherheitspatch des vorangegangenen Quartals, nachdem Oracle seinen neuesten Patch veröffentlicht hat. So können sie den Sicherheitspatch des vorangegangenen Quartals gründlich testen.

Tipp Nr. 4: Es werden ständig Änderungen am System vorgenommen, entweder von Ihnen oder von anderen. Wissen Sie, wann sich etwas ändert und wann?
Sie haben also Ihre Oracle EBS-Anwendung gesperrt, aber was passiert im Laufe der Zeit? Jedes Mal, wenn Sie, ein anderes Teammitglied oder ein Auftragnehmer eine Aktualisierung an der Anwendung vornimmt, beispielsweise um das Geschäft zu unterstützen oder die Leistung zu verbessern, besteht auch die Gefahr, dass die sicherheitsrelevanten Einstellungen und Konfigurationen verändert werden. Dies ist ein häufiges Phänomen in der ERP-Sicherheit, das als „Konfigurationsdrift“ bekannt ist.

Wie stellen Sie sicher, dass diese Einstellungen und Konfigurationen sicher bleiben? Führen Sie regelmäßig Stichproben durch, um die Sicherheit zu überprüfen? Dies kann schwierig sein, insbesondere wenn Sie die Überprüfung manuell durchführen. Onapsis kann diesen Prozess für Sie automatisieren und Ihnen viel Zeit und Aufwand ersparen, um Sicherheit und Compliance zu gewährleisten

Tipp Nr. 5: Verlassen Sie sich nicht allein auf die Informationssicherheit, um Oracle EBS zu schützen
Zweifellos hat das Team für Informationssicherheit zahlreiche Sicherheitstools implementiert, um Ihr Unternehmen vor internen und externen Bedrohungen zu schützen. Tools wie Firewalls, Netzwerk-Intrusion-Detection-Systeme, Schwachstellenscanner und Web-Application-Firewalls sind wichtige Bestandteile der Sicherheitsstrategie Ihres Unternehmens, behandeln Sie Oracle EBS jedoch wie jede andere generische Anwendung. Dies kann Ihre EBS-Anwendungen einem Risiko aussetzen. EBS kann, insbesondere bei Bereitstellung im Internet, direkt außerhalb Ihrer Firewall (d. h. in der DMZ) erweitert werden, wodurch es für Angriffe weit offen steht.

Die Gewährleistung der Sicherheit und Compliance von Oracle EBS ist eine anspruchsvolle Aufgabe und sollte funktionsübergreifend angegangen werden. Sie müssen mit dem Team für Informationssicherheit und der internen Revision zusammenarbeiten, um diese darüber zu informieren, wie Sie Oracle EBS sichern. Wenn alle Beteiligten auf dem gleichen Stand sind, können Sie sicherstellen, dass die Anwendungen sicher konfiguriert sind, geeignete Sicherheitstools und -prozesse vorhanden sind und die Kontrollen zur Überprüfung der Compliance durchgeführt werden.

Darüber hinaus könnten Sie sich ERP-Sicherheitslösungen wie Onapsis ansehen, die diese funktionsübergreifenden Teams durch Transparenz in Bezug auf Sicherheit und Compliance in Oracle EBS zusammenführen können.

Wie kann Onapsis helfen?
Die Onapsis Security Platform ist eine speziell entwickelte Sicherheits- und Compliance-Lösung für ERP-Systeme wie Oracle EBS und SAP. Für funktionsübergreifende Teams, die für die Sicherheit und Compliance von Oracle EBS verantwortlich sind, automatisiert sie die Überwachung, den Schutz und die Risikominderung.

Sie können Ihre Anwendungssicherheitseinstellungen und -konfigurationen kontinuierlich überprüfen, um Schwachstellen und Verstöße proaktiv zu erkennen – so können Sie Abhilfemaßnahmen priorisieren und Risiken minimieren. Mit der Onapsis Security Platform verbringen Sie weniger Zeit damit, Sicherheitsanfragen von Prüfern und Sicherheitsexperten zu beantworten, da Sie Onapsis nutzen können, um Ihre eigenen Fragen zu klären. Wenn Sie mehr erfahren möchten, vereinbaren Sie gerne einen Termin für eine Demo.

Stichworte, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen