Warum Sie Sicherheitstests für geschäftskritische Anwendungen benötigen: Teil 4

Von:

7. Juli 2022

Diese fünfteilige Blogserie befasst sich mit der Bedeutung von Anwendungssicherheitstests für die Entwicklung sicherer, geschäftskritischer Anwendungen. In Teil eins haben wir dargelegt, dass eine termingerechte Anwendungsbereitstellung oft auf Kosten der sicheren Entwicklung geht. In Teil zwei unserer Blogserie haben wir untersucht, wie Anwendungssicherheitstests blinde Flecken bei der Zusammenarbeit mit Auftragnehmern und externen Entwicklern beseitigen können. Der dritte Teil unserer Serie befasste sich mit dem Testen von Code auf Fehler, um sicherzustellen, dass er fehlerfrei bleibt. Im heutigen Blogbeitrag zeigen wir Ihnen, wie Sie durch das Testen Ihres Codes und Ihrer Transports Fehler finden und wie Sie diese früher im Entwicklungszyklus identifizieren können.

Änderungen an SAP-Produktionssystemen mittels SAP-Transporten stellen ein hohes Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Diese potenziellen „Trojaner“ schleusen bösartige Inhalte oder Änderungen ein und bieten so eine Einfallstür für Spionage, Datendiebstahl und Datenmanipulation. Der Schaden für ein betroffenes Unternehmen kann beträchtlich sein, doch sind sich viele Unternehmen der potenziellen Risiken, die SAP-Transporte bergen können, nach wie vor nicht bewusst. Zudem sind herkömmliche Analyse-Tools nicht in der Lage, die in SAP-Transportdateien versteckten Trojaner ohne Weiteres zu identifizieren. 

Grund 4: Verhindern Sie Trojaner und schützen Sie sich vor der Übertragung von anfälligem Code 

Geschäftskritische Anwendungen wie SAP enthalten wichtige und sensible Daten, die für den Betrieb von Unternehmen unerlässlich sind und unter anderem Finanzsysteme, Personalmanagement, Lieferketten sowie Lieferantenbeziehungen unterstützen. Ein wesentlicher Bestandteil der kundenspezifischen SAP-Entwicklung ist die Möglichkeit, Daten von einem SAP-System in ein anderes sowie von externen Anwendungen und Drittanbietersoftware in SAP zu übertragen. Diese Datenübertragungen werden über Transporte abgewickelt. 

Um sich ein Bild vom Umfang und der Komplexität der Transporte zu machen: Im Durchschnitt werden jeden Monat 250 Transporte mit bis zu 5.000 Objekten pro SAP-System ausgelöst. Große Unternehmen, die in der Regel mehrere hundert SAP-Systeme betreiben, verzeichnen eine noch höhere Anzahl an Transporten.

Transporte können eine der einfachsten Möglichkeiten sein, Schwachstellen einzuschleusen, und bieten Angreifern damit eine Möglichkeit, diese Systeme auszunutzen. Transporte können Schwachstellen enthalten, die ausgenutzt werden können, und diese Sicherheitslücke wird dann zusammen mit dem Transport importiert. Selbst einfache Änderungen über SAP-Transporte können ein hohes Sicherheitsrisiko darstellen, da sie unwissentlich schädliche Inhalte oder Änderungen in die Umgebung einschleusen und so eine Einfallstür für Datendiebstahl und Datenmanipulation bieten. Diese potenziellen Trojaner schleusen schädliche Inhalte oder Änderungen ein und bieten damit eine Gelegenheit für Spionage, Datendiebstahl und Datenmanipulation. Ähnlich wie das ursprüngliche Trojanische Pferd, das zunächst als Geschenk angesehen wurde, sich später jedoch als versteckte Bedrohung entpuppte, kann auch ein SAP-Produktionssystem durch einen scheinbar gewöhnlichen Transport gefährdet werden. Schädliche Inhalte, die irgendwo in den unzähligen Objekten, Einstellungen und Tabellen eines Transportauftrags versteckt sind, können unbemerkt in das SAP-Produktionssystem gelangen.

Ein weiterer Risikofaktor kann die Berechtigung von Entwicklern zum Einpflegen von Codeänderungen sein. Um Aufgaben schnell und zuverlässig zu erledigen, verfügen Entwickler oft über weitreichende Berechtigungen. Selbst wenn dies nicht der Fall ist und restriktive Berechtigungen gelten, können sie oft letztendlich Einschränkungen umgehen und nahezu jede kritische Änderung erzwingen, indem sie benutzerdefinierte ABAP-Befehle programmieren und ausführen sowie SAP-Transportaufträge manipulieren, um diese Änderungen in die Produktionsumgebung zu übertragen. Auch ohne böswillige Absicht können diese Berechtigungen das Risiko erhöhen.

Die Auswirkungen auf das Geschäft

In Transportaufträgen versteckte Schwachstellen können schwerwiegende Angriffe auf SAP-Systeme ermöglichen. Viele Unternehmen sind sich jedoch nach wie vor der potenziellen Gefahren von Transporten für die SAP-Sicherheit nicht bewusst, und herkömmliche Analysetools sind nicht in der Lage, die in SAP-Transportdateien versteckten Schwachstellen zu erkennen. Gelingt es einem Angreifer, sich Zugang zu SAP zu verschaffen, um sensible Daten zu manipulieren, zu extrahieren oder zu löschen, kann dies für ein Unternehmen erhebliche finanzielle Verluste oder Reputationsschäden zur Folge haben. Kunden- und Mitarbeiterdaten, Rechnungen, Angebote und Verträge können in die falschen Hände geraten, und Produktinnovationen können von Wettbewerbern kopiert und vermarktet werden.

Auch die Tatsache, dass Datenübertragungen eine Gefahr für die Systemverfügbarkeit darstellen können, darf nicht außer Acht gelassen werden. Untersuchungen von IDC zeigen, dass fast zwei Drittel der IT-Entscheidungsträger schätzen, dass Ausfallzeiten von ERP-Anwendungen ihr Unternehmen über 50.000 US-Dollar pro Stunde kosten könnten. Für viele Unternehmen fallen SAP-Anwendungen und die darin enthaltenen Daten zudem unter den Geltungsbereich spezifischer Branchen- und behördlicher Vorschriften sowie finanzieller und anderer Compliance-Anforderungen. Verstöße gegen die DSGVO können zusätzlich zu den durch Ausfallzeiten verursachten Umsatzverlusten zu hohen Geldstrafen führen.

Ein besserer Ansatz: Onapsis Control den Transportbereich

Es gibt eine bessere Möglichkeit, Anwendungssicherheitstests für Ihre geschäftskritischen Anwendungen durchzuführen: Onapsis Control. Onapsis Control Anwendungssicherheitstests, einschließlich Transportprüfung und automatisierter Code-Analyse speziell für SAP-Umgebungen. Mit Onapsis Control Transports können Sie alle Transporte – sowohl vergangene als auch geplante – auf schädliche Inhalte überprüfen und analysieren, sei es absichtliche Spionage oder Datenmanipulation oder fehlerhafte Konfigurationen, die zu Importfehlern oder Systemausfällen führen könnten. Onapsis-Kunden nutzen Control Transports, um:

  • Überprüfen und validieren Sie alle Transporte und Updates von Drittanbietern vor der Bereitstellung, um Ausfälle zu vermeiden und die Stabilität und Leistungsfähigkeit der SAP-Systeme sicherzustellen.
  • Überwachen und verhindern Sie Sicherheitsverstöße oder unbefugte kritische Systemänderungen aufgrund von Transfers, um sicherzustellen, dass Daten geschützt sind und die Systemkonfigurationen den Unternehmensrichtlinien und gesetzlichen Anforderungen entsprechen. Ein weiterer Vorteil ist die Durchsetzung der Genehmigung von Konfigurationsänderungen außerhalb des regulären Prozesses.
  • Optimieren Sie Change-Management-Prozesse durch Einblicke in die Auswirkungen auf den Datenverkehr bereits vor der Bereitstellung. Dazu gehört die Möglichkeit, Probleme zu beheben, bevor sie in die Produktion übernommen werden, um kostspielige und ressourcenintensive Importfehler zu vermeiden.

Laden Sie unser whitepaper herunter, um weitere Informationen zu erhalten.

Weitere Gründe, warum Sie Sicherheitsprüfungen für SAP-Anwendungen benötigen

Stichworte, , , ,
Über den Autor

Beth Barach

Als eine der führenden Marketingverantwortlichen bei Onapsis konzentriert sich Beth Barach darauf, die Kompetenz des Unternehmens in den Bereichen SAP-Sicherheit und threat intelligence zu stärken. Sie ist für die Konzeption und Umsetzung digitaler Kampagnen verantwortlich, die die Marktpräsenz der Marke steigern und die Vordenkerrolle des Unternehmens festigen. Ihre Arbeit trägt unmittelbar dazu bei, die SAP-Cybersicherheits-Community über neue Bedrohungen und bewährte Verfahren zu informieren, und festigt damit ihre Rolle bei der Unterstützung von Kunden beim Schutz ihrer Systeme. Beths strategischer Ansatz stellt sicher, dass die bahnbrechenden Forschungsergebnisse und Lösungen von Onapsis die richtigen Zielgruppen erreichen, von IT-Fachleuten bis hin zur Unternehmensführung.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen