Pressemitteilung

Onapsis veröffentlicht eine ausführliche SAP-Sicherheitsstudie zu SAP HANA

24. August 2016

Führende Anbieter im Bereich der Sicherheit geschäftskritischer Anwendungen veröffentlichen einen ausführlichen Bericht, in dem dargelegt wird, wie SAP-HANA-Systeme ordnungsgemäß geprüft und sicher konfiguriert werden können

Boston, MA – 24. August 2016Onapsis, der weltweit führende Experte für die Sicherheit geschäftskritischer Anwendungen, hat heute den zweiten Teil seines „SAP HANA System Security Review“ veröffentlicht. Diese Publikation analysiert die internen Kommunikationskanäle von SAP HANA, erläutert die damit verbundenen Risiken und zeigt auf, wie ein SAP-HANA-System ordnungsgemäß geprüft werden kann. Als 13. Ausgabe der Reihe „SAP Security In-Depth“ beschreibt „SAP HANA System Security Review Part 2“, wie die platform aktualisiert wird, und geht dabei auf die neuen Verbesserungen in jedem Support-Paket ein.

SAP HANA wird von SAP als die In-Memory-Datenbank schlechthin für seine Produkte und seit kurzem auch als eigenständige platform angesehen. Die überwiegende Mehrheit der Unternehmen, die SAP HANA bereits eingeführt haben, nutzt die Funktionen der Plattform zur Unterstützung geschäftskritischer Anwendungen. Aufgrund ihrer Beschaffenheit speichert SAP HANA die wichtigsten Unternehmensressourcen, darunter Kundendaten, Produktpreise, Finanzberichte, Mitarbeiterinformationen, Lieferketten, Business Intelligence, Budgetierung, Planung und Prognosen.

„Eine unsachgemäße Konfiguration von SAP HANA hat erhebliche Auswirkungen auf die Sicherheit, da viele Aspekte dieses Produkts in bestimmten Versionen standardmäßig nicht mit den wirksamsten Sicherheitsmaßnahmen ausgestattet sind. Beispielsweise wurden interne Kommunikationsschnittstellen nicht für die Nutzung durch Endbenutzer konzipiert und verfügen daher in Versionen vor SPS10 nicht über Sicherheitsmaßnahmen wie Verschlüsselung oder Authentifizierung. Bleiben diese ungesichert, könnte ein Angreifer auf beliebige Kommunikationsports zugreifen, um Spionage, Sabotage und Betrugsangriffe durchzuführen“, so Nahuel D. Sánchez, Autor und SAP-Sicherheitsforscher bei Onapsis.

Innerhalb von SAP HANA gibt es interne Kommunikationskanäle, die die Kommunikation zwischen verschiedenen Prozessen der platform zwischen Hosts und Systemen ermöglichen. Der jeweilige Zweck der einzelnen internen Kommunikationskanäle hängt von der Anzahl der Host-Bereitstellungen sowie von den Systemreplikationsszenarien ab.

Die Publikationen von Onapsis SAP Security In-Depth (SSID) behandeln innovative Sicherheitsaspekte geschäftskritischer Anwendungen, die von den Onapsis Research Labs identifiziert wurden. Jede Ausgabe analysiert die spezifischen Risiken, denen diese Anwendungen ausgesetzt sind, sowie die verschiedenen Strategien zur Risikominderung, mit denen Unternehmen ihre SAP-Implementierungen schützen können. Weiter SAP HANA System Security Review Teil 1, das sich auf das Verständnis des HANA-Aufbaus konzentriert, befasst sich diese neue Ausgabe eingehend mit technischen Konzepten, um umfassend zu erläutern, wie kritische Aspekte von SAP HANA ordnungsgemäß konfiguriert werden.

SAP HANA-Systemsicherheitsüberprüfung, Teil 2 steht zum Download bereit unter: https://onapsis.com/research/publications/volume-xii-sap-hana-system-security-review-part-2.

Über Onapsis Research Labs™

Threat Intelligence „SAP and Oracle Security Threat Intelligence von Onapsis Research Labs erstellt, einem Team führender Sicherheitsexperten, die fundiertes Fachwissen und langjährige Erfahrung bündeln, um technische Analysen im geschäftlichen Kontext zu liefern und dem Markt fundierte Sicherheitsbewertungen zur Verfügung zu stellen. Das Team arbeitet eng mit den Produktsicherheitsteams von SAP und Oracle zusammen, um die Informationen verantwortungsbewusst an Kunden weiterzugeben. Bis heute hat es über 150 Sicherheitshinweise veröffentlicht, von denen mehr als 35 SAP HANA betreffen; es hat über 180 Onapsis-Unternehmenskunden hinsichtlich der Auswirkungen beraten und hält regelmäßig Vorträge auf führenden Sicherheits- und SAP-Konferenzen weltweit. Onapsis war das erste Unternehmen, das die Publikationsreihe „SAP Security In-Depth“ herausbrachte, die detaillierte Analysen zu Sicherheitsrisiken für SAP und SAP HANA bietet.

Über Onapsis

Onapsis bietet die umfassendsten Lösungen für die Absicherung von SAP- und Oracle-Unternehmensanwendungen. Als führender Experte für Cybersicherheit bei SAP und Oracle ermöglichen die patentierten Lösungen von Onapsis Sicherheits- und Audit-Teams Transparenz, Vertrauen und control komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die ihre Unternehmensanwendungen betreffen.

Onapsis mit Hauptsitz in Boston, Massachusetts, betreut über 200 Kunden, darunter viele der Global-2000-Unternehmen. Die Lösungen von Onapsis gelten zudem als De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform, die marktweit am häufigsten eingesetzte SAP-zertifizierte Cybersicherheitslösung. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis sowohl präventive Maßnahmen zur Schwachstellen- und Compliance-Kontrolle als auch Funktionen zur Echtzeit-Erkennung und Incident Response, um Risiken für kritische Geschäftsprozesse und Daten zu minimieren. Über offene Schnittstellen platform sich die platform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zum Schwachstellen-, Risiko- und Vorfallmanagement ein.

Diese Lösungen basieren auf den Erkenntnissen Onapsis Research Labs kontinuierlich führende Informationen zu Sicherheitsbedrohungen für SAP- und Oracle-Unternehmensanwendungen bereitstellen. Die Experten der Onapsis Research Labs die ersten, die Vorträge über Cyberangriffe auf SAP-Systeme hielten, und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und bei deren Behebung mitgewirkt, die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betrafen.

Onapsis wurde das US-Patent Nr. 9.009.837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Funktionen beschreibt, die der Technologie zugrunde liegen, auf der die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ basieren. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als „SINET 16 Innovator 2015“ eingebracht.

Weitere Informationen finden Sie unter www.onapsis.com oder folgen Sie uns auf Twitter, Google+ oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.

Zurück zu den Pressemitteilungen

Weiterführende Literatur