Da Unternehmen zunehmend eine „Clean Core“-Strategie verfolgen, hat sich die Angriffsfläche der SAP-Landschaft in zwei unterschiedliche Bereiche aufgespalten: die rasante Innovation bei SAP BTP und die tief verwurzelte Komplexität von benutzerdefiniertem ABAP-Code. Die Sicherheitsabteilung kann es sich nicht länger leisten, diese Bereiche als blinde Flecken zu behandeln. Eine einzige übersehene Schwachstelle in einer BTP-Anwendung kann zum Verlust Ihrer sensibelsten Daten führen; eine einzige fehlerhafte ABAP-Zeile kann einem böswilligen Entwickler die Schlüssel zum Königreich verschaffen.
In dieser Folge stellen wir zwei Szenarien mit hohem Risiko vor, die auf realen Vorfällen basieren und auf die sich jeder SAP-Kunde vorbereiten muss:
- Der BTP-Blindspot: Wir zeigen, wie ein harmloser Entwicklerfehler in einer maßgeschneiderten BTP-Anwendung – beispielsweise ein unsicherer API-Endpunkt oder eine fehlerhafte Authentifizierungsprüfung – zu einer offenen Tür zum Kern des Unternehmens wird. Sehen Sie, wie ein Angreifer diese Schwachstelle ohne jegliche Anmeldedaten ausnutzt, um sensible Unternehmensdaten unbemerkt zu entwenden.
- Das Trojanische Pferd: Wir tauchen tief in den ABAP-Kern ein, um zu zeigen, wie ein böswilliger Entwickler oder Auftragnehmer Standardprüfungen umgehen kann, um eine ausgeklügelte Hintertür in ein ABAP-Programm einzubauen. Durch das Einfügen weniger Zeilen bösartigen Codes verschafft sich der Angreifer SAP_ALL-Rechte, die es ihm ermöglichen, Finanzdaten und Stammdaten in der Produktionsumgebung zu ändern und dabei Compliance-Kontrollen zu umgehen.
Sobald Sie verstanden haben, wie die Systeme angegriffen werden können, müssen Sie wissen, wie Sie dies verhindern können. Wir werden folgende Themen behandeln:
- So lassen sich BTP-Schwachstellen bereits beim Schreiben erkennen und die versehentlich entstandene Sicherheitslücke verhindern, bevor sie den Schreibtisch des Entwicklers überhaupt verlässt.
- So nutzen Sie die automatisierte Überprüfung von ABAP-Transporten, um zu verhindern, dass schädliche ABAP-Programme jemals in Ihre Produktionsumgebung gelangen.
- So führen Sie automatisierte Scans von „ruhendem“ Code durch, um versteckte Hintertüren und Schwachstellen aufzudecken, die möglicherweise schon seit Jahren in Ihrem System schlummern.
- Erfahren Sie, wie Sie Ihre „Clean Core“-Strategie absichern können, indem Sie sowohl anfälligen als auch bösartigen Code im gesamten BTP- und ABAP-Spektrum beseitigen.
