werth | SAP Security Inside – Expert insights for in-depth examinations and a robust cybersecurity.

9. April 20249. April 2024

Aktuelle Patches

SAP NEWS: Patchday April 2024

Hier findet ihr eine Übersicht der SAP Security Notes für April 2024:

1. Score 8.8 (High priority)

Nummer: 3434839

[CVE-2024-27899] Schwachstelle mit Blick auf falsche Sicherheitskonfiguration in SAP NetWeaver AS Java User Management Engine

Die Funktionen der Selbstregistrierung und Profilbearbeitung in der Benutzerverwaltungsanwendung von SAP NetWeaver AS Java erfüllen nicht die erforderlichen Sicherheitsstandards für die neu definierten Sicherheitsanforderungen. Diese Schwachstelle könnte von einem Angreifer ausgenutzt werden, um erhebliche Vertraulichkeitsrisiken sowie geringfügige Beeinträchtigungen der Integrität und Verfügbarkeit zu verursachen.

2. Score 7.7 (High priority)

Nummer: 3421384

[CVE-2024-25646] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP BusinessObjects Web Intelligence

Durch eine fehlerhafte Validierung ermöglicht das SAP-BusinessObjects-Business-Intelligence-Launchpad einem authentifizierten Angreifer den Zugriff auf Betriebssysteminformationen über ein erstelltes Dokument. Die erfolgreiche Ausnutzung dieser Schwachstelle kann erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung haben.

3. Score 7.2 (High priority)

Nummer: 3438234

[CVE-2024-27901] Directory-Traversal-Schwachstelle in SAP Asset Accounting

„Durch die unzureichende Validierung der von Benutzern bereitgestellten Pfadinformationen in SAP Asset Accounting kann ein Angreifer mit hohen Berechtigungen diese an die Datei-APIs übergeben und somit erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung verursachen.

4. Score 6.8 (High priority)

Nummer: 3442741

Stack-Überlauf-Schwachstelle in Komponentenbildern von SAP Integration Suite (EDGE INTEGRATION CELL)

Eine Stack-Überlauf-Schwachstelle wurde in Open Source ash.c:6030 in busybox entdeckt. Diese Schwachstelle ermöglicht es einem Angreifer, beliebigen Code aus der Befehlszeile in einem Container-Image auszuführen. Es ist jedoch nur möglich, Befehle über die Anwendung selbst auszuführen, wenn der Zugriff auf laufende Container nicht eingeschränkt ist. Dies hat potenziell hohe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

5. Score 6.5 (High priority)

Nummer: 3359778

[CVE-2024-30218] Denial-of-Service-Schwachstelle (DoS) in SAP NetWeaver AS ABAP und ABAP-Plattform

Durch das gezielte Auslösen von Abstürzen oder das Überfluten des Service können Angreifer den Zugriff rechtmäßiger Benutzer auf einen Service auf dem ABAP Application Server und der ABAP-Plattform verhindern. Dies führt zu erheblichen Beeinträchtigungen der Verfügbarkeit des betroffenen Services.

6. Score 6.5 (Medium priority)

Nummer: 3164677

[CVE-2022-29613] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Employee Self-Service (SAP Fiori „Meine Abwesenheitsanträge)

Aufgrund unzureichender Eingabevalidierung in SAP Employee Self-Service kann ein authentifizierter Angreifer mit Benutzerberechtigungen die Mitarbeiternummer ändern. Nach erfolgreicher Ausnutzung der Schwachstelle kann der Angreifer persönliche Daten anderer Benutzer anzeigen, was sich nur begrenzt auf die Vertraulichkeit der Anwendung auswirkt.

7. Score 6.5 (Medium priority)

Nummer: 3442378

[CVE-2024-28167] Fehlende Berechtigungsprüfung in SAP Group Reporting Data Collection (Paketdaten eingeben)

Für authentifizierte Benutzer führt SAP Group Reporting Data Collection keine erforderlichen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führt. Dadurch kann ein Benutzer bestimmte Daten über die App „Paketdaten eingeben“ ändern, selbst wenn er nicht über ausreichende Berechtigungen verfügt. Dies stellt eine erhebliche Bedrohung für die Integrität der Anwendung dar.

8. Score 6.1 (Medium priority)

Nummer: 3156972

[CVE-2023-40306] URL-Umleitungsschwachstelle in SAP S/4HANA (Katalogpositionen verwalten und katalogübergreifende Suche)

Durch eine unzureichende URL-Validierung in den SAP-Fiori-Apps „Katalogpositionen verwalten“ und „Katalogübergreifende Suche“ in SAP S/4HANA besteht die Gefahr, dass ein Angreifer Benutzer auf eine schädliche Website umleiten kann. Obwohl dies nur geringfügige Auswirkungen auf die Vertraulichkeit und Integrität hat, stellt es dennoch eine potenzielle Bedrohung dar.

9. Score 5.3 (Medium priority)

Nummer: 3425188

[CVE-2024-27898] Serverseitige Request-Forgery in SAP NetWeaver (tc~esi~esp~grmg~wshealthcheck~ear)

Aufgrund unzureichender Eingabevalidierung gestattet die SAP-NetWeaver-Anwendung (tcesiespgrmgwshealthcheck~ear) nicht authentifizierten Angreifern das Senden gezielter Anfragen aus einer anfälligen Webanwendung heraus. Diese Anfragen könnten interne Systeme hinter Firewalls angreifen, die normalerweise nicht über das externe Netzwerk zugänglich sind. Dies könnte potenziell schwerwiegende Schwachstellen für serverseitige Request-Forgery verursachen, die jedoch nur geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung haben.

10. Score 4.8 (Medium priority)

Nummer: 3421453

[Mehrere CVEs] Cross-Site-Scripting-Schwachstellen (XSS) in SAP Business Connector

Der vorliegende SAP-Sicherheitshinweis betrifft verschiedene Schwachstellen, die im SAP Business Connector entdeckt wurden. Im Folgenden finden Sie Details zu den Sicherheitslücken sowie relevante Informationen:

Cross-Site Scripting (Reflected)
- CVE-2024-30214
- CVSS Score: 4.8; CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Die Anwendung erlaubt einem Angreifer mit hohen Berechtigungen, einen schädlichen GET-Abfrageparameter an Serviceaufrufe anzufügen, die in der Serverantwort reflektiert werden. Wenn der Parameter JavaScript enthält, könnte das Skript unter bestimmten Umständen auf der Client-Seite ausgeführt werden.

Cross-Site Scripting (Stored)
- CVE-2024-30215
- CVSS Score: 4.8; CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Ein Angreifer mit hohen Berechtigungen kann auf der Seite Ressourceneinstellungen eine schädliche Nutzlast speichern und wiedergeben, wenn ein Benutzer die Seite aufruft. Ein erfolgreicher Angriff könnte einige Informationen offengelegt und/oder modifiziert werden. Es sei jedoch angemerkt, dass der Angreifer keine Kontrolle darüber hat, welche Informationen erlangt werden, und dass der Umfang oder die Art des möglichen Schadens begrenzt ist.

11. Score 4.3 (Medium priority)

Nummer: 3430173

[CVE-2024-30217] Fehlende Berechtigungsprüfung in SAP S/4HANA (Cash Management)

Cash Management in SAP S/4HANA weist eine Schwachstelle auf, bei der für authentifizierte Benutzer nicht die erforderlichen Berechtigungsprüfungen durchgeführt werden. Dies kann zu einer Rechteausweitung führen, wodurch ein Angreifer die Möglichkeit erhält, einen Bankkontenantrag zu genehmigen oder abzulehnen. Diese Handlung beeinflusst die Integrität des Antrags, während Vertraulichkeit und Verfügbarkeit nicht betroffen sind.

12. Score 4.3 (Medium priority)

Nummer: 3427178

[CVE-2024-30216] Fehlende Berechtigungsprüfung in SAP S/4HANA (Cash Management)

Cash Management in SAP S/4HANA weist eine Schwachstelle auf, bei der für authentifizierte Benutzer nicht die erforderlichen Berechtigungsprüfungen durchgeführt werden. Dadurch kann ein Angreifer Notizen in der Review-Anforderung mit dem Status „Abgeschlossen“ hinzufügen, was sich auf die Integrität der Anwendung auswirken kann. Vertraulichkeit und Verfügbarkeit sind davon nicht betroffen.

12. März 20249. April 2024

Aktuelle Patches

Bildnachweis: Firefly.com

Hier findet ihr eine Übersicht der SAP Security Notes für März 2024:

1. Score 10 (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Update 12. März 2024: Dieser Sicherheitshinweis wurde in den Abschnitten „Lösung“ und „Support-Packages-Patches“ aktualisiert und erneut veröffentlicht.

Es geht um Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, das im SAP Business Client verwendet wird. Dieser Hinweis wird regelmäßig aktualisiert entsprechend den Updates des Open-Source-Projekts Chromium. Weitere Details finden Sie im Lösungsabschnitt.

Die Priorität dieses Hinweises basiert auf dem höchsten CVSS-Wert aller Schwachstellen im neuesten Browser-Release.

Ab SAP Business Client 6.5 PL5 wird das Browser-Control Chromium für die Anzeige von HTML-Content verwendet. Da dieses Control in SAP Business Client integriert wird, werden Sicherheitskorrekturen über SAP-Business-Client-Patches bereitgestellt. Wenn das SAP-Business-Client-Release nicht auf dem aktuellen Patch-Level ist, können Schwachstellen auftreten, wie z.B. Speicherschäden oder Offenlegung von Informationen, beim Anzeigen von Webseiten. Einige Auswirkungen sind:

Offenlegung von Systeminformationen oder sogar Systemabsturz
Direkte Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit eines Systems
Möglicher Einsatz dieser Informationen für weitere Angriffe mit ernsthaften Folgen

2. Score 9.4 (Hot News)

Nummer: 3425274

[CVE-2019-10744] Code-Injection-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden

Anwendungen, die mit SAP Build Apps erstellt wurden, stehen durch die Code-Injection-Schwachstelle CVE-2019-10744 erheblich unter Gefahr. Diese Schwachstelle erlaubt es Angreifern, nicht autorisierte Befehle im System auszuführen, was zu erheblichen Beeinträchtigungen der Integrität und Verfügbarkeit der Anwendung führen kann und potenziell gravierende Sicherheitsrisiken birgt.

3. Score 9.1 (Hot News)

Nummer: 3433192

[CVE-2024-22127] Code-Injection-Schwachstelle in SAP NetWeaver AS Java (Administrator-Log-Viewer-Plug-In)

Das AS-Java-Log-Viewer-Plug-In von SAP NetWeaver Administrator weist eine potenzielle Sicherheitslücke auf, die es einem Angreifer mit erweiterten Berechtigungen ermöglicht, riskante Dateien hochzuladen. Dies führt zu einer Schwachstelle für Befehlseinschleusung, über die der Angreifer Anweisungen ausführen kann, die sich stark auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirken können.

4. Score 8.8 (High priority)

Nummer: 3346500

[CVE-2023-39439] Falsche Authentifizierung in SAP Commerce Cloud

Am 12. März 2024 wurde dieser Hinweis mit aktualisierten Lösungsinformationen erneut veröffentlicht.

In bestimmten Konfigurationen der SAP Commerce Cloud kann es vorkommen, dass eine leere Kennphrase für die Authentifizierung mit Benutzer-ID und Kennphrase akzeptiert wird. Dadurch haben Benutzer die Möglichkeit, sich ohne Eingabe einer Kennphrase am System anzumelden.

5. Score 7.5 (High priority)

Nummer: 3410615

[CVE-2023-44487 ] Denial-of-Service (DOS) in SAP HANA XS Classic und HANA XS Advanced

Unauthentifizierte Benutzer können über eine Vielzahl von HTTP/2-Anfragen in SAP HANA XS Classic und HANA XS Advanced einen Netzwerk-Denial-of-Service-Angriff (DOS) initiieren und später die Anfragen abbrechen. Dies kann zu einer Überlastung des Speichers führen und die Verfügbarkeit der Anwendung erheblich beeinträchtigen. Die Vertraulichkeit und Integrität der Anwendung sind davon jedoch nicht betroffen.

6. Score 7.2 (High priority)

Nummer: 3414195

[CVE-2023-50164] Pfad-Traversal-Schwachstelle auf SAP-BusinessObjects-Business-Intelligence-Plattform (Central Management Console)

Die SAP-BusinessObjects-Business-Intelligence-Plattform verwendet in ihrer CMC eine Version von Apache Struts, die von CVE-2023-50164 betroffen ist. Bei Ausnutzung durch einen Benutzer mit hohen Berechtigungen könnten die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich sein.

7. Score 5.4 (Medium priority)

Nummer: 3377979

[CVE-2024-27902] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver AS ABAP (auf SAP GUI for HTML (Web Gui) basierende Anwendungen)

Anwendungen, die auf SAP GUI for HTML in SAP NetWeaver AS ABAP basieren, behandeln benutzergesteuerte Eingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Durch einen erfolgreichen Angriff könnte ein böswilliger Angreifer Code im Browser eines Benutzers ausführen, um auf Daten zuzugreifen und diese zu manipulieren. Die Verfügbarkeit des Systems wird davon nicht beeinträchtigt.

8. Score 5.3 (Medium priority)

Nummer: 3434192

[CVE-2024-28163] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Process Integration (Support Web Pages)

Unter spezifischen Umständen erlaubt es Support Web Pages von SAP NetWeaver Process Integration (PI) einem Angreifer, auf normalerweise eingeschränkte Informationen zuzugreifen. Dies hätte geringe Auswirkungen auf die Vertraulichkeit, ohne die Integrität und Verfügbarkeit der Anwendung zu beeinträchtigen.

9. Score 5.3 (Medium priority)

Nummer: 3425682

[CVE-2024-25644] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver (WSRM)

Unter bestimmten Voraussetzungen gestattet SAP NetWeaver Application Server WSRM einem Angreifer den Zugriff auf normalerweise eingeschränkte Informationen. Dies hat minimale Auswirkungen auf die Vertraulichkeit der Anwendung und keine Auswirkungen auf ihre Integrität und Verfügbarkeit.

10. Score 5.3 (Medium priority)

Nummer: 3428847

[CVE-2024-25645] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver (Enterprise Portal)

Unter spezifischen Umständen gestattet SAP NetWeaver Enterprise Portal einem Angreifer den Zugriff auf normalerweise eingeschränkte Informationen. Dies hat geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung, jedoch keine Auswirkungen auf ihre Integrität und Verfügbarkeit.

11. Score 4.6 (Medium priority)

Nummer: 3417399

[CVE-2024-22133] Ungeeignete Zugriffskontrolle in SAP-Fiori-Frontend-Server

Der SAP-Fiori-Frontend-Server gestattet die Änderung von Details des Genehmigenden im schreibgeschützten Feld während des Versendens von Abwesenheitsantragsinformationen. Diese Änderung könnte dazu führen, dass ein Antrag mit einem falschen Genehmigenden erstellt wird. Dies hätte geringfügige Auswirkungen auf die Vertraulichkeit und Integrität, jedoch keine Auswirkungen auf die Verfügbarkeit der Anwendung.

12. Score 4.3 (Medium priority)

Nummer: 3419022

[CVE-2024-27900] Fehlende Berechtigungsprüfung in der SAP-ABAP-Plattform

Durch das Fehlen einer Berechtigungsprüfung besteht die Möglichkeit für einen Angreifer mit einem Anwendungsbenutzerkonto, die Datenschutzeinstellung von Jobvorlagen von „Freigegeben“ auf „Privat“ zu ändern. Dadurch wäre die ausgewählte Vorlage nur für den Eigentümer zugänglich.

12. März 202412. März 2024

Sicherheitsaspekte in der KI-gestützten SAP-Zukunft

Bildnachweis: Firefly.com

Mensch und Maschine im Team - Die Zukunft der SAP Security mit KI

Die zunehmende Bedeutung generativer KI für die Geschäftswelt ist unübersehbar. In der Tat, KI ist wie ein wildes Pony – voller Potenzial, aber gleichzeitig auch etwas unberechenbar. Was bedeutet das nun für die SAP Security? Nun, es wird… spannend!

KI TRiSM: Ja, der Name klingt etwas sperrig, aber dahinter verbirgt sich ein wichtiger Schritt: Vertrauenswürdige KI. Denn KI-Anwendungen sollten nicht nur clever sein, sondern auch ethisch handeln und unsere Daten schützen. Sonst wird’s schnell haarig!

Um die Sicherheit von KI-Anwendungen zu gewährleisten, müssen wir:

Zugriffskontrollen implementieren, um sicherzustellen, dass nur berechtigte Personen Zugriff auf KI-Modelle und -daten haben.
Datensicherheit durch Verschlüsselung, Pseudonymisierung und Anonymisierung sensibler Daten gewährleisten.
Protokollierung und Monitoring aller Aktivitäten im Zusammenhang mit KI-Modellen und -daten durchführen, um verdächtige Aktivitäten zu erkennen.
Mitarbeiter schulen und sensibilisieren für die Risiken von KI und die Bedeutung von Sicherheit.

Chip-Engpässe: Weniger Chips, mehr Fokus auf ROI – das klingt nach einer harten Zeit für KI-Projekte. Aber keine Angst, liebe Community! Die Security-Profis unter uns werden dafür sorgen, dass die Investitionen in KI auch wirklich sinnvoll sind. Stichwort: Risikomanagement mit Köpfchen!

KI-gestützte Kundenerlebnisse: Coole Chatbots und virtuelle Assistenten – alles super spannend! Aber wir müssen auch aufpassen, dass unsere sensiblen Kundendaten nicht in die falschen Hände geraten. Also, liebe Unternehmen: Sicherheit first!

Um die Sicherheit von KI-gestützten Kundenerlebnissen zu gewährleisten, müssen wir:

Mitarbeitererlebnis: KI verändert die Arbeitswelt – und zwar gewaltig! Neue Tools, neue Aufgaben, neue Herausforderungen. Da ist es wichtig, dass unsere Mitarbeiter fit in Sachen Sicherheit sind. Schulungen und Awareness sind das A und O!

Um die Sicherheit im Mitarbeitererlebnis mit KI zu gewährleisten, müssen wir:

Mitarbeiter regelmäßig schulen im Bereich der SAP Security und der damit verbundenen Risiken.
Awareness-Kampagnen durchführen, um die Mitarbeiter für die Bedeutung von Sicherheit zu sensibilisieren.
Awareness-Kampagnen durchführen, um die Mitarbeiter für die Bedeutung von Sicherheit zu sensibilisieren.

12. März 202412. März 2024

SAP-Sicherheit und Krisenmanagement

Bildnachweis: Firefly.com

Cyberangriffe auf SAP Systeme – Was tun, wenn das SAP-System gehackt wurde?

In einer digitalisierten Welt sind Cyberangriffe eine allgegenwärtige Gefahr. Besonders sensible Systeme wie SAP stehen im Fokus von Hackern, da sie oft sensible Unternehmensdaten enthalten. Aber was tun, wenn das Unvermeidliche eintritt und Ihr SAP-System gehackt wird? Zunächst ist es wichtig zu verstehen, dass präventive Maßnahmen entscheidend sind, um die Sicherheit zu gewährleisten. Aber selbst mit den besten Sicherheitsvorkehrungen besteht immer noch das Risiko eines Angriffs.

Hier sind einige Schritte, die Sie unternehmen können, wenn Ihr SAP-System gehackt wurde:

Ruhe bewahren: Ein Hackerangriff kann beängstigend sein, aber es ist wichtig, ruhig zu bleiben und einen klaren Kopf zu bewahren.

Sofortmaßnahmen ergreifen: Schalten Sie das betroffene System sofort aus, um weitere Schäden zu verhindern. Informieren Sie Ihr IT-Sicherheitsteam oder externe Experten, um den Vorfall zu untersuchen und das Ausmaß des Angriffs festzustellen.

Rückverfolgung und Sicherung: Versuchen Sie, die Ursache des Angriffs zu identifizieren und alle relevanten Daten zu sichern. Dies kann helfen, den Angriff zu verstehen und Maßnahmen zu ergreifen, um zukünftige Angriffe zu verhindern.

Kommunikation: Informieren Sie interne Stakeholder über den Vorfall und kommunizieren Sie transparent über die getroffenen Maßnahmen und den aktuellen Stand der Situation.

Wiederherstellung: Arbeiten Sie mit Ihrem IT-Team zusammen, um das betroffene System zu bereinigen und wiederherzustellen. Überprüfen Sie alle Sicherheitslücken und implementieren Sie zusätzliche Sicherheitsmaßnahmen, um zukünftige Angriffe zu verhindern. Nachbereitung und

Lernen: Führen Sie eine Nachbereitung des Vorfalls durch, um zu verstehen, wie der Angriff stattfinden konnte und welche Lehren daraus gezogen werden können. Passen Sie Ihre Sicherheitsstrategie entsprechend an, um zukünftige Angriffe zu verhindern. Ein Hackerangriff auf Ihr SAP-System kann schwerwiegende Folgen haben, aber mit den richtigen Maßnahmen können Sie die Auswirkungen minimieren und Ihr Unternehmen schützen: -Implementieren Sie strenge Passwortrichtlinien und erzwingen Sie deren Einhaltung.

Verwenden Sie das 4-Augen-Prinzip für sensible Prozesse.
Überwachen Sie Ihr System aktiv auf verdächtige Aktivitäten.
Führen Sie regelmäßig Sicherheitschecks durch.
Erstellen Sie ein Notfallplan für den Fall eines Angriffs.
Die Sicherheit Ihrer SAP-Systeme ist ein wichtiges Thema, das nicht vernachlässigt werden darf.

Indem Sie die oben genannten Maßnahmen ergreifen, können Sie das Risiko eines erfolgreichen Angriffs deutlich reduzieren. Einige konkrete Beispiele für Maßnahmen zur Verbesserung der Sicherheit Ihrer SAP-Systeme sind:

Passwortrichtlinien: Verwenden Sie komplexe Passwörter, ändern Sie sie regelmäßig und verwenden Sie keine Passwörter, die für andere Websites oder Anwendungen verwendet werden.

4-Augen-Prinzip: Stellen Sie sicher, dass sensible Prozesse von zwei Personen genehmigt werden müssen und vergeben Sie Berechtigungen nur nach dem Need-to-Know-Prinzip.

Systemüberwachung: Verwenden Sie ein Systemüberwachungstool, um verdächtige Aktivitäten zu erkennen, und konfigurieren Sie das System so, dass es Sie bei verdächtigen Aktivitäten benachrichtigt.

Sicherheitschecks: Führen Sie regelmäßig Sicherheitschecks durch, um Schwachstellen zu identifizieren und beheben Sie diese umgehend.

Notfallplan: Erstellen Sie einen Notfallplan für den Fall eines Angriffs, der Schritte zur Identifizierung und Eindämmung des Angriffs, zur Wiederherstellung der Systeme und Daten sowie zur Kommunikation mit den Betroffenen enthält.

In den meisten Fällen ist es ratsam, bei einem Hackerangriff auf ein SAP-System externe Experten hinzuzuziehen. Diese verfügen über die Erfahrung und das Know-how, um den Vorfall schnell und effektiv zu untersuchen und die richtigen Maßnahmen zu ergreifen. Externe Experten können bei folgenden Aufgaben helfen:

Untersuchung des Angriffs: Sie können die Ursache des Angriffs identifizieren und den Schaden feststellen.

Sicherung von Beweisen: Sie können forensische Untersuchungen durchführen und alle relevanten Beweise sichern.

Entwicklung eines Wiederherstellungsplans: Sie können einen Plan erstellen, um das betroffene System wiederherzustellen und die Sicherheit zu verbessern.

Kommunikation mit Behörden: Sie können bei der Kommunikation mit Behörden und Strafverfolgungsbehörden unterstützen.

Die Kosten für die Hinzuziehung externer Experten können hoch sein, aber die Investition lohnt sich in der Regel. Die Experten können helfen, den Schaden zu minimieren und die Sicherheit Ihres Unternehmens zu verbessern.

29. Februar 202429. Februar 2024

Digitalisierung und Innovation

Mobilität trifft Effizienz: SAP Mobile-Lösungen für die Zukunft der Unternehmensperformance

SAP Mobile bezieht sich auf eine Reihe von Lösungen und Anwendungen, die von SAP entwickelt wurden, um die Mobilität in Unternehmen zu fördern. Diese Lösungen ermöglichen es Unternehmen, ihre Geschäftsprozesse auf mobile Geräte wie Smartphones und Tablets zu erweitern, um mehr Flexibilität, Effizienz und Benutzerfreundlichkeit zu erreichen. Hier sind einige wichtige Aspekte von SAP Mobile:

SAP Fiori Mobile Apps:
SAP Fiori ist eine Designrichtlinie und eine Sammlung von Anwendungen, die das Benutzererlebnis für SAP-Anwendungen verbessern sollen. Fiori Mobile Apps sind speziell für die Nutzung auf mobilen Geräten optimiert und bieten eine intuitive Benutzeroberfläche.

SAP Mobile Platform:
Die SAP Mobile Platform ist eine Entwicklungs- und Betriebsplattform, die es Unternehmen ermöglicht, mobile Anwendungen zu erstellen und zu verwalten. Sie unterstützt verschiedene Betriebssysteme wie iOS, Android und Windows.

SAP Mobile Services:
SAP Mobile Services ist eine cloudbasierte Lösung von SAP, die Dienste für die Verwaltung, Überwachung und Analyse von mobilen Anwendungen bietet. Sie unterstützt Unternehmen bei der Verwaltung von Benutzeridentitäten, Push-Benachrichtigungen, Authentifizierung und mehr.

SAP Mobile Cards:
SAP Mobile Cards sind Kartenbasierte Mini-Apps, die auf mobilen Geräten laufen. Sie ermöglichen es Benutzern, personalisierte, interaktive Dashboards und Benachrichtigungen auf ihren Mobilgeräten zu erhalten.

SAP Mobile Documents:
SAP Mobile Documents ist eine Lösung, die den sicheren Zugriff auf geschäftliche Dokumente von mobilen Geräten aus ermöglicht. Dies fördert die Zusammenarbeit und den schnellen Zugriff auf wichtige Informationen, unabhängig vom Standort.

SAP Mobile Analytics:
SAP Mobile Analytics ermöglicht es Unternehmen, geschäftskritische Analysen und Berichte auf mobilen Geräten bereitzustellen. Dies unterstützt Führungskräfte und Mitarbeiter dabei, fundierte Entscheidungen auch unterwegs zu treffen.

SAP Mobile Platform SDK:
Das Software Development Kit (SDK) von SAP Mobile Platform ermöglicht Entwicklern die Erstellung benutzerdefinierter mobiler Anwendungen. Es bietet Tools und Funktionen, um die Entwicklung von maßgeschneiderten mobilen Lösungen zu erleichtern.

Durch die Nutzung von SAP Mobile-Lösungen können Unternehmen ihre Mitarbeiter mit den erforderlichen Ressourcen ausstatten, unabhängig davon, wo sie sich befinden. Dies unterstützt die Modernisierung von Geschäftsprozessen und trägt dazu bei, die Effizienz und Produktivität zu steigern.

Welche Auswirkungen hat SAP Mobile auf die SAP Security und was ist zu beachten?

Die Einführung von SAP Mobile-Lösungen hat einige Auswirkungen auf die SAP Security, da mobile Anwendungen zusätzliche Angriffsvektoren und Sicherheitsrisiken mit sich bringen. Hier sind einige wichtige Aspekte, die bei der Sicherung von SAP Mobile-Lösungen zu beachten sind:

Mobile Geräteverwaltung (MDM):
Ein zentrales Element der SAP Security im mobilen Kontext ist die Verwaltung der mobilen Geräte selbst. Mobile Device Management (MDM)-Lösungen sind entscheidend, um den Zugriff auf Unternehmensdaten von mobilen Geräten zu steuern, Geräte zu überwachen, und bei Bedarf Remote-Wipe-Funktionen bereitzustellen.

Sicherer Datentransfer:
Der sichere Transfer von Daten zwischen mobilen Geräten und SAP-Systemen ist von entscheidender Bedeutung. Die Verwendung von verschlüsselten Verbindungen, beispielsweise durch HTTPS, ist ein grundlegendes Sicherheitsprinzip, um die Integrität und Vertraulichkeit von Daten sicherzustellen.

Authentifizierung und Autorisierung:
Starke Authentifizierung und präzise Autorisierung sind wesentliche Bestandteile der SAP Security für mobile Anwendungen. Die Integration sicherer Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) und die genaue Zuweisung von Berechtigungen sind unerlässlich.

Mobile App-Sicherheit:
Die Sicherheit von mobilen Apps selbst ist entscheidend. Entwickler sollten bewährte Sicherheitspraktiken wie sichere Codierung, sichere Datenlagerung und Verschlüsselung anwenden. Regelmäßige Sicherheitsprüfungen und Audits für mobile Anwendungen sind ratsam.

Sichere Speicherung von Zugangsdaten:
Mobile Geräte können gestohlen oder verloren gehen. Daher ist es wichtig, Zugangsdaten sicher auf mobilen Geräten zu speichern. Der Einsatz von sicheren Speichermechanismen wie dem Secure Store auf mobilen Geräten ist eine bewährte Sicherheitspraxis.

Sicherheitsrichtlinien und Schulungen:
Die Einführung von klaren Sicherheitsrichtlinien für die Nutzung von SAP Mobile-Lösungen ist entscheidend. Schulungen für Benutzer und Administratoren sind ebenfalls notwendig, um sicherzustellen, dass alle Beteiligten bewusst sicherheitsrelevanter Praktiken sind.

Sicherheit bei Verlust oder Diebstahl:
Im Falle eines verlorenen oder gestohlenen Geräts sollten Mechanismen wie Remote-Wipe aktiviert werden, um sensible Daten auf dem Gerät zu löschen und zu verhindern, dass sie in die falschen Hände geraten.

Mobile App-Updates:
Regelmäßige Aktualisierungen und Patching von mobilen Apps sind wichtig, um Sicherheitslücken zu schließen und die neuesten Sicherheitsfunktionen zu implementieren.

Durch eine umfassende Berücksichtigung dieser Sicherheitsaspekte können Unternehmen die Risiken im Zusammenhang mit der Einführung von SAP Mobile-Lösungen minimieren und gleichzeitig die Mobilität ihrer Arbeitsabläufe optimieren.

Auf einen Blick

VERSCHLÜSSELUNG VON DATEN: Alle sensiblen Daten, die über mobile SAP-Anwendungen übertragen werden, sollten verschlüsselt sein. Dies gilt sowohl für Daten im Ruhezustand als auch für Daten während der Übertragung. Die Implementierung von Ende-zu-Ende-Verschlüsselung schützt Daten vor unbefugtem Zugriff, selbst wenn das Gerät verloren geht oder gestohlen wird
AUTHENTIFIZIERUNG UND ZUGRIFFSKONTROLLE: Stellen Sie sicher, dass strenge Authentifizierungsmechanismen implementiert sind, um sicherzustellen, dass nur autorisierte Benutzer auf die SAP-Systeme und -Daten zugreifen können. Die Verwendung von starken Passwörtern, Biometrie oder Zwei-Faktor-Authentifizierung kann dabei helfen, die Sicherheit zu erhöhen. Darüber hinaus sollte der Zugriff basierend auf den Rollen und Berechtigungen der Benutzer streng kontrolliert werden.
MOBILE GERÄTEVERWALTUNG: Implementieren Sie eine MDM-Lösung, um mobile Geräte zu verwalten und sicherzustellen, dass sie den Sicherheitsrichtlinien des Unternehmens entsprechen. MDM ermöglicht die Remote-Verwaltung von Geräten, einschließlich der Möglichkeit, verlorene oder gestohlene Geräte zu sperren oder zu löschen, sowie die Durchsetzung von Sicherheitsrichtlinien wie Passwortrichtlinien und Verschlüsselung.
SICHERHEITSBEWUSSTSEIN DER BENUTZER: Schulen Sie die Benutzer über bewährte Sicherheitspraktiken im Umgang mit mobilen SAP-Anwendungen. Dies umfasst das Bewusstsein für Phishing-Angriffe, die Vermeidung von unsicheren WLAN-Netzwerken, die regelmäßige Aktualisierung von Anwendungen und Betriebssystemen sowie die Meldung von verdächtigem Verhalten oder verlorenen Geräten an die IT-Abteilung.

13. Februar 202412. März 2024

Aktuelle Patches

SAP NEWS: Patchday Februar 2024

Bildnachweis: Firefly.com

Hier findet ihr eine Übersicht der SAP Security Notes für Februar 2024:

1. Score 10 (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Ab SAP Business Client 6.5 PL5 können Sie das Browser-Control Chromium verwenden, um HTML-Content anzuzeigen. Sicherheitskorrekturen dafür werden über SAP-Business-Client-Patches bereitgestellt. Bei veralteten SAP-Business-Client-Releases können verschiedene Schwachstellen auftreten, darunter Speicherschäden und Offenlegung von Informationen. Dies kann die Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen. Beachten Sie auch die Aussagen des Chrome-Sicherheitsdiensts zur Offenlegung von Schwachstellen. Wenn Sie ein anderes Browser-Control verwenden, lesen Sie den Sicherheitsleitfaden in der Dokumentation für SAP Business Client. CVSS-3.0-Scores entsprechen den NVD-Werten zum Zeitpunkt der Freigabe des entsprechenden SAP-Business-Client-Patches.

2. Score 9.1 (Hot News)

Nummer: 3420923

[CVE-2024-22131] Code-Injection-Schwachstelle in SAP ABA (Anwendungsbasis)

Ein Angreifer mit Remote-Ausführungsberechtigung kann über eine anfällige Schnittstelle eine Anwendungsfunktion aufrufen, um unautorisierte Aktionen auszuführen. Dadurch können Daten von Benutzern oder Unternehmen gelesen oder geändert werden, und das System kann möglicherweise unzugänglich gemacht werden.

3. Score 8.8 (High priority)

Nummer: 3417627

[CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)

Die Benutzerverwaltungsanwendung von SAP NetWeaver AS for Java validiert und kodiert die eingehenden URL-Parameter nicht ausreichend, bevor sie in die Umleitungs-URL eingefügt werden. Dadurch entsteht eine Cross-Site-Scripting-Schwachstelle (XSS), die die Vertraulichkeit beeinträchtigt und leichte Auswirkungen auf die Integrität und Verfügbarkeit hat.

4. Score 8.6 (High priority)

Nummer: 3426111

[CVE-2024-24743] XXE-Schwachstelle in SAP NetWeaver AS Java (Guided Procedures)

Ein nicht authentifizierter Angreifer kann über das Netzwerk eine schädliche Anfrage mit einer erstellten XML-Datei an SAP NetWeaver AS Java (CAF – Guided Procedures) senden. Diese Anfrage ermöglicht es dem Angreifer, beim Parsen sensible Dateien und Daten einzusehen, ohne jedoch Änderungen daran vorzunehmen. Es gibt Einschränkungen bei der Erweiterung, um sicherzustellen, dass die Verfügbarkeit nicht beeinträchtigt wird.

5. Score 7.6 (High priority)

Nummer: 3410875

[CVE-2024-22130] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)

Die Druckvorschau-Option im SAP-CRM-WebClient-UI kodiert benutzergesteuerte Eingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Ein Angreifer mit begrenzten Rechten kann durch erfolgreiche Ausnutzung dieser Schwachstelle die Vertraulichkeit und Integrität der Anwendungsdaten in gewissem Maße beeinträchtigen.

6. Score 7.4 (High priority)

Nummer: 3421659

[CVE-2024-22132] Code-Injection-Schwachstelle in SAP-IDES-Systemen

SAP-IDES-ECC-Systeme enthalten Code, der es einem Benutzer ermöglicht, beliebigen Programmcode auszuführen. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer das Systemverhalten steuern, indem er schädlichen Code ausführt. Dieser Code kann möglicherweise Berechtigungen erlangen, die geringfügige Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben.

7. Score 7.4 (High priority)

Nummer: 3424610

[CVE-2024-25642] Falsche Zertifikatsvalidierung in SAP Cloud Connector

Aufgrund unzureichender Validierung des Zertifikats im SAP Cloud Connector besteht die Möglichkeit, dass ein Angreifer echte Server impersonieren kann, um mit SCC zu interagieren. Dadurch wird die gegenseitige Authentifizierung unterbrochen, was es dem Angreifer ermöglicht, Anfragen zum Anzeigen/Ändern sensibler Informationen abzufangen. Die Verfügbarkeit des Systems wird jedoch nicht beeinträchtigt.

8. Score 7.3 (High priority)

Nummer: 3385711

[CVE-2023-49580] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP

UPDATE 13. Februar 2024: Dieser SAP-Sicherheitshinweis wurde mit einem aktualisierten Titel, Symptomabschnitt und Informationen zur Ursache und Voraussetzungen erneut veröffentlicht, um genauere Einblicke in die Schwachstelle zu liefern.

In SAP NetWeaver Application Server ABAP kann ein nicht authentifizierter Angreifer über eine Sicherheitslücke auf beschränkte und vertrauliche Informationen zugreifen. Diese Schwachstelle ermöglicht es dem Angreifer auch, Layoutkonfigurationen des ABAP List Viewers zu manipulieren, was die Integrität und Verfügbarkeit des Systems beeinträchtigen kann.

9. Score 6.3 (Medium priority)

Nummer: 2637727

[CVE-2024-24739] Fehlende Berechtigungsprüfung in SAP Bank Account Management

SAP Bank Account Management (BAM) ermöglicht einem authentifizierten Benutzer mit begrenztem Zugriff die Nutzung bestimmter Funktionen, was zu einer geringfügigen Ausweitung der Rechte führen kann, die die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung beeinträchtigen könnte.

10. Score 5.4 (Medium priority)

Nummer: 3404025

[CVE-2024-22129] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Companion

SAP Companion enthält eine URL mit einem anfälligen Parameter, der XSS-Angriffen ausgesetzt sein könnte. Ein Angreifer könnte einen schädlichen Link an einen Benutzer senden, was dazu führen könnte, dass sensible Informationen abgerufen werden und geringfügige Auswirkungen auf die Integrität der Webanwendung entstehen könnten.

11. Score 5.3 (Medium priority)

Nummer: 3360827

[CVE-2024-24740] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP (SAP-Kernel)

SAP NetWeaver Application Server (ABAP) kann es einem Angreifer unter bestimmten Bedingungen ermöglichen, auf normalerweise eingeschränkte Informationen zuzugreifen, was geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung hat, jedoch keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

12. Score 4.7 (Medium priority)

Nummer: 3396109

[CVE-2024-22128] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Business Client for HTML

SAP NetWeaver Business Client for HTML überprüft benutzergesteuerte Eingaben unzureichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Ein nicht authentifizierter Benutzer kann schädliches JavaScript einschleusen und dadurch die Vertraulichkeit und Integrität der Anwendungsdaten bis zu einem gewissen Grad beeinträchtigen.

13. Score 4.3 (Medium priority)

Nummer: 2897391

[CVE-2024-24741] Fehlende Berechtigungsprüfung in SAP Master Data Governance für Material

SAP Master Data Governance für Materialdaten führt für einen authentifizierten Benutzer keine ausreichende Berechtigungsprüfung durch, was zu einer Rechteausweitung führt. Dies könnte es einem Angreifer ermöglichen, sensible Informationen zu lesen, jedoch hätte dies keine Auswirkungen auf die Integrität und Verfügbarkeit.

14. Score 4.3 (Medium priority)

Nummer: 3237638

[CVE-2024-25643] Fehlende Berechtigungsprüfung in SAP Fiori App (Meine Mehrarbeitsanträge)

Die SAP Fiori App „Meine Mehrarbeitsanträge“ führt für einen authentifizierten Benutzer keine angemessenen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führen kann. Durch die Manipulation der URLs der Datenanfragen ist es möglich, auf Informationen zuzugreifen, auf die der Benutzer keinen Zugriff haben sollte. Diese Schwachstelle hat keine Auswirkungen auf Integrität und Verfügbarkeit.

15. Score 4.1 (Medium priority)

Nummer: 3158455

[CVE-2024-24742] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)

Im SAP-CRM-WebClient-UI erfolgt eine unzureichende Kodierung von benutzergesteuerten Eingaben, was zu einer Cross-Site-Scripting-Schwachstelle führt. Ein Angreifer mit geringen Rechten kann nach erfolgreicher Ausnutzung die Integrität der Anwendungsdaten bis zu einem gewissen Grad beeinträchtigen. Diese Schwachstelle hat keine Auswirkungen auf Vertraulichkeit und Verfügbarkeit.

31. Januar 202431. Januar 2024

SAP Security Trends

SAP BTP und Cloud-Sicherheit: Ein Leitfaden für Unternehmen

SAP BTP, die SAP Business Technology Platform, ist eine Cloud-Plattform, die Unternehmen dabei hilft, ihre SAP-Anwendungen zu entwickeln, bereitzustellen und zu verwalten. Sie bietet eine Reihe von Tools und Services für verschiedene Geschäftsanforderungen, darunter die Anwendungsentwicklung, Datenanalyse und Integration.

Trend: Cloud-native Anwendungen und Services

Ein neuer Trend im Bezug auf SAP BTP ist die zunehmende Nutzung von Cloud-nativen Anwendungen und Services. Dies bedeutet, dass Unternehmen ihre SAP-Anwendungen zunehmend in der Cloud entwickeln, bereitstellen und verwalten.

Auswirkungen auf die Sicherheit

Dieser Trend hat auch Auswirkungen auf die SAP Security. Cloud-native Anwendungen und Services stellen neue Herausforderungen an die Sicherheit dar. Unternehmen müssen daher ihre Sicherheitsmaßnahmen entsprechend anpassen.

Wichtige Sicherheitsaspekte

Identitäts- und Zugriffsmanagement (IAM): Unternehmen müssen sicherstellen, dass nur autorisierte Benutzer Zugriff auf ihre SAP-Anwendungen und Daten haben.
Datensicherheit: Unternehmen müssen ihre SAP-Daten vor unbefugtem
SAP Identity Provisioning and Access Management (IAM): Diese Lösung ermöglicht es Unternehmen, ihre Benutzer und ihre Zugriffsrechte zu verwalten.

SAP-Lösungen für die Sicherheit

SAP bietet eine Reihe von Sicherheitsfunktionen und -services, die Unternehmen bei der Bewältigung dieser Herausforderungen unterstützen können. Dazu gehören:

Fazit:

Unternehmen sollten ihre SAP Security-Strategie an die neuen Herausforderungen im Kontext von SAP BTP anpassen. Dazu sollten sie folgende Schritte unternehmen:

Durch die Umsetzung dieser Schritte können Unternehmen ihre SAP-Anwendungen und -Daten in der Cloud sicher schützen.

Hier finden Sie detaillierte SAP BTP Security Recommendations zu den Komponenten Malware Scanning, Cloud Logging, Identity Authentication, SAP Build Work Zone, SAP Cloud Portal service, SAP Destination service, Authorization and Trust Management Service, Custom Domain Service, SAP HANA Database, etc.

25. Januar 202425. Januar 2024

Cybercrime

Pishing Angriffe: So schützen Sie Ihre SAP-Systeme

Phishing ist eine der häufigsten Formen von Cyberangriffen. Dabei versuchen Angreifer, Nutzer dazu zu bringen, ihre Zugangsdaten oder andere sensible Informationen preiszugeben. Phishing-Angriffe können auch auf SAP-Systeme abzielen.

Hier sind einige Tipps, wie Sie Ihre SAP-Systeme vor Phishing-Angriffen schützen können:

Seien Sie skeptisch gegenüber E-Mails, die Sie nicht erwarten. Wenn Sie eine E-Mail erhalten, die Sie nicht erwartet haben, öffnen Sie sie nicht sofort. Überprüfen Sie zunächst den Absender und den Inhalt der E-Mail.
Achten Sie auf Rechtschreibfehler und Grammatikfehler. Dies könnten Alarm Signale sein.
Klicken Sie nicht auf Links in E-Mails. Wenn Sie einen Link in einer E-Mail öffnen möchten, öffnen Sie ihn direkt in Ihrem Browser. Klicken Sie nicht auf Links in E-Mails, die Sie in eine andere Anwendung umleiten.
Aktivieren Sie Multi-Faktor-Authentifizierung (MFA). MFA ist eine zusätzliche Sicherheitsebene, die Sie vor Phishing-Angriffen schützen kann. Wenn Sie MFA aktivieren, müssen Sie neben Ihrem Benutzernamen und Passwort auch einen Code eingeben, der Ihnen per SMS oder E-Mail zugeschickt wird.

Weitere Tipps von SAP:

Installieren Sie die neuesten SAP-Sicherheitspatches. SAP veröffentlicht regelmäßig Sicherheitspatches, die Sicherheitslücken in SAP-Systemen schließen.
Installieren Sie diese Patches so schnell wie möglich, um Ihre Systeme vor neuen Bedrohungen zu schützen. Dies hat eine besonders hohe Relevanz, da es in Vergangenheit diverse Patches veröffentlicht wurden, die potentielle Pishing Angriffs Vektioren in SAP Web Komponenten geschlossen haben.
Bilden Sie Ihre Mitarbeiter in SAP-Security-Themen aus. Mitarbeiter sind oft die Schwachstelle in der IT-Sicherheit. Durch Schulungen können Sie Ihre Mitarbeiter für die Gefahren von Phishing-Angriffen sensibilisieren und ihnen zeigen, wie sie sich davor schützen können.

Fazit:

Durch die Umsetzung dieser Tipps können Sie Ihre SAP-Systeme vor Phishing-Angriffen schützen.

16. Januar 202416. Januar 2024

Risikomanagement in der SAP-Sicherheit

Die Unverzichtbarkeit von Risikomanagement in der SAP-Sicherheit: Schlüsselprinzipien und bewährte Methoden

In der sich ständig weiterentwickelnden Landschaft der Unternehmens-IT steht das Risikomanagement im Kontext der SAP-Sicherheit an erster Stelle. Die Bedeutung eines effektiven Risikomanagements kann nicht überbetont werden, da es Unternehmen hilft, potenzielle Bedrohungen zu identifizieren, zu bewerten und angemessen darauf zu reagieren.

Warum ist Risikomanagement in der SAP-Sicherheit so wichtig?

Ein effektives Risikomanagement ist der Schlüssel zur Bewältigung der komplexen Bedrohungslandschaft in SAP-Systemen. Es ermöglicht Unternehmen nicht nur, potenzielle Risiken frühzeitig zu erkennen, sondern auch, proaktiv Maßnahmen zu ergreifen, um diese Risiken zu minimieren oder zu beseitigen. Dies ist besonders wichtig in der SAP-Welt, wo große Mengen sensibler Unternehmensdaten verarbeitet werden.

Schlüsselprinzipien des Risikomanagements in der SAP-Sicherheit:

Identifikation von Risiken: Eine gründliche Analyse der SAP-Umgebung, einschließlich Systemarchitektur und Datenfluss, ist entscheidend, um potenzielle Schwachstellen und Bedrohungen zu erkennen.

Bewertung und Klassifizierung: Risiken müssen nicht nur identifiziert, sondern auch bewertet und entsprechend ihrer Bedrohlichkeit klassifiziert werden, um Prioritäten für Gegenmaßnahmen festzulegen.

Implementierung von Kontrollen: Die Umsetzung wirksamer Kontrollen, sei es durch Berechtigungsmanagement, Zugriffskontrollen oder Verschlüsselung, ist von entscheidender Bedeutung, um Risiken zu mindern.

Überwachung und Kontinuierliche Verbesserung: Ein fortlaufender Überwachungsprozess gewährleistet, dass die implementierten Kontrollen wirksam sind. Kontinuierliche Verbesserungen basierend auf den gewonnenen Erkenntnissen sind entscheidend für die Anpassung an sich verändernde Bedrohungen.

Bewährte Methoden im Risikomanagement für SAP:

Risikobasiertes Berechtigungsmanagement: Identifikation und Überprüfung von Berechtigungen basierend auf potenziellen Risiken.

Regelmäßige Sicherheitsaudits: Durchführung von regelmäßigen Sicherheitsaudits, um die Einhaltung von Sicherheitsrichtlinien zu gewährleisten und potenzielle Risiken zu erkennen.

Sensibilisierung und Schulungen: Mitarbeiterschulungen, um das Bewusstsein für Sicherheitsrisiken zu schärfen und eine sicherheitsbewusste Kultur zu fördern.

Integration von Threat Intelligence: Einbindung von Threat-Intelligence-Daten, um frühzeitig auf aktuelle Bedrohungen reagieren zu können.

Fazit: Risikomanagement als Eckpfeiler der SAP-Sicherheit

In einer Zeit, in der Cyberbedrohungen zunehmen, ist ein effektives Risikomanagement unerlässlich für den Schutz von SAP-Systemen. Die Anwendung der genannten Schlüsselprinzipien und bewährten Methoden ermöglicht es Unternehmen, die Herausforderungen der SAP-Sicherheit zu bewältigen und eine robuste Verteidigung gegenüber den sich ständig weiterentwickelnden Bedrohungen aufzubauen. Der Fokus auf Risikomanagement ist nicht nur eine Sicherheitsmaßnahme, sondern eine strategische Investition in die Widerstandsfähigkeit von Unternehmen gegenüber potenziellen Risiken.

9. Januar 20249. Januar 2024

Aktuelle Patches

SAP NEWS: Patchday Januar 2024

Hier findet ihr eine Übersicht der SAP Security Notes für Januar 2024:

1. Score 9.1 (Hot News)

Nummer: 3413475

[Mehrere CVEs] Rechteausweitung in SAP Edge Integration Cell

Unter bestimmten Voraussetzungen kann SAP Edge Integration Cell durch Schwachstellen (CVE-2023-49583 und CVE-2023-50422) Sicherheitslücken aufweisen. Ein nicht authentifizierter Angreifer könnte dadurch uneingeschränkte Zugriffsrechte in der Anwendung erlangen.

2. Score 9.1 (Hot News)

Nummer: 3412456

[CVE-2023-49583] Eskalation von Berechtigungen in Anwendungen, die mit SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA entwickelt wurden

SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE für SAP HANA:

In bestimmten Situationen können node.js-Anwendungen, die über die genannten Entwicklungsumgebungen erstellt wurden und für das Deployment in SAP BTP- oder Cloud-Foundry-Umgebungen vorgesehen sind, aufgrund von CVE-2023-49583

3. Score 8.4 (High priority)

Nummer: 3411869

[CVE-2024-21737] Code-Injection-Schwachstelle in SAP Application Interface Framework (Datei-Adapter)

Im Datei-Adapter des SAP Application Interface Framework kann ein Nutzer mit erhöhten Berechtigungen einen Funktionsbaustein verwenden, um verschiedene Ebenen zu durchlaufen und Betriebssystembefehle direkt auszuführen. Dies ermöglicht es einem solchen Benutzer, das Verhalten der Anwendung zu steuern. Diese Sicherheitslücke hat erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

4. Score 7.5 (High priority)

Nummer: 3389917

[CVE-2023-44487] Denial-of-Service (DOS) in SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und ABAP-Plattform

SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und die ABAP-Plattform erlauben einem nicht authentifizierten Benutzer durch viele HTTP/2-Anfragen eine Netzwerk-DoS-Attacke. Diese Anfragen können später abgebrochen werden, was zu einer Überlastung des Speichers führt und die Anwendungsverfügbarkeit erheblich beeinträchtigen kann. Die Vertraulichkeit oder Integrität der Anwendung bleibt dabei unberührt.

5. Score 7.4 (High priority)

Nummer: 3386378

[CVE-2024-22125] Schwachstelle mit Blick auf Offenlegung von Informationen in Microsoft-Edge-Browsererweiterung (SAP GUI Connector für Microsoft Edge)

Unter bestimmten Umständen kann die Microsoft Edge Browser-Erweiterung (SAP GUI Connector für Microsoft Edge) einem Angreifer den Zugriff auf hochsensible Informationen ermöglichen, die normalerweise beschränkt wären. Dies stellt eine erhebliche Gefahr für die Vertraulichkeit dar.

6. Score 7.3 (High priority)

Nummer: 3407617

[CVE-2024-21735] Falsche Berechtigungsprüfung in SAP Landscape Transformation Replication Server

Die SAP Landscape Transformation Replication Server weist eine Schwachstelle auf, da erforderliche Berechtigungsprüfungen nicht ordnungsgemäß durchgeführt werden. Dies ermöglicht einem Angreifer mit erhöhten Berechtigungen die Durchführung unbeabsichtigter Aktionen, was zu einer potenziellen Rechteausweitung führt. Diese Sicherheitslücke hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

7. Score 6.4 (Medium priority)

Nummer: 3260667

[CVE-2024-21736] Fehlende Berechtigungsprüfung in SAP S/4HANA Finance für die erweiterte Zahlungsverwaltung

Die erweiterte Zahlungsverwaltung von SAP S/4HANA Finance weist eine Sicherheitslücke auf, da die notwendigen Berechtigungsprüfungen nicht ordnungsgemäß durchgeführt werden. Dies ermöglicht einem Angreifer die Initiierung eines Funktionsimports, der es ihm ermöglicht, Inhouse-Bankkonten zu erstellen. Obwohl die Auswirkungen auf die Vertraulichkeit der Anwendung als gering eingestuft werden, stellt diese Schwachstelle dennoch ein potenzielles Risiko dar.

8. Score 5.3 (Medium priority)

Nummer: 3324732

[CVE-2023-31405] Log-Injection-Schwachstelle in SAP NetWeaver AS für Java (Log Viewer)

Update vom 9. Januar 2024: Der Hinweis wurde mit geringfügigen Textänderungen im Abschnitt „Lösung“ erneut veröffentlicht. Es sind keine Kundenaktionen erforderlich.

Update vom 10. Oktober 2023: Die im Hinweis bereitgestellte Lösung ist für ENGINEAPI 7.50 unvollständig. Um das Problem vollständig zu beheben, wenden Sie den SAP-Sicherheitshinweis 3371873 an.

SAP NetWeaver AS für Java weist eine Sicherheitslücke auf, die es einem nicht authentifizierten Angreifer ermöglicht, eine Anfrage über das Netzwerk zu erstellen. Dies kann zu unerwarteten Änderungen an einem Systemprotokoll ohne Benutzerinteraktion führen. Es sind jedoch keine Auswirkungen auf die Verfügbarkeit oder Vertraulichkeit der Anwendung zu verzeichnen.

9. Score 4.1 (Medium priority)

Nummer: 3392626

[CVE-2024-22124] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Internet Communication Manager

In bestimmten Szenarien erlauben der Internet Communication Manager (ICM) oder der SAP Web Dispatcher einem Angreifer den Zugriff auf eigentlich eingeschränkte Informationen. Dies stellt eine erhebliche Beeinträchtigung der Vertraulichkeit dar.

10. Score 4.1 (Medium priority)

Nummer: 3387737

[CVE-2024-21738] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP und ABAP-Plattform

SAP NetWeaver Application Server ABAP und die ABAP-Plattform weisen eine unzureichende Kodierung von benutzergesteuerten Eingaben auf, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann ein Angreifer mit begrenzten Rechten die Vertraulichkeit der Anwendungsdaten in gewissem Maße beeinträchtigen.

11. Score 3.7 (Low priority)

Nummer: 3190894

[CVE-2024-21734] URL-Umleitungsschwachstelle in SAP Marketing (App „Kontakte“)

Die SAP-Marketing-App „Kontakte“ weist eine Sicherheitslücke auf, die es einem Angreifer mit begrenzten Berechtigungen erlaubt, einen Benutzer dazu zu verleiten, eine schädliche Seite zu öffnen. Dies kann zu einem äußerst überzeugenden Phishing-Angriff führen, wobei die Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung als gering einzustufen sind.