SAP Security Trends

SAP BTP und Cloud-Sicherheit: Ein Leitfaden für Unternehmen

SAP BTP, die SAP Business Technology Platform, ist eine Cloud-Plattform, die Unternehmen dabei hilft, ihre SAP-Anwendungen zu entwickeln, bereitzustellen und zu verwalten. Sie bietet eine Reihe von Tools und Services für verschiedene Geschäftsanforderungen, darunter die Anwendungsentwicklung, Datenanalyse und Integration.

Trend: Cloud-native Anwendungen und Services

Ein neuer Trend im Bezug auf SAP BTP ist die zunehmende Nutzung von Cloud-nativen Anwendungen und Services. Dies bedeutet, dass Unternehmen ihre SAP-Anwendungen zunehmend in der Cloud entwickeln, bereitstellen und verwalten.

Auswirkungen auf die Sicherheit

Dieser Trend hat auch Auswirkungen auf die SAP Security. Cloud-native Anwendungen und Services stellen neue Herausforderungen an die Sicherheit dar. Unternehmen müssen daher ihre Sicherheitsmaßnahmen entsprechend anpassen.

Wichtige Sicherheitsaspekte

SAP-Lösungen für die Sicherheit

SAP bietet eine Reihe von Sicherheitsfunktionen und -services, die Unternehmen bei der Bewältigung dieser Herausforderungen unterstützen können. Dazu gehören:

Fazit:  

Unternehmen sollten ihre SAP Security-Strategie an die neuen Herausforderungen im Kontext von SAP BTP anpassen. Dazu sollten sie folgende Schritte unternehmen:

Durch die Umsetzung dieser Schritte können Unternehmen ihre SAP-Anwendungen und -Daten in der Cloud sicher schützen.

Hier finden Sie detaillierte SAP BTP Security Recommendations zu den Komponenten Malware Scanning, Cloud Logging, Identity Authentication, SAP Build Work Zone, SAP Cloud Portal service, SAP Destination service, Authorization and Trust Management Service, Custom Domain Service, SAP HANA Database, etc.

Cybercrime

Pishing Angriffe: So schützen Sie Ihre SAP-Systeme

Phishing ist eine der häufigsten Formen von Cyberangriffen. Dabei versuchen Angreifer, Nutzer dazu zu bringen, ihre Zugangsdaten oder andere sensible Informationen preiszugeben. Phishing-Angriffe können auch auf SAP-Systeme abzielen.

Hier sind einige Tipps, wie Sie Ihre SAP-Systeme vor Phishing-Angriffen schützen können:

Weitere Tipps von SAP:

Fazit:  

Durch die Umsetzung dieser Tipps können Sie Ihre SAP-Systeme vor Phishing-Angriffen schützen.

Risikomanagement in der SAP-Sicherheit

Die Unverzichtbarkeit von Risikomanagement in der SAP-Sicherheit: Schlüsselprinzipien und bewährte Methoden

In der sich ständig weiterentwickelnden Landschaft der Unternehmens-IT steht das Risikomanagement im Kontext der SAP-Sicherheit an erster Stelle. Die Bedeutung eines effektiven Risikomanagements kann nicht überbetont werden, da es Unternehmen hilft, potenzielle Bedrohungen zu identifizieren, zu bewerten und angemessen darauf zu reagieren.

Warum ist Risikomanagement in der SAP-Sicherheit so wichtig?

Ein effektives Risikomanagement ist der Schlüssel zur Bewältigung der komplexen Bedrohungslandschaft in SAP-Systemen. Es ermöglicht Unternehmen nicht nur, potenzielle Risiken frühzeitig zu erkennen, sondern auch, proaktiv Maßnahmen zu ergreifen, um diese Risiken zu minimieren oder zu beseitigen. Dies ist besonders wichtig in der SAP-Welt, wo große Mengen sensibler Unternehmensdaten verarbeitet werden.

Schlüsselprinzipien des Risikomanagements in der SAP-Sicherheit:

Identifikation von Risiken: Eine gründliche Analyse der SAP-Umgebung, einschließlich Systemarchitektur und Datenfluss, ist entscheidend, um potenzielle Schwachstellen und Bedrohungen zu erkennen.

Bewertung und Klassifizierung: Risiken müssen nicht nur identifiziert, sondern auch bewertet und entsprechend ihrer Bedrohlichkeit klassifiziert werden, um Prioritäten für Gegenmaßnahmen festzulegen.

Implementierung von Kontrollen: Die Umsetzung wirksamer Kontrollen, sei es durch Berechtigungsmanagement, Zugriffskontrollen oder Verschlüsselung, ist von entscheidender Bedeutung, um Risiken zu mindern.

Überwachung und Kontinuierliche Verbesserung: Ein fortlaufender Überwachungsprozess gewährleistet, dass die implementierten Kontrollen wirksam sind. Kontinuierliche Verbesserungen basierend auf den gewonnenen Erkenntnissen sind entscheidend für die Anpassung an sich verändernde Bedrohungen.

Bewährte Methoden im Risikomanagement für SAP:

Risikobasiertes Berechtigungsmanagement: Identifikation und Überprüfung von Berechtigungen basierend auf potenziellen Risiken.

Regelmäßige Sicherheitsaudits: Durchführung von regelmäßigen Sicherheitsaudits, um die Einhaltung von Sicherheitsrichtlinien zu gewährleisten und potenzielle Risiken zu erkennen.

Sensibilisierung und Schulungen: Mitarbeiterschulungen, um das Bewusstsein für Sicherheitsrisiken zu schärfen und eine sicherheitsbewusste Kultur zu fördern.

Integration von Threat Intelligence: Einbindung von Threat-Intelligence-Daten, um frühzeitig auf aktuelle Bedrohungen reagieren zu können.

Fazit:  Risikomanagement als Eckpfeiler der SAP-Sicherheit

In einer Zeit, in der Cyberbedrohungen zunehmen, ist ein effektives Risikomanagement unerlässlich für den Schutz von SAP-Systemen. Die Anwendung der genannten Schlüsselprinzipien und bewährten Methoden ermöglicht es Unternehmen, die Herausforderungen der SAP-Sicherheit zu bewältigen und eine robuste Verteidigung gegenüber den sich ständig weiterentwickelnden Bedrohungen aufzubauen. Der Fokus auf Risikomanagement ist nicht nur eine Sicherheitsmaßnahme, sondern eine strategische Investition in die Widerstandsfähigkeit von Unternehmen gegenüber potenziellen Risiken.

Aktuelle Patches

SAP NEWS: Patchday Januar 2024

Hier findet ihr eine Übersicht der SAP Security Notes für Januar 2024:

1. Score 9.1  (Hot News)

Nummer: 3413475

[Mehrere CVEs] Rechteausweitung in SAP Edge Integration Cell

Unter bestimmten Voraussetzungen kann SAP Edge Integration Cell durch Schwachstellen (CVE-2023-49583 und CVE-2023-50422) Sicherheitslücken aufweisen. Ein nicht authentifizierter Angreifer könnte dadurch uneingeschränkte Zugriffsrechte in der Anwendung erlangen.

2. Score 9.1  (Hot News)

Nummer: 3412456

 [CVE-2023-49583] Eskalation von Berechtigungen in Anwendungen, die mit SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE for SAP HANA entwickelt wurden

SAP Business Application Studio, SAP Web IDE Full-Stack und SAP Web IDE für SAP HANA:

In bestimmten Situationen können node.js-Anwendungen, die über die genannten Entwicklungsumgebungen erstellt wurden und für das Deployment in SAP BTP- oder Cloud-Foundry-Umgebungen vorgesehen sind, aufgrund von CVE-2023-49583

3. Score 8.4   (High priority)

Nummer: 3411869

[CVE-2024-21737] Code-Injection-Schwachstelle in SAP Application Interface Framework (Datei-Adapter)

Im Datei-Adapter des SAP Application Interface Framework kann ein Nutzer mit erhöhten Berechtigungen einen Funktionsbaustein verwenden, um verschiedene Ebenen zu durchlaufen und Betriebssystembefehle direkt auszuführen. Dies ermöglicht es einem solchen Benutzer, das Verhalten der Anwendung zu steuern. Diese Sicherheitslücke hat erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

4. Score 7.5   (High priority)

Nummer: 3389917

 [CVE-2023-44487] Denial-of-Service (DOS) in SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und ABAP-Plattform

SAP Web Dispatcher, SAP NetWeaver Application Server ABAP und die ABAP-Plattform erlauben einem nicht authentifizierten Benutzer durch viele HTTP/2-Anfragen eine Netzwerk-DoS-Attacke. Diese Anfragen können später abgebrochen werden, was zu einer Überlastung des Speichers führt und die Anwendungsverfügbarkeit erheblich beeinträchtigen kann. Die Vertraulichkeit oder Integrität der Anwendung bleibt dabei unberührt.

 

5. Score 7.4   (High priority)

Nummer: 3386378 

[CVE-2024-22125] Schwachstelle mit Blick auf Offenlegung von Informationen in Microsoft-Edge-Browsererweiterung (SAP GUI Connector für Microsoft Edge)

Unter bestimmten Umständen kann die Microsoft Edge Browser-Erweiterung (SAP GUI Connector für Microsoft Edge) einem Angreifer den Zugriff auf hochsensible Informationen ermöglichen, die normalerweise beschränkt wären. Dies stellt eine erhebliche Gefahr für die Vertraulichkeit dar.

6. Score 7.3   (High priority)

Nummer: 3407617

[CVE-2024-21735] Falsche Berechtigungsprüfung in SAP Landscape Transformation Replication Server

Die SAP Landscape Transformation Replication Server weist eine Schwachstelle auf, da erforderliche Berechtigungsprüfungen nicht ordnungsgemäß durchgeführt werden. Dies ermöglicht einem Angreifer mit erhöhten Berechtigungen die Durchführung unbeabsichtigter Aktionen, was zu einer potenziellen Rechteausweitung führt. Diese Sicherheitslücke hat erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems.

7. Score 6.4   (Medium priority)

Nummer: 3260667

[CVE-2024-21736] Fehlende Berechtigungsprüfung in SAP S/4HANA Finance für die erweiterte Zahlungsverwaltung

Die erweiterte Zahlungsverwaltung von SAP S/4HANA Finance weist eine Sicherheitslücke auf, da die notwendigen Berechtigungsprüfungen nicht ordnungsgemäß durchgeführt werden. Dies ermöglicht einem Angreifer die Initiierung eines Funktionsimports, der es ihm ermöglicht, Inhouse-Bankkonten zu erstellen. Obwohl die Auswirkungen auf die Vertraulichkeit der Anwendung als gering eingestuft werden, stellt diese Schwachstelle dennoch ein potenzielles Risiko dar.

8. Score 5.3   (Medium priority)

Nummer: 3324732

[CVE-2023-31405] Log-Injection-Schwachstelle in SAP NetWeaver AS für Java (Log Viewer)

Update vom 9. Januar 2024: Der Hinweis wurde mit geringfügigen Textänderungen im Abschnitt „Lösung“ erneut veröffentlicht. Es sind keine Kundenaktionen erforderlich.

Update vom 10. Oktober 2023: Die im Hinweis bereitgestellte Lösung ist für ENGINEAPI 7.50 unvollständig. Um das Problem vollständig zu beheben, wenden Sie den SAP-Sicherheitshinweis 3371873 an.

SAP NetWeaver AS für Java weist eine Sicherheitslücke auf, die es einem nicht authentifizierten Angreifer ermöglicht, eine Anfrage über das Netzwerk zu erstellen. Dies kann zu unerwarteten Änderungen an einem Systemprotokoll ohne Benutzerinteraktion führen. Es sind jedoch keine Auswirkungen auf die Verfügbarkeit oder Vertraulichkeit der Anwendung zu verzeichnen.

9. Score 4.1   (Medium priority)

Nummer: 3392626

[CVE-2024-22124] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Internet Communication Manager

In bestimmten Szenarien erlauben der Internet Communication Manager (ICM) oder der SAP Web Dispatcher einem Angreifer den Zugriff auf eigentlich eingeschränkte Informationen. Dies stellt eine erhebliche Beeinträchtigung der Vertraulichkeit dar.

10. Score 4.1   (Medium priority)

Nummer: 3387737

[CVE-2024-21738] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP und ABAP-Plattform

SAP NetWeaver Application Server ABAP und die ABAP-Plattform weisen eine unzureichende Kodierung von benutzergesteuerten Eingaben auf, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann ein Angreifer mit begrenzten Rechten die Vertraulichkeit der Anwendungsdaten in gewissem Maße beeinträchtigen.

11. Score 3.7   (Low priority)

Nummer: 3190894 

[CVE-2024-21734] URL-Umleitungsschwachstelle in SAP Marketing (App „Kontakte“)

Die SAP-Marketing-App „Kontakte“ weist eine Sicherheitslücke auf, die es einem Angreifer mit begrenzten Berechtigungen erlaubt, einen Benutzer dazu zu verleiten, eine schädliche Seite zu öffnen. Dies kann zu einem äußerst überzeugenden Phishing-Angriff führen, wobei die Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung als gering einzustufen sind.