Digitalisierung und Innovation

Mobilität trifft Effizienz: SAP Mobile-Lösungen für die Zukunft der Unternehmensperformance

SAP Mobile bezieht sich auf eine Reihe von Lösungen und Anwendungen, die von SAP entwickelt wurden, um die Mobilität in Unternehmen zu fördern. Diese Lösungen ermöglichen es Unternehmen, ihre Geschäftsprozesse auf mobile Geräte wie Smartphones und Tablets zu erweitern, um mehr Flexibilität, Effizienz und Benutzerfreundlichkeit zu erreichen. Hier sind einige wichtige Aspekte von SAP Mobile:

SAP Fiori Mobile Apps:
SAP Fiori ist eine Designrichtlinie und eine Sammlung von Anwendungen, die das Benutzererlebnis für SAP-Anwendungen verbessern sollen. Fiori Mobile Apps sind speziell für die Nutzung auf mobilen Geräten optimiert und bieten eine intuitive Benutzeroberfläche.

SAP Mobile Platform:
Die SAP Mobile Platform ist eine Entwicklungs- und Betriebsplattform, die es Unternehmen ermöglicht, mobile Anwendungen zu erstellen und zu verwalten. Sie unterstützt verschiedene Betriebssysteme wie iOS, Android und Windows.

SAP Mobile Services:
SAP Mobile Services ist eine cloudbasierte Lösung von SAP, die Dienste für die Verwaltung, Überwachung und Analyse von mobilen Anwendungen bietet. Sie unterstützt Unternehmen bei der Verwaltung von Benutzeridentitäten, Push-Benachrichtigungen, Authentifizierung und mehr.

SAP Mobile Cards:
SAP Mobile Cards sind Kartenbasierte Mini-Apps, die auf mobilen Geräten laufen. Sie ermöglichen es Benutzern, personalisierte, interaktive Dashboards und Benachrichtigungen auf ihren Mobilgeräten zu erhalten.

SAP Mobile Documents:
SAP Mobile Documents ist eine Lösung, die den sicheren Zugriff auf geschäftliche Dokumente von mobilen Geräten aus ermöglicht. Dies fördert die Zusammenarbeit und den schnellen Zugriff auf wichtige Informationen, unabhängig vom Standort.

SAP Mobile Analytics:
SAP Mobile Analytics ermöglicht es Unternehmen, geschäftskritische Analysen und Berichte auf mobilen Geräten bereitzustellen. Dies unterstützt Führungskräfte und Mitarbeiter dabei, fundierte Entscheidungen auch unterwegs zu treffen.

SAP Mobile Platform SDK:
Das Software Development Kit (SDK) von SAP Mobile Platform ermöglicht Entwicklern die Erstellung benutzerdefinierter mobiler Anwendungen. Es bietet Tools und Funktionen, um die Entwicklung von maßgeschneiderten mobilen Lösungen zu erleichtern.

Durch die Nutzung von SAP Mobile-Lösungen können Unternehmen ihre Mitarbeiter mit den erforderlichen Ressourcen ausstatten, unabhängig davon, wo sie sich befinden. Dies unterstützt die Modernisierung von Geschäftsprozessen und trägt dazu bei, die Effizienz und Produktivität zu steigern.

Welche Auswirkungen hat SAP Mobile auf die SAP Security und was ist zu beachten?

Die Einführung von SAP Mobile-Lösungen hat einige Auswirkungen auf die SAP Security, da mobile Anwendungen zusätzliche Angriffsvektoren und Sicherheitsrisiken mit sich bringen. Hier sind einige wichtige Aspekte, die bei der Sicherung von SAP Mobile-Lösungen zu beachten sind:

Mobile Geräteverwaltung (MDM):
Ein zentrales Element der SAP Security im mobilen Kontext ist die Verwaltung der mobilen Geräte selbst. Mobile Device Management (MDM)-Lösungen sind entscheidend, um den Zugriff auf Unternehmensdaten von mobilen Geräten zu steuern, Geräte zu überwachen, und bei Bedarf Remote-Wipe-Funktionen bereitzustellen.

Sicherer Datentransfer:
Der sichere Transfer von Daten zwischen mobilen Geräten und SAP-Systemen ist von entscheidender Bedeutung. Die Verwendung von verschlüsselten Verbindungen, beispielsweise durch HTTPS, ist ein grundlegendes Sicherheitsprinzip, um die Integrität und Vertraulichkeit von Daten sicherzustellen.

Authentifizierung und Autorisierung:
Starke Authentifizierung und präzise Autorisierung sind wesentliche Bestandteile der SAP Security für mobile Anwendungen. Die Integration sicherer Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) und die genaue Zuweisung von Berechtigungen sind unerlässlich.

Mobile App-Sicherheit:
Die Sicherheit von mobilen Apps selbst ist entscheidend. Entwickler sollten bewährte Sicherheitspraktiken wie sichere Codierung, sichere Datenlagerung und Verschlüsselung anwenden. Regelmäßige Sicherheitsprüfungen und Audits für mobile Anwendungen sind ratsam.

Sichere Speicherung von Zugangsdaten:
Mobile Geräte können gestohlen oder verloren gehen. Daher ist es wichtig, Zugangsdaten sicher auf mobilen Geräten zu speichern. Der Einsatz von sicheren Speichermechanismen wie dem Secure Store auf mobilen Geräten ist eine bewährte Sicherheitspraxis.

Sicherheitsrichtlinien und Schulungen:
Die Einführung von klaren Sicherheitsrichtlinien für die Nutzung von SAP Mobile-Lösungen ist entscheidend. Schulungen für Benutzer und Administratoren sind ebenfalls notwendig, um sicherzustellen, dass alle Beteiligten bewusst sicherheitsrelevanter Praktiken sind.

Sicherheit bei Verlust oder Diebstahl:
Im Falle eines verlorenen oder gestohlenen Geräts sollten Mechanismen wie Remote-Wipe aktiviert werden, um sensible Daten auf dem Gerät zu löschen und zu verhindern, dass sie in die falschen Hände geraten.

Mobile App-Updates:
Regelmäßige Aktualisierungen und Patching von mobilen Apps sind wichtig, um Sicherheitslücken zu schließen und die neuesten Sicherheitsfunktionen zu implementieren.

Durch eine umfassende Berücksichtigung dieser Sicherheitsaspekte können Unternehmen die Risiken im Zusammenhang mit der Einführung von SAP Mobile-Lösungen minimieren und gleichzeitig die Mobilität ihrer Arbeitsabläufe optimieren.

Auf einen Blick

Aktuelle Patches

SAP NEWS: Patchday Februar 2024

Bildnachweis: Firefly.com

Hier findet ihr eine Übersicht der SAP Security Notes für Februar 2024:

1. Score 10  (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Ab SAP Business Client 6.5 PL5 können Sie das Browser-Control Chromium verwenden, um HTML-Content anzuzeigen. Sicherheitskorrekturen dafür werden über SAP-Business-Client-Patches bereitgestellt. Bei veralteten SAP-Business-Client-Releases können verschiedene Schwachstellen auftreten, darunter Speicherschäden und Offenlegung von Informationen. Dies kann die Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen. Beachten Sie auch die Aussagen des Chrome-Sicherheitsdiensts zur Offenlegung von Schwachstellen. Wenn Sie ein anderes Browser-Control verwenden, lesen Sie den Sicherheitsleitfaden in der Dokumentation für SAP Business Client. CVSS-3.0-Scores entsprechen den NVD-Werten zum Zeitpunkt der Freigabe des entsprechenden SAP-Business-Client-Patches.

 

2. Score 9.1  (Hot News)

Nummer: 3420923

[CVE-2024-22131] Code-Injection-Schwachstelle in SAP ABA (Anwendungsbasis)

Ein Angreifer mit Remote-Ausführungsberechtigung kann über eine anfällige Schnittstelle eine Anwendungsfunktion aufrufen, um unautorisierte Aktionen auszuführen. Dadurch können Daten von Benutzern oder Unternehmen gelesen oder geändert werden, und das System kann möglicherweise unzugänglich gemacht werden.

3. Score 8.8   (High priority)

Nummer: 3417627

[CVE-2024-22126] Cross-Site-Scripting-Schwachstelle in SAP NetWeaver AS Java (Benutzerverwaltungsanwendung)

Die Benutzerverwaltungsanwendung von SAP NetWeaver AS for Java validiert und kodiert die eingehenden URL-Parameter nicht ausreichend, bevor sie in die Umleitungs-URL eingefügt werden. Dadurch entsteht eine Cross-Site-Scripting-Schwachstelle (XSS), die die Vertraulichkeit beeinträchtigt und leichte Auswirkungen auf die Integrität und Verfügbarkeit hat.

4. Score 8.6   (High priority)

Nummer: 3426111

[CVE-2024-24743] XXE-Schwachstelle in SAP NetWeaver AS Java (Guided Procedures)

Ein nicht authentifizierter Angreifer kann über das Netzwerk eine schädliche Anfrage mit einer erstellten XML-Datei an SAP NetWeaver AS Java (CAF – Guided Procedures) senden. Diese Anfrage ermöglicht es dem Angreifer, beim Parsen sensible Dateien und Daten einzusehen, ohne jedoch Änderungen daran vorzunehmen. Es gibt Einschränkungen bei der Erweiterung, um sicherzustellen, dass die Verfügbarkeit nicht beeinträchtigt wird.

5. Score 7.6   (High priority)

Nummer: 3410875

[CVE-2024-22130] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)

Die Druckvorschau-Option im SAP-CRM-WebClient-UI kodiert benutzergesteuerte Eingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Ein Angreifer mit begrenzten Rechten kann durch erfolgreiche Ausnutzung dieser Schwachstelle die Vertraulichkeit und Integrität der Anwendungsdaten in gewissem Maße beeinträchtigen.

6. Score 7.4   (High priority)

Nummer: 3421659

[CVE-2024-22132] Code-Injection-Schwachstelle in SAP-IDES-Systemen

SAP-IDES-ECC-Systeme enthalten Code, der es einem Benutzer ermöglicht, beliebigen Programmcode auszuführen. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer das Systemverhalten steuern, indem er schädlichen Code ausführt. Dieser Code kann möglicherweise Berechtigungen erlangen, die geringfügige Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems haben.

7. Score 7.4   (High priority)

Nummer: 3424610

[CVE-2024-25642] Falsche Zertifikatsvalidierung in SAP Cloud Connector

Aufgrund unzureichender Validierung des Zertifikats im SAP Cloud Connector besteht die Möglichkeit, dass ein Angreifer echte Server impersonieren kann, um mit SCC zu interagieren. Dadurch wird die gegenseitige Authentifizierung unterbrochen, was es dem Angreifer ermöglicht, Anfragen zum Anzeigen/Ändern sensibler Informationen abzufangen. Die Verfügbarkeit des Systems wird jedoch nicht beeinträchtigt.

8. Score 7.3   (High priority)

Nummer: 3385711

 [CVE-2023-49580] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP

UPDATE 13. Februar 2024: Dieser SAP-Sicherheitshinweis wurde mit einem aktualisierten Titel, Symptomabschnitt und Informationen zur Ursache und Voraussetzungen erneut veröffentlicht, um genauere Einblicke in die Schwachstelle zu liefern.

In SAP NetWeaver Application Server ABAP kann ein nicht authentifizierter Angreifer über eine Sicherheitslücke auf beschränkte und vertrauliche Informationen zugreifen. Diese Schwachstelle ermöglicht es dem Angreifer auch, Layoutkonfigurationen des ABAP List Viewers zu manipulieren, was die Integrität und Verfügbarkeit des Systems beeinträchtigen kann.

9. Score 6.3   (Medium priority)

Nummer: 2637727

 [CVE-2024-24739] Fehlende Berechtigungsprüfung in SAP Bank Account Management

SAP Bank Account Management (BAM) ermöglicht einem authentifizierten Benutzer mit begrenztem Zugriff die Nutzung bestimmter Funktionen, was zu einer geringfügigen Ausweitung der Rechte führen kann, die die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung beeinträchtigen könnte.

10. Score 5.4   (Medium priority)

Nummer: 3404025

[CVE-2024-22129] Cross-Site-Scripting-Schwachstelle (XSS) in SAP Companion

SAP Companion enthält eine URL mit einem anfälligen Parameter, der XSS-Angriffen ausgesetzt sein könnte. Ein Angreifer könnte einen schädlichen Link an einen Benutzer senden, was dazu führen könnte, dass sensible Informationen abgerufen werden und geringfügige Auswirkungen auf die Integrität der Webanwendung entstehen könnten.

11. Score 5.3   (Medium priority)

Nummer: 3360827

[CVE-2024-24740] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server ABAP (SAP-Kernel)

SAP NetWeaver Application Server (ABAP) kann es einem Angreifer unter bestimmten Bedingungen ermöglichen, auf normalerweise eingeschränkte Informationen zuzugreifen, was geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung hat, jedoch keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

12. Score 4.7   (Medium priority)

Nummer: 3396109

[CVE-2024-22128] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Business Client for HTML

SAP NetWeaver Business Client for HTML überprüft benutzergesteuerte Eingaben unzureichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Ein nicht authentifizierter Benutzer kann schädliches JavaScript einschleusen und dadurch die Vertraulichkeit und Integrität der Anwendungsdaten bis zu einem gewissen Grad beeinträchtigen.

13. Score 4.3   (Medium priority)

Nummer: 2897391

[CVE-2024-24741] Fehlende Berechtigungsprüfung in SAP Master Data Governance für Material

SAP Master Data Governance für Materialdaten führt für einen authentifizierten Benutzer keine ausreichende Berechtigungsprüfung durch, was zu einer Rechteausweitung führt. Dies könnte es einem Angreifer ermöglichen, sensible Informationen zu lesen, jedoch hätte dies keine Auswirkungen auf die Integrität und Verfügbarkeit.

14. Score 4.3   (Medium priority)

Nummer: 3237638

[CVE-2024-25643] Fehlende Berechtigungsprüfung in SAP Fiori App (Meine Mehrarbeitsanträge)

Die SAP Fiori App „Meine Mehrarbeitsanträge“ führt für einen authentifizierten Benutzer keine angemessenen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führen kann. Durch die Manipulation der URLs der Datenanfragen ist es möglich, auf Informationen zuzugreifen, auf die der Benutzer keinen Zugriff haben sollte. Diese Schwachstelle hat keine Auswirkungen auf Integrität und Verfügbarkeit.

15. Score 4.1   (Medium priority)

Nummer: 3158455

[CVE-2024-24742] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)

Im SAP-CRM-WebClient-UI erfolgt eine unzureichende Kodierung von benutzergesteuerten Eingaben, was zu einer Cross-Site-Scripting-Schwachstelle führt. Ein Angreifer mit geringen Rechten kann nach erfolgreicher Ausnutzung die Integrität der Anwendungsdaten bis zu einem gewissen Grad beeinträchtigen. Diese Schwachstelle hat keine Auswirkungen auf Vertraulichkeit und Verfügbarkeit.