Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für September 2024:

1. Score 7.4   (High priority)

Nummer: 3459935 

[CVE-2024-33003] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Commerce Cloud

In der SAP Commerce Cloud ermöglichen einige OCC-API-Endpunkte das Einfügen personenbezogener Daten (PII)—darunter Kennwörter, E-Mail-Adressen, Mobiltelefonnummern sowie Coupon- und Gutscheincodes—als Abfrage- oder Pfadparameter in die Anfrage-URL. Sollte dies ausgenutzt werden, könnte es erhebliche Risiken für die Vertraulichkeit und Integrität der Anwendung mit sich bringen.

Änderungsprotokoll:

v29 (Aktuelle Version) – Aktualisierung 10. September 2024: Der Hinweis wurde mit aktualisierten Lösungshinweisen neu veröffentlicht. Das aktuelle SAP-Commerce-Cloud-Update-Release 2211.28 enthält alle erforderlichen Korrekturen.

v22 (Initialversion)

 

2. Score 6.5   (Medium priority)

Nummer: 3488341

[CVE-2024-45286] Fehlende Berechtigungsprüfung in SAP Production and Revenue Accounting (Tobin-Schnittstelle)

Ein Funktionsbaustein in der veralteten Tobin-Schnittstelle von SAP Production and Revenue Accounting ermöglicht aufgrund fehlender Berechtigungsprüfungen unberechtigten Zugriff, der zu einer Offenlegung hochsensibler Daten führen kann. Es gibt jedoch keine Auswirkungen auf die Integrität oder Verfügbarkeit der Daten.

3. Score 6.5   (Medium priority)

Nummer: 3495876

[Mehrere CVEs] Mehrere Schwachstellen in SAP Replication Server (FOSS)

Mehrere Schwachstellen—CVE-2023-0215, CVE-2022-0778 und CVE-2023-0286—wurden in den von SAP Replication Server verwendeten Free-Open-Source-Software-Bibliotheken (FOSS), OpenSSL und Spring Framework, festgestellt. Obwohl SAP Replication Server nicht von diesen Schwachstellen betroffen ist, da die anfälligen Funktionen in den betroffenen FOSS nicht genutzt werden, könnten diese verwundbaren FOSS die Installationsumgebung potenziell angreifbar machen.

Änderungsprotokoll:

v7 (Aktuelle Version) – UPDATE 10. September 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht.

v6 (Initialversion)

4. Score 6.1   (Medium priority)

Nummer: 3495876

[CVE-2024-45279] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server für ABAP (CRM Blueprint Application Builder Panel)

Das CRM Blueprint Application Builder Panel von SAP NetWeaver Application Server für ABAP weist unzureichende Eingabevalidierung auf, die es einem nicht authentifizierten Angreifer ermöglicht, URL-Links zu erstellen, die schädliches JavaScript einbetten. Klickt ein Opfer auf solch einen Link, wird das Skript im Browser des Opfers ausgeführt, wodurch der Angreifer in der Lage ist, sensible Informationen zu erlangen und zu verändern, ohne dabei die Verfügbarkeit der Anwendung zu gefährden.

5. Score 6.1   (Medium priority)

Nummer: 3497347

[CVE-2024-42378] Cross-Site-Scripting (XSS) in eProcurement auf SAP S/4HANA

Durch eine unzureichende Kodierung benutzergesteuerter Eingaben in eProcurement auf SAP S/4HANA können schädliche Skripte innerhalb der Anwendung ausgeführt werden. Dies könnte zu einer Reflected Cross-Site Scripting (XSS)-Schwachstelle führen. Während die Verfügbarkeit der Anwendung nicht betroffen ist, können dennoch geringfügige Auswirkungen auf ihre Vertraulichkeit und Integrität auftreten.

6. Score 6.0   (Medium priority)

Nummer: 3477359

[CVE-2024-45283] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS for Java (Destinations Service)

SAP NetWeaver AS for Java ermöglicht es einem berechtigten Angreifer, sensible Informationen abzurufen. Der Angreifer kann beim Erstellen einer RFC-Destination Benutzernamen und Kennwörter einsehen. Obwohl der Angreifer nach erfolgreicher Ausnutzung der Schwachstelle auf diese sensiblen Informationen zugreifen kann, ist es ihm nicht möglich, die Daten zu ändern oder zu löschen.

7. Score 5.9   (Medium priority)

Nummer: 3430336

[CVE-2013-3587] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

Die SAP BusinessObjects Business Intelligence Plattform erlaubt es einem Benutzer mit hohen Berechtigungen, Client-Desktop-Anwendungen auszuführen, selbst wenn einige DLLs entweder nicht digital signiert oder deren Signaturen beschädigt sind. Um DLL-bezogene Aufgaben durchzuführen, benötigt der Angreifer lokalen Zugriff auf das betroffene System. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben.

7. Score 5.8   (Medium priority)

Nummer: 3425287

[CVE-2024-45281] DLL-Hijacking-Schwachstelle in SAP-BusinessObjects-Business-Intelligence-Plattform

Durch die Verwendung der Gzip-HTTP-Komprimierung in der Web-App von SAP Commerce Cloud besteht eine potenzielle Anfälligkeit für BREACH-Angriffe gemäß CVE-2013-3587, wenn bestimmte im folgenden Abschnitt erläuterte Bedingungen erfüllt sind. Dies kann erhebliche Auswirkungen auf die Vertraulichkeit haben, während die Integrität und Verfügbarkeit des Systems nicht beeinträchtigt werden.

9. Score 5.4   (Medium priority)

Nummer: 3488039

[Mehrere CVEs] Mehrere Schwachstellen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

In diesem Sicherheitshinweis werden sechs Schwachstellen in SAP NetWeaver Application Server für ABAP und der ABAP-Plattform behandelt, die durch fehlende Berechtigungsprüfungen verursacht werden. Im Folgenden sind die Details der Sicherheitslücken sowie die relevanten CVE- und CVSS-Informationen aufgeführt:

  • CVE-2024-42371: Diese Schwachstelle ermöglicht es einem Benutzer mit niedrigen Berechtigungen, die Arbeitsplatzfavoriten beliebiger Benutzer zu löschen. Dies kann verwendet werden, um Benutzernamen zu identifizieren und Informationen über Arbeitsplätze und Knoten der Zielbenutzer zu erlangen. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.

    • CVSS: 5.4; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-44117: Hier kann ein Benutzer mit geringen Berechtigungen verschiedene Aktionen ausführen, wie das Ändern der URLs der Favoritenknoten und der Arbeitsmappen-ID eines beliebigen Benutzers. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.

    • CVSS: 5.4; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-45285: Diese Schwachstelle erlaubt es einem Benutzer mit niedrigen Berechtigungen, eine Serviceverweigerung für jeden Benutzer auszulösen und Favoritenknoten zu ändern oder zu löschen. Durch das Versenden eines speziell präparierten Pakets werden die SAP GUI-Funktionen des Zielbenutzers unzugänglich. Die Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung sind gering.

    • CVSS: 5.4; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-42380: Ein Benutzer mit geringen Berechtigungen kann die Arbeitsplatzfavoriten und das Benutzermenü eines beliebigen Benutzers einsehen, einschließlich aller spezifischen Knotendaten. Dies ermöglicht das Identifizieren von Benutzernamen. Die Auswirkungen auf die Vertraulichkeit der Anwendung sind gering.

    • CVSS: 4.3; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-44115: Mit dieser Schwachstelle kann ein Benutzer mit niedrigen Berechtigungen URLs zu den Arbeitsplatzfavoriten eines beliebigen Benutzers hinzufügen. Diese Schwachstelle ermöglicht es, Benutzernamen zu identifizieren und auf Informationen zu den Arbeitsplätzen und Knoten des Zielbenutzers zuzugreifen. Die Auswirkungen auf die Integrität der Anwendung sind gering.

    • CVSS: 4.3; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A
       
  • CVE-2024-44116: Ein Benutzer mit niedrigen Berechtigungen kann beliebige Arbeitsmappen zu den Arbeitsplatzfavoriten eines beliebigen Benutzers hinzufügen. Diese Schwachstelle kann verwendet werden, um Benutzernamen zu identifizieren und auf Informationen zu den Arbeitsplätzen des Zielbenutzers zuzugreifen. Die Auswirkungen auf die Integrität der Anwendung sind gering.

    • CVSS: 4.3; CVSS:3.0/AV
       
      /AC
       
      /PR
       
      /UI
       
      /S
       
      /C
       
      /I
       
      /A

10. Score 4.8   (Medium priority)

Nummer: 3505503

[CVE-2024-45280] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver AS Java (Anmeldeanwendung)

Durch eine unzureichende Kodierung benutzergesteuerter Eingaben in SAP NetWeaver AS Java können bösartige Skripte in der Anmeldeanwendung ausgeführt werden. Diese Schwachstelle hat nur begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung, während die Verfügbarkeit nicht betroffen ist.

11. Score 4.7   (Medium priority)

Nummer: 3498221

[CVE-2024-44120] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Enterprise Portal

Aufgrund unzureichender Kodierung benutzergesteuerter Eingaben ist SAP NetWeaver Enterprise Portal anfällig für Reflected Cross-Site Scripting (XSS). Ein nicht authentifizierter Angreifer kann eine bösartige URL erstellen und einen Benutzer dazu verleiten, darauf zu klicken. Wenn das Opfer diese manipulierte URL öffnet, bevor eine Zeitüberschreitung eintritt, kann der Angreifer Inhalte des Benutzers im Browser auslesen und verändern.

12. Score 4.3   (Medium priority)

Nummer: 3505293

[CVE-2024-44112] Fehlende Berechtigungsprüfung in SAP for Oil & Gas (Transport und Verteilung)

 

In SAP for Oil & Gas (Transport und Verteilung) ermöglicht eine fehlende Berechtigungsprüfung, dass sich ein nicht administrativer Benutzer in das System einloggt und eine remote-fähige Funktion aufruft, um Einträge in einer Benutzerdatentabelle zu löschen. Diese Schwachstelle beeinträchtigt weder die Vertraulichkeit noch die Verfügbarkeit der Daten.

13. Score 4.3   (Medium priority)

Nummer: 3481992

[CVE-2024-44113] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Business Warehouse (BEx Analyzer)

 

SAP Business Warehouse (BEx Analyzer) bietet aufgrund unzureichender Berechtigungsprüfungen einem authentifizierten Angreifer Zugang zu normalerweise eingeschränkten Netzwerkinformationen. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann der Angreifer gezielt Informationen abrufen, die potenziell die Vertraulichkeit der Anwendung gefährden.

14. Score 4.3   (Medium priority)

Nummer: 3481588

[CVE-2024-41729] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver BW (BEx Analyzer)

 

Aufgrund unzureichender Berechtigungsprüfungen erlaubt SAP BEx Analyzer einem authentifizierten Angreifer den Zugriff auf normalerweise eingeschränkte Netzwerkinformationen. Bei erfolgreicher Ausnutzung dieser Schwachstelle kann der Angreifer gezielt Informationen abrufen, die potenziell die Vertraulichkeit der Anwendung beeinträchtigen.

15. Score 2,7  (Medium priority)

Nummer: 2256627

[CVE-2024-45284] Fehlende Berechtigungsprüfung in (SLcM)

Durch unzureichende Zugriffsbeschränkungen in SLcM-Transaktionen kann ein authentifizierter Benutzer Funktionen erreichen, die normalerweise nicht verfügbar sein sollten. Diese unzulässige Rechteausweitung hat nur geringe Auswirkungen auf die Integrität der Anwendung.

16. Score 2,7  (Medium priority)

Nummer: 3496410

[CVE-2024-41728] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Aufgrund einer fehlenden Berechtigungsprüfung erlaubt der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einem als Entwickler angemeldeten Angreifer, Objekte innerhalb eines Pakets zu lesen. Diese Schwachstelle wirkt sich auf die Vertraulichkeit aus, da der Angreifer unter normalen Umständen keinen Zugriff auf diese Objekte hätte.

17. Score 2,0  (Medium priority)

Nummer: 3507252

[CVE-2024-44114] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

 

Im SAP NetWeaver Application Server für ABAP und der ABAP-Plattform können Benutzer mit erweiterten Berechtigungen ein Programm ausführen, das Daten über das Netzwerk preisgibt. Diese Schwachstelle hat nur geringe Auswirkungen auf die Vertraulichkeit der Anwendung.

Das waren die aktuellen Patches für September 2024. Schnappt euch einen Kaffee und ab ans patchen… Bleibt sicher!

Wie man einen SAP-Security Vorfall erkennt und was zu tun ist

In einer Zeit, in der Cyberangriffe zunehmend raffinierter werden, ist SAP-Security ein entscheidendes Thema für jedes Unternehmen, das SAP-Systeme nutzt. Ob Sie IT-Leiter, Sicherheitsbeauftragter oder Geschäftsleiter sind: Die Sicherheit Ihrer SAP-Landschaft hat oberste Priorität. In diesem Artikel zeige ich Ihnen, wie Sie einen SAP-Sicherheitsvorfall erkennen können, wie moderne Tools wie der werthAUDITOR helfen können und welche Schritte Sie ergreifen sollten, wenn ein Cyberangriff entdeckt wurde.

1. Anzeichen eines SAP-Security Vorfalls erkennen

Einen SAP-Sicherheitsvorfall frühzeitig zu identifizieren, ist entscheidend, um größere Schäden zu vermeiden. Hier sind einige typische Anzeichen:

2. Ihr Ass im Ärmel: Wie werthAUDITOR SAP-Systeme schützt

werthAUDITOR bieten eine proaktive Überwachung und Analyse von SAP-Systemen, um Sicherheitsvorfälle frühzeitig zu erkennen. Die vom Bundesministerium für Wirtschaft und Energie ausgezeichnete Lösung nutzt intelligente Algorithmen und Echtzeitüberwachung, um potenzielle Schwachstellen zu identifizieren und Unternehmen vor Cyberangriffen zu schützen.

Entdecken Sie die entscheidenden Vorteile von werthAUDITOR für Ihre SAP-Sicherheit:

3. Die nächsten Schritte bei einem entdeckten Cyberangriff

Sollte ein Sicherheitsvorfall in Ihrem SAP-System entdeckt werden, ist schnelles und koordiniertes Handeln gefragt. 

Hier sind die wichtigsten Schritte:

1. Isolierung des Vorfalls:
Trennen Sie betroffene Systeme sofort vom Netzwerk, um eine Ausbreitung des Angriffs zu verhindern. Das Ziel ist, die Auswirkungen zu minimieren.

2. Vorfallsanalyse:
Nutzen Sie Ihre Sicherheitslösungen, um den Umfang des Angriffs zu bewerten. Sammeln Sie Protokolle und führen Sie forensische Analysen durch, um den Ursprung und die Art des Vorfalls zu identifizieren.

3. Benachrichtigung des Incident Response Teams:
Ein gut vorbereitetes Incident Response Team sollte sofort aktiviert werden. Dies könnte interne Sicherheitsexperten oder externe Partner umfassen, die Erfahrung mit SAP-Systemen haben.

4. Ergreifen von Sofortmaßnahmen:
Abhängig von der Art des Vorfalls sollten Schwachstellen geschlossen, Passwörter geändert und Systeme gehärtet werden.

5. Kommunikation:
Informieren Sie alle relevanten Stakeholder, einschließlich der Geschäftsleitung und möglicherweise auch Aufsichtsbehörden, über den Vorfall. Eine offene und transparente Kommunikation ist hier entscheidend.

6. Wiederherstellung und Monitoring:
Sobald die Bedrohung behoben ist, stellen Sie den normalen Betrieb wieder her und verstärken das Monitoring, um sicherzustellen, dass keine weiteren Angriffe erfolgen.

7. Lessons Learned:
Nach der Krise ist vor der Krise. Führen Sie eine Post-Mortem-Analyse durch, um zu verstehen, wie der Angriff passieren konnte, und erarbeiten Sie Maßnahmen, um zukünftige Angriffe zu verhindern.

 

Die Sicherheit von SAP-Systemen ist das Fundament, auf dem der Erfolg vieler Unternehmen ruht. In einer Welt, in der Cyberangriffe immer raffinierter werden, ist es unerlässlich, Bedrohungen frühzeitig zu erkennen und proaktiv zu handeln. Mit bewährten Tools wie dem werthAUDITOR können Sie potenzielle Schäden abwenden, bevor sie entstehen, und Ihre Systeme optimal absichern. Im Ernstfall zählt jede Sekunde – es ist entscheidend, schnell zu reagieren, gezielte Maßnahmen zu ergreifen und die Sicherheitsstrategien ständig zu verbessern.

Erfahren Sie, wie werthAUDITOR Ihre SAP-Systeme unermüdlich schützt. Wir laden Sie zu einem unverbindlichen Beratungsgespräch ein, um Ihnen zu zeigen, wie wir Ihre Sicherheitsstrategie auf das nächste Level heben können.

Bleiben Sie sicher!

Aktuelle Patches

SAP NEWS: Patchday Juli 2024

Hier findet ihr eine Übersicht der SAP Security Notes für Juli 2024:

1. Score 7.7   (High priority)

Nummer: 3483344

[CVE-2024-39592] Fehlende Berechtigungsprüfung in SAP PDCE

Bestimmte Komponenten von SAP PDCE führen für einen authentifizierten Benutzer keine notwendigen Berechtigungsprüfungen durch, was zu einer unberechtigten Rechteausweitung führt. Dies erlaubt einem Angreifer, auf vertrauliche Informationen zuzugreifen, was die Vertraulichkeit der Anwendung erheblich beeinträchtigt.

2. Score 7.2   (High priority)

Nummer: 3490515

[CVE-2024-39597] Falsche Berechtigungsprüfungen auf B2B-Sites mit zusammensetzbarer Storefront für frühe Anmeldung von SAP Commerce

In SAP Commerce ist es möglich, die Funktion für vergessene Kennwörter zu missbrauchen, um auf eine Composable Storefront B2B-Site zuzugreifen, bei der eine frühe Anmeldung und Registrierung aktiviert ist, ohne dass das Konto zuvor vom Händler genehmigt werden muss. Wenn die Site nicht isoliert konfiguriert ist, kann dies auch Zugriff auf andere nicht isolierte frühe Anmeldesites ermöglichen, selbst wenn für diese anderen Sites keine Registrierung aktiviert ist.

3. Score 6.9   (Medium priority)

Nummer: 3466801 

[CVE-2024-39593] Schwachstelle in SAP Landscape Management bezüglich der Offenlegung von Informationen

Mit SAP Landscape Management kann ein authentifizierter Benutzer auf vertrauliche Daten zugreifen, die in der Antwort der REST-Provider-Definition offengelegt werden. Ein erfolgreicher Zugriff kann die Vertraulichkeit der verwalteten Entitäten erheblich beeinträchtigen.

4. Score 6.5  (Medium priority)

Nummer: 3459379 

[CVE-2024-34683] Uneingeschränkter Datei-Upload in SAP Document Builder (HTTP-Service)

Ein authentifizierter Angreifer hat die Möglichkeit, eine schädliche Datei in den Service SAP Document Builder hochzuladen. Öffnet das Opfer diese Datei, kann der Angreifer auf die Informationen im Browser des Opfers zugreifen und diese entweder verändern oder unzugänglich machen.

5. Score 6.1   (Medium priority)

Nummer: 3482217 

[CVE-2024-39594] Mehrere Cross-Site-Scripting-Schwachstellen (XSS) in SAP Business Warehouse – Business Planning and Simulation

Dieser Sicherheitshinweis betrifft zwei Schwachstellen in SAP Business Warehouse: Business Planning and Simulation. Die Details zu den Schwachstellen und ihre CVE-relevanten Informationen finden Sie weiter unten.

6. Score 6.1   (Medium priority)

Nummer: 3468681 

[CVE-2024-34685] Cross-Site-Scripting-Schwachstelle (XSS) in XMLEditor von SAP NetWeaver Knowledge Management

Aufgrund unzureichender Codierung benutzergesteuerter Eingaben kann der XMLEditor von SAP NetWeaver Knowledge Management schädliche Skripte ausführen, was potenziell zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Dies beeinträchtigt nicht die Verfügbarkeit der Anwendung, jedoch geringfügig deren Vertraulichkeit und Integrität.

7. Score 6.1   (Medium priority)

Nummer: 3467377 

[Mehrere CVEs] Mehrere Schwachstellen in SAP CRM (WebClient UI)

Der folgende SAP-Sicherheitshinweis behandelt Schwachstellen in SAP CRM (WebClient UI), die wie folgt beschrieben werden:

Reflected-Cross-Site-Scripting (CVE-2024-37173):
Durch unzureichende Eingabevalidierung ermöglicht SAP CRM WebClient UI einem nicht authentifizierten Angreifer das Einbetten eines schädlichen Skripts in einen URL-Link. Beim Klicken auf den Link im Browser des Opfers kann der Angreifer auf Informationen zugreifen oder diese ändern, ohne die Anwendungsverfügbarkeit zu beeinträchtigen. (CVSS-Score: 6.1)

CSS-basiertes Cross-Site-Scripting (CVE-2024-37174):
Die Unterstützung für benutzerdefinierte CSS im SAP CRM WebClient UI kodiert benutzergesteuerte Eingaben nicht ausreichend, was eine XSS-Schwachstelle zur Folge hat. Ein erfolgreicher Angriff kann die Vertraulichkeit und Integrität der Anwendung beeinträchtigen. (CVSS-Score: 6.1)

Server-Side Request Forgery (CVE-2024-39598):
SAP CRM WebClient-UI-Framework erlaubt einem authentifizierten Angreifer, durch speziell gestaltete HTTP-Anfragen die zugänglichen HTTP-Endpunkte im internen Netzwerk aufzulisten, was zur Offenlegung von Informationen führen kann. Diese Schwachstelle hat keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung. (CVSS-Score: 5.0)

Fehlende Berechtigungsprüfung (CVE-2024-37175):
SAP CRM WebClient führt für einen authentifizierten Benutzer nicht die erforderlichen Berechtigungsprüfungen durch, was zu einer potenziellen Rechteausweitung und dem Zugriff auf sensible Informationen führen kann. (CVSS-Score: 4.3).

8. Score 5.4   (Medium priority)

Nummer: 3457354 

[CVE-2024-37172] Fehlende Berechtigungsprüfung in SAP S/4HANA Finance für die erweiterte Zahlungsverwaltung

In SAP S/4HANA Finance für erweitertes Zahlungsmanagement werden für authentifizierte Benutzer erforderliche Berechtigungsprüfungen nicht durchgeführt, was zu einer Rechteausweitung führen kann. Dies beeinträchtigt die Vertraulichkeit und Verfügbarkeit der Daten in geringem Maße, hat jedoch keine Auswirkungen auf deren Integrität.

9. Score 5.0  (Medium priority)

Nummer: 3461110 

[CVE-2024-39600] Schwachstelle bezüglich der Offenlegung von Informationen in SAP GUI for Windows

Unter bestimmten Voraussetzungen speichert SAP GUI for Windows das Anmeldepasswort für SAP-Systeme im Speicher, wodurch ein Angreifer Zugriff auf dieses Passwort erlangen und sich als der betroffene Benutzer ausgeben könnte. Dies stellt eine erhebliche Bedrohung für die Vertraulichkeit dar, hat jedoch keine direkten Auswirkungen auf Integrität und Verfügbarkeit der Systeme.

 

10. Score 5.0  (Medium priority)

Nummer: 3485805

[CVE-2024-34689] Erlaubtliste von Callback-URLs in SAP Business Workflow (WebFlow-Services)

Unter bestimmten Bedingungen speichert SAP GUI for Windows das Anmeldepasswort für SAP-Systeme im Speicher. Dadurch könnte ein Angreifer Zugriff auf dieses Passwort erlangen und sich als der betroffene Benutzer ausgeben. Diese Schwachstelle stellt eine ernste Vertraulichkeitsbedrohung dar, beeinträchtigt jedoch nicht die Integrität oder Verfügbarkeit der Systeme direkt.

 

11. Score 5.0  (Medium priority)

Nummer: 3483993 

[CVE-2024-34689] Voraussetzung für Sicherheitshinweis 3458789

Bevor Sie Sicherheitshinweis 3458789 einspielen können, müssen Sie zunächst diesen erforderlichen Sicherheitshinweis berücksichtigen.

 

12. Score 5.0  (Medium priority)

Nummer: 3469958

[CVE-2024-37171] Server-Side Request Forgery (SSRF) in SAP Transportation Management (Collaboration Portal)

SAP Transportation Management (Collaboration Portal) ermöglicht es einem Angreifer mit nicht administrativen Berechtigungen, eine gezielte Anfrage aus einer anfälligen Webanwendung zu senden. Dadurch wird der Anwendungs-Handler veranlasst, eine Anforderung an einen unbeabsichtigten Service zu senden, der möglicherweise Informationen über diesen Service offenlegt. Die erhaltenen Informationen können verwendet werden, um interne Systeme hinter Firewalls anzusprechen, auf die ein Angreifer aus dem externen Netzwerk normalerweise nicht zugreifen kann, was zu einer Server-Side-Request-Forgery-Schwachstelle führt. Es gibt keine Auswirkungen auf die Integrität oder Verfügbarkeit der Anwendung.

 

13. Score 5.0  (Medium priority)

Nummer: 3458789

[CVE-2024-34689] Serverseitige Request Forgery in SAP Business Workflow (WebFlow-Services)

WebFlow-Services von SAP Business Workflow ermöglichen es einem authentifizierten Angreifer, barrierefreie HTTP-Endpunkte im internen Netzwerk aufzuführen, indem er spezielle HTTP-Requests erstellt. Bei erfolgreicher Nutzung kann dies zu einer Offenlegung von Informationen führen. Dies hat keine Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

 

18. Score 4.1  (Medium priority)

Nummer: 3392049 

[CVE-2024-33000] Fehlende Berechtigungsprüfung in SAP Bank Account Management

Für einen autorisierten Benutzer führt SAP Bank Account Management keine erforderliche Berechtigungsprüfung durch, was zu einer potenziellen Rechteausweitung führen kann. Diese Schwachstelle hat geringfügige Auswirkungen auf die Vertraulichkeit des Systems.

14. Score 4.7  (Medium priority)

Nummer: 3456952 

[CVE-2024-39599] Ausfall des Schutzmechanismus in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Ein Fehler im Schutzmechanismus des SAP NetWeaver Application Servers für ABAP und der ABAP-Plattform ermöglicht es einem Entwickler, das konfigurierte Malware-Scanner-API aufgrund eines Programmfehlers zu umgehen. Diese Schwachstelle hat geringfügige Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

 
 

15. Score 4.3  (Medium priority)

Nummer: 3476348 

[CVE-2024-39596] Schwachstelle aufgrund fehlender Berechtigungsprüfung in SAP Enable Now

Aufgrund fehlender Berechtigungsprüfungen erlaubt SAP Enable Now einem Autor, Zugriffsberechtigungen auf Informationen auszuweiten, die normalerweise eingeschränkt sein sollten. Ein erfolgreicher Angriff könnte begrenzte Auswirkungen auf die Vertraulichkeit der Anwendung haben.

 

18. Score 3.5  (Low priority)

Nummer: 3392049 

[CVE-2024-33000] Fehlende Berechtigungsprüfung in SAP Bank Account Management

SAP Bank Account Management führt für autorisierte Benutzer keine erforderlichen Berechtigungsprüfungen durch, was zu einer potenziellen Rechteausweitung führen kann. Dies hat geringfügige Auswirkungen auf die Vertraulichkeit des Systems.

Änderungsprotokoll:

  • Version 8 (aktuell) – UPDATE vom 11. Juni 2024: Dieser SAP-Hinweis wurde erneut veröffentlicht mit aktualisierten Anweisungen zur Fehlerbehebung.
  • Version 6 (Erstversion)
 

16. Score 4.1  (Medium priority)

Nummer: 3101986

CSP-Unterstützung für On-Premise-Downport für Codeabhängigkeit im SAP CRM WebClient UI vorbereiten

Korrekturen für Verstöße gegen die Content-Security-Policy (CSP), wie im SAP-Hinweis 3107861 beschrieben, sind erforderlich, um Abhängigkeiten im Code zu beheben.

Weitere Informationen zur Unterstützung der Content-Security-Policy (CSP) für SAP S/4HANA Private Cloud im SAP CRM WebClient UI finden Sie im SAP-Hinweis 3479117: „Aktivieren der CSP-Unterstützung für SAP S/4HANA Private Cloud im SAP CRM WebClient UI“.

Änderungsprotokoll:

  • Version 4 (aktuell) – UPDATE vom 9. Juli 2024: Dieser SAP-Hinweis wurde mit Textänderungen im Titel erneut veröffentlicht.
  • Version 2 (Erstversion)
 

17. Score 4.1  (Medium priority)

Nummer: 3454858

[CVE-2024-37180] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Unter spezifischen Bedingungen gestattet der SAP NetWeaver Application Server für ABAP und die ABAP-Plattform einem Angreifer den Zugriff auf remote-fähige Funktionsbausteine ohne notwendige Berechtigungen, die normalerweise eingeschränkt wären. Diese Schwachstelle kann genutzt werden, um nicht sensible Informationen abzurufen, was jedoch nur geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung hat.

 
 

18. Score 3.5  (Low priority)

Nummer: 3392049

[CVE-2024-33000] Fehlende Berechtigungsprüfung in SAP Bank Account Management

SAP Bank Account Management führt für autorisierte Benutzer keine erforderlichen Berechtigungsprüfungen durch, was zu einer potenziellen Rechteausweitung führen kann. Dies hat geringfügige Auswirkungen auf die Vertraulichkeit des Systems.

Änderungsprotokoll:

  • Version 8 (aktuell) – UPDATE vom 11. Juni 2024: Dieser SAP-Hinweis wurde erneut veröffentlicht mit aktualisierten Anweisungen zur Fehlerbehebung.
  • Version 6 (Erstversion)
 
 

19. Score 3.3  (Low priority)

Nummer: 3476340

 [CVE-2024-34692] Uneingeschränkte Datei-Upload-Schwachstelle in SAP Enable Now

Durch mangelnde Verifizierung des Dateityps oder -inhalts gestattet SAP Enable Now einem authentifizierten Angreifer, beliebige Dateien hochzuladen. Diese Dateien könnten ausführbare Inhalte enthalten, die von Benutzern heruntergeladen und ausgeführt werden könnten, was zur Installation von Malware führen könnte. Ein erfolgreicher Angriff könnte begrenzte Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung haben.

 
 
 

Aktuelle Patches

SAP NEWS: Patchday Juni 2024

Hier findet ihr eine Übersicht der SAP Security Notes für Juni 2024:

1. Score 8.1   (High priority)

Nummer: 3457592

[CVE-2024-37177] Cross-Site-Scripting-(XSS)-Schwachstellen in SAP Financial Consolidation

Dieser Sicherheitshinweis behandelt zwei Schwachstellen in SAP Financial Consolidation. Details und CVE-Informationen finden Sie im SAP-Hinweis.

Reflected XSS

Daten aus nicht vertrauenswürdigen Quellen können über das Netzwerk in die Webanwendung gelangen und den Inhalt der Website ändern. Dies kann die Vertraulichkeit und Integrität der Anwendung erheblich beeinträchtigen.

  • CVE-2024-37177
  • CVSS Score: 8.1; CVSS:3.0/AV
     
    /AC /PR /UI /S /C /I /A
     

Stored XSS

Unzureichende Kodierung benutzergesteuerter Eingaben führt zu einer XSS-Schwachstelle. Dies kann begrenzte Auswirkungen auf die Vertraulichkeit der Anwendung haben.

  • CVE-2024-37178
  • CVSS Score: 5.0; CVSS:3.0/AV
     
    /AC /PR /UI /S /C /I /A

2. Score 7.5   (High priority)

Nummer: 3460407

[CVE-2024-34688] Denial-of-Service (DOS) in SAP NetWeaver AS Java (Meta Model Repository)

Durch den uneingeschränkten Zugriff auf die Metamodell-Repository-Services in SAP NetWeaver AS Java können Angreifer DoS-Angriffe ausführen, die rechtmäßige Benutzer vom Zugriff auf die Anwendung abhalten. Dies beeinträchtigt nicht die Vertraulichkeit und Integrität, hat jedoch erhebliche Auswirkungen auf die Verfügbarkeit der Anwendung.

3. Score 6.5   (High priority)

Nummer: 3459379 

[CVE-2024-34683] Uneingeschränkter Datei-Upload in SAP Document Builder (HTTP-Service)

Eine schädliche Datei kann von einem authentifizierten Angreifer in den Service SAP Document Builder hochgeladen werden. Öffnet ein Opfer diese Datei, kann der Angreifer im Browser des Opfers auf die entsprechenden Informationen zugreifen, sie ändern oder den Zugriff darauf blockieren.

4. Score 6.5  (High priority)

Nummer: 3453170

 [CVE-2024-33001] Denial-of-Service-Angriff (DOS) in SAP NetWeaver und ABAP-Platfform

SAP NetWeaver und die ABAP-Plattform sind anfällig für Angriffe, bei denen ein Angreifer durch Absturz oder Überlastung des Services die Leistung für legitime Benutzer beeinträchtigen kann.

Diese Denial-of-Service-Schwachstelle führt zu Verzögerungen und Unterbrechungen, was die Verfügbarkeit der Anwendung stark beeinträchtigt und die Benutzererfahrung deutlich verschlechtert.

5. Score 6.5   (High priority)

Nummer: 3466175

[CVE-2024-34691] Fehlende Berechtigungsprüfung in SAP S/4HANA („Eingangszahlungsdateien verwalten“)

Die SAP S/4HANA-App „Eingangszahlungsdateien verwalten“ überprüft für authentifizierte Benutzer nicht die notwendigen Berechtigungen, was zu einer Rechteausweitung führen kann. Dies hat erhebliche Auswirkungen auf die Integrität des Systems, jedoch keine Auswirkungen auf dessen Vertraulichkeit und Verfügbarkeit.

6. Score 6.1   (Medium priority)

Nummer: 3465129

[CVE-2024-34686] Cross-Site-Scripting-Schwachstelle (XSS) in SAP CRM (WebClient UI)

Wegen mangelnder Eingabevalidierung im SAP CRM WebClient UI kann ein nicht authentifizierter Angreifer einen bösartigen URL-Link generieren. Klickt ein Opfer auf diesen Link, wird ein schädliches Skript im Browser des Opfers ausgeführt, wodurch der Angreifer Informationen abgreifen oder manipulieren kann, ohne die Verfügbarkeit der Anwendung zu beeinträchtigen.

7. Score 5.5   (Medium priority)

Nummer: 3465455

[CVE-2024-37176] Fehlende Berechtigungsprüfung in SAP-BW/4HANA-Transformation und DTP

Durch die SAP-BW/4HANA-Transformation und den Datentransferprozess (DTP) kann ein authentifizierter Angreifer durch Ausnutzen unzureichender Berechtigungsprüfungen unerwartet höhere Zugriffsebenen erlangen, was zu einer beträchtlichen Rechteausweitung führen kann. Während die Vertraulichkeit der Daten nicht gefährdet ist, können signifikante Beeinträchtigungen der Integrität und Verfügbarkeit der Anwendung auftreten.

8. Score 5.4   (Medium priority)

Nummer: 3457265

[CVE-2024-34690]

SAP Student Lifecycle Management (SLcM) unterzieht authentifizierte Benutzer keinen angemessenen Berechtigungsprüfungen, was zu einer potenziellen Rechteausweitung führt. Im Erfolgsfall könnte ein Angreifer möglicherweise auf normalerweise eingeschränkte Berichtsvarianten zugreifen und diese bearbeiten, was zwar minimale Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat, jedoch eine ernsthafte Sicherheitslücke darstellt.

9. Score 5.3  (Medium priority)

Nummer: 3425571

[CVE-2024-28164] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS Java (Guided Procedures)

Ein nicht authentifizierter Benutzer kann über SAP NetWeaver AS Java (CAF – Guided Procedures) auf nicht sensible Serverinformationen zugreifen, die normalerweise eingeschränkt wären. Dies hat nur minimale Auswirkungen auf die Vertraulichkeit der Anwendung.

 

10. Score 3.9   (Low priority)

Nummer: 2638217

Schaltbare Berechtigungsprüfungen in Central-Finance-Infrastrukturkomponenten

In diesem SAP-Hinweis werden neue schaltbare Berechtigungsprüfungen in den Infrastrukturkomponenten von Central Finance beschrieben.

Änderungsprotokoll:

v3 (aktuelle Version) – 28. Mai 2024: Der Hinweis wurde mit aktualisierten Informationen zur Korrekturanleitung erneut veröffentlicht.

v1 (Erstversion)

11. Score 3.7   (Low priority)

Nummer: 3441817

[CVE-2024-34684] Schwachstelle bezüglich der Offenlegung von Informationen in SAP-BusinessObjects-Business-Intelligence-Plattform (Scheduling)

Auf Unix-Systemen ermöglicht die SAP-BusinessObjects-Business-Intelligence-Plattform (Scheduling) einem authentifizierten Angreifer mit Administratorzugriff auf dem lokalen Server den Zugriff auf das Kennwort eines lokalen Kontos. Dadurch kann der Angreifer Anmeldeinformationen für nicht-administrative Benutzer abrufen, was ihm wiederum ermöglicht, auf Remote-Serverdateien zuzugreifen oder diese zu ändern.

Security Insights

SAP-Sicherheit: Mission Possible! Mit diesen Strategien meistern Sie die Herausforderung auch mit begrenzten Ressourcen.

In der heutigen digitalen Welt ist die Gewährleistung der SAP-Sicherheit für Unternehmen aller Größenordnungen unerlässlich. Doch gerade für Unternehmen mit begrenzten Ressourcen kann dies eine Herausforderung darstellen.

Keine Panik! Mit den richtigen Schritten und intelligenten Lösungen können Sie auch mit knappen Mitteln die Sicherheit Ihrer SAP-Systeme deutlich verbessern. In diesem Artikel erfahren Sie, wie Sie trotz begrenzter finanzieller, personeller und zeitlicher Ressourcen die Abwehr Ihrer SAP-Landschaft stärken können.

 

Wie können Unternehmen mit begrenzten Budgets ihre SAP-Sicherheit verbessern?

Auch wenn Unternehmen mit finanziellen Engpässen konfrontiert sind, können sie dennoch wichtige Schritte unternehmen, um die Sicherheit ihrer SAP-Systeme zu verbessern. Zunächst sollten sie das Bewusstsein für Sicherheitsrisiken schärfen und ihre Mitarbeiter über bewährte Sicherheitspraktiken im Umgang mit SAP-Systemen informieren. Darüber hinaus können sie grundlegende Sicherheitsmaßnahmen wie Zugangskontrolle, Berechtigungsverwaltung und Passwortrichtlinien implementieren, ohne zusätzliche Kosten zu verursachen. Diese Maßnahmen stellen einen soliden ersten Schritt dar, um das Sicherheitsniveau zu erhöhen.

Für weitere Sicherheitsverbesserungen können Unternehmen etablierte und kosteneffiziente SAP-Sicherheitslösungen, wie zum Beispiel werthAUDITOR, in Betracht ziehen, die wichtige Sicherheitsfunktionen bieten. Alternativ können sie auch Managed Services von Drittanbietern nutzen, um Sicherheitsaufgaben auszulagern und Kosten zu senken. Für die Zukunft sollten Unternehmen stabile Budgets für Sicherheitsmaßnahmen festlegen und Investitionen basierend auf Risikoanalysen und Sicherheitsbedürfnissen priorisieren.

Investitionen in SAP-Sicherheit zahlen sich auf lange Sicht aus, da sie dazu beitragen, das Risiko von Datenverlust, Betriebsunterbrechungen und finanziellen Schäden durch Sicherheitsvorfälle zu minimieren. Ein sicherheitskonformes SAP-System hilft Unternehmen außerdem, gesetzliche und branchenspezifische Compliance-Anforderungen zu erfüllen und potenzielle Geldstrafen zu vermeiden. Darüber hinaus trägt eine sichere SAP-Umgebung dazu bei, das Vertrauen von Kunden, Partnern und Stakeholdern zu erhalten und langfristige finanzielle Verluste durch Sicherheitsvorfälle zu vermeiden.

Erste Schritte:

Weitere Maßnahmen:

Langfristige Vorteile von SAP-Sicherheitsinvestitionen:

Risikominimierung: Investitionen in Sicherheitsmaßnahmen helfen, das Risiko von Datenverlust, Betriebsunterbrechungen und finanziellen Schäden durch Sicherheitsvorfälle zu minimieren.

Compliance: Ein sicherheitskonformes SAP-System hilft Unternehmen, gesetzliche und branchenspezifische Compliance-Anforderungen zu erfüllen und potenzielle Geldstrafen zu vermeiden.

Reputationsschutz: Ein sicherer Ruf ist für Unternehmen von unschätzbarem Wert. Investitionen in SAP-Sicherheit helfen, das Vertrauen von Kunden, Partnern und Stakeholdern zu erhalten.

Langfristige Kosteneffizienz: Obwohl Investitionen in Sicherheit zunächst Kosten verursachen können, können sie langfristig helfen, finanzielle Verluste durch Sicherheitsvorfälle zu vermeiden, die viel teurer sein können.

Sicherheit der SAP-Systeme trotz personeller Engpässe: Was sind die Möglichkeiten?

Auch wenn Unternehmen mit personellen Engpässen in Bezug auf die Sicherheit ihrer SAP-Systeme zu kämpfen haben, gibt es dennoch verschiedene Maßnahmen, die sie ergreifen können, um ihre Sicherheitslage zu verbessern. Ein erster Schritt besteht darin, die Sicherheitsmaßnahmen zu priorisieren. Indem sie die wichtigsten Risiken identifizieren und priorisieren, können sie ihre begrenzten Ressourcen effektiver einsetzen. Dazu gehört die Konzentration auf Bereiche wie Zugangskontrolle, Berechtigungsverwaltung und Datenverschlüsselung.

 

Eine weitere Möglichkeit besteht darin, Sicherheitsaufgaben zu automatisieren. Durch die Implementierung von automatisierten Tools und Lösungen wie werthAUDITOR können repetitive Sicherheitsaufgaben automatisiert werden, was Zeit und Ressourcen spart. Darüber hinaus sollten Unternehmen in Schulungen und Weiterbildungen investieren, um das Sicherheitsbewusstsein ihres Personals zu stärken und deren Kenntnisse im Bereich SAP-Sicherheit zu verbessern.

 

Wenn die personellen Ressourcen begrenzt sind, kann auch die Auslagerung von Sicherheitsaufgaben an externe Dienstleister oder Managed Security Service Provider (MSSPs) in Betracht gezogen werden. Diese externen Experten können bei der Überwachung, Analyse und Behebung von Sicherheitsvorfällen unterstützen und die interne Belastung verringern. Des Weiteren können Partnerschaften und Zusammenarbeit mit anderen Unternehmen oder Organisationen im Bereich SAP-Sicherheit helfen, Ressourcen, Erfahrungen und Best Practices zu teilen und gemeinsam Sicherheitsrisiken zu minimieren.

 

Durch die Umsetzung dieser Maßnahmen können Unternehmen trotz personeller Engpässe ihre Sicherheitslage verbessern und ihre SAP-Systeme effektiver schützen

Erste Schritte:

Weitere Maßnahmen:

Welche Maßnahmen helfen Unternehmen mit knappen Zeitressourcen, die Sicherheit ihrer Systeme zu verbessern?

In einem Umfeld, in dem Ressourcen knapp und Zeit ein kostbares Gut ist, stehen Unternehmen vor der anspruchsvollen Aufgabe, die Sicherheit ihrer SAP-Systeme zu gewährleisten, ohne dabei den reibungslosen Geschäftsbetrieb zu beeinträchtigen. Angesichts der zunehmenden Bedrohungen durch Cyberangriffe und potenzielle Datenverluste ist die Implementierung effektiver Schutzmaßnahmen jedoch unerlässlich.

Um eine solide Basis für die Sicherheit zu schaffen, sind einige erste Schritte von entscheidender Bedeutung. Hierzu gehört die Identifizierung der kritischen SAP-Systeme und Komponenten, die für den Geschäftsbetrieb unverzichtbar sind, sowie deren Priorisierung und gezielte Absicherung. Eine regelmäßige Risikobewertung der gesamten SAP-Umgebung ermöglicht es Unternehmen, potenzielle Sicherheitslücken zu erkennen und entsprechend zu priorisieren.

Die zeitnahe Einspielung von Sicherheitsupdates für SAP-Software und -Systeme sowie die regelmäßige Überprüfung der Systemkonfiguration nach Best Practices sind ebenfalls essenziell, um bekannte Schwachstellen zu schließen und das System vor neuen Bedrohungen zu schützen. Durch die Anwendung des Prinzips der geringsten Privilegien bei der Zugriffsverwaltung können Unternehmen zudem die Angriffsfläche minimieren und das Risiko von Sicherheitsverstößen verringern.

Des Weiteren sind Investitionen in die Schulung der Mitarbeiter im Bereich Cybersicherheit von großer Bedeutung, um das Bewusstsein für Sicherheitsbedrohungen zu schärfen und sichere Verhaltensweisen im Umgang mit IT-Systemen zu fördern. Regelmäßige Datensicherungen und die kontinuierliche Überwachung der SAP-Umgebung auf verdächtige Aktivitäten runden die grundlegenden Sicherheitsmaßnahmen ab.

Sobald diese grundlegenden Schritte implementiert sind, können Unternehmen weitere Maßnahmen ergreifen, um die Sicherheit ihrer SAP-Systeme weiter zu verbessern. Dazu gehören die Implementierung einer Zero-Trust-Sicherheitsarchitektur, die Nutzung von Security-as-a-Service (SaaS)-Lösungen sowie regelmäßige Penetrationstests und Investitionen in Managed Security Services.

Zusätzlich zur Umsetzung dieser Maßnahmen ist die Entwicklung eines umfassenden Cybersicherheitsplans sowie die enge Zusammenarbeit mit SAP-Anbietern und -Partnern entscheidend. Die Kommunikation der Bedeutung einer Cybersicherheitskultur an alle Mitarbeiter und Führungskräfte des Unternehmens rundet die Sicherheitsstrategie ab.

Durch die konsequente Umsetzung dieser Maßnahmen können Unternehmen mit zeitlichen Engpässen die Sicherheit ihrer SAP-Systeme deutlich verbessern und das Risiko von Cyberangriffen und Datenverlusten erheblich verringern. Die Investition in Sicherheit ist dabei nicht nur eine kurzfristige Notwendigkeit, sondern eine langfristige Strategie zum Schutz der wertvollen Daten und Ressourcen des Unternehmens.

Erste Schritte für eine starke Basis:

Erste Schritte für eine starke Basis:

Sobald die grundlegenden Sicherheitsmaßnahmen implementiert sind, können Unternehmen weitere Schritte unternehmen, um die Sicherheit ihrer SAP-Systeme weiter zu verbessern.

Zusätzliche Tipps:

Umfassender Cybersicherheitsplan: Entwickeln Sie einen umfassenden Plan für die Cybersicherheit Ihrer SAP-Systeme, der alle relevanten Aspekte abdeckt.

Aktualisierung über Bedrohungen: Bleiben Sie über die neuesten Sicherheitsbedrohungen und Schwachstellen informiert und aktualisieren Sie Ihre Schutzmaßnahmen entsprechend.

Zusammenarbeit mit Anbietern und Partnern: Arbeiten Sie eng mit Ihren SAP-Anbietern und -Partnern zusammen, um die Sicherheit Ihrer SAP-Systeme zu gewährleisten.

Kommunikation der Cybersicherheitskultur:  Kommunizieren Sie die Bedeutung der Cybersicherheit an alle Mitarbeiter und Führungskräfte des Unternehmens, um eine gemeinsame Sicherheitskultur zu schaffen.

Aktuelle Patches

SAP NEWS: Patchday April 2024

Hier findet ihr eine Übersicht der SAP Security Notes für April 2024:

1. Score 8.8   (High priority)

Nummer: 3434839

[CVE-2024-27899] Schwachstelle mit Blick auf falsche Sicherheitskonfiguration in SAP NetWeaver AS Java User Management Engine

Die Funktionen der Selbstregistrierung und Profilbearbeitung in der Benutzerverwaltungsanwendung von SAP NetWeaver AS Java erfüllen nicht die erforderlichen Sicherheitsstandards für die neu definierten Sicherheitsanforderungen. Diese Schwachstelle könnte von einem Angreifer ausgenutzt werden, um erhebliche Vertraulichkeitsrisiken sowie geringfügige Beeinträchtigungen der Integrität und Verfügbarkeit zu verursachen.

2. Score 7.7   (High priority)

Nummer: 3421384

[CVE-2024-25646] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP BusinessObjects Web Intelligence

Durch eine fehlerhafte Validierung ermöglicht das SAP-BusinessObjects-Business-Intelligence-Launchpad einem authentifizierten Angreifer den Zugriff auf Betriebssysteminformationen über ein erstelltes Dokument. Die erfolgreiche Ausnutzung dieser Schwachstelle kann erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung haben.

3. Score 7.2   (High priority)

Nummer: 3438234

[CVE-2024-27901] Directory-Traversal-Schwachstelle in SAP Asset Accounting

„Durch die unzureichende Validierung der von Benutzern bereitgestellten Pfadinformationen in SAP Asset Accounting kann ein Angreifer mit hohen Berechtigungen diese an die Datei-APIs übergeben und somit erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung verursachen.

4. Score 6.8  (High priority)

Nummer: 3442741

Stack-Überlauf-Schwachstelle in Komponentenbildern von SAP Integration Suite (EDGE INTEGRATION CELL)

Eine Stack-Überlauf-Schwachstelle wurde in Open Source ash.c:6030 in busybox entdeckt. Diese Schwachstelle ermöglicht es einem Angreifer, beliebigen Code aus der Befehlszeile in einem Container-Image auszuführen. Es ist jedoch nur möglich, Befehle über die Anwendung selbst auszuführen, wenn der Zugriff auf laufende Container nicht eingeschränkt ist. Dies hat potenziell hohe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung.

5. Score 6.5   (High priority)

Nummer: 3359778

[CVE-2024-30218] Denial-of-Service-Schwachstelle (DoS) in SAP NetWeaver AS ABAP und ABAP-Plattform

Durch das gezielte Auslösen von Abstürzen oder das Überfluten des Service können Angreifer den Zugriff rechtmäßiger Benutzer auf einen Service auf dem ABAP Application Server und der ABAP-Plattform verhindern. Dies führt zu erheblichen Beeinträchtigungen der Verfügbarkeit des betroffenen Services.

6. Score 6.5   (Medium priority)

Nummer: 3164677

[CVE-2022-29613] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Employee Self-Service (SAP Fiori „Meine Abwesenheitsanträge)

Aufgrund unzureichender Eingabevalidierung in SAP Employee Self-Service kann ein authentifizierter Angreifer mit Benutzerberechtigungen die Mitarbeiternummer ändern. Nach erfolgreicher Ausnutzung der Schwachstelle kann der Angreifer persönliche Daten anderer Benutzer anzeigen, was sich nur begrenzt auf die Vertraulichkeit der Anwendung auswirkt.

7. Score 6.5   (Medium priority)

Nummer: 3442378

[CVE-2024-28167] Fehlende Berechtigungsprüfung in SAP Group Reporting Data Collection (Paketdaten eingeben)

Für authentifizierte Benutzer führt SAP Group Reporting Data Collection keine erforderlichen Berechtigungsprüfungen durch, was zu einer Rechteausweitung führt. Dadurch kann ein Benutzer bestimmte Daten über die App „Paketdaten eingeben“ ändern, selbst wenn er nicht über ausreichende Berechtigungen verfügt. Dies stellt eine erhebliche Bedrohung für die Integrität der Anwendung dar.

8. Score 6.1   (Medium priority)

Nummer: 3156972

[CVE-2023-40306] URL-Umleitungsschwachstelle in SAP S/4HANA (Katalogpositionen verwalten und katalogübergreifende Suche)

Durch eine unzureichende URL-Validierung in den SAP-Fiori-Apps „Katalogpositionen verwalten“ und „Katalogübergreifende Suche“ in SAP S/4HANA besteht die Gefahr, dass ein Angreifer Benutzer auf eine schädliche Website umleiten kann. Obwohl dies nur geringfügige Auswirkungen auf die Vertraulichkeit und Integrität hat, stellt es dennoch eine potenzielle Bedrohung dar.

9. Score 5.3   (Medium priority)

Nummer: 3425188

[CVE-2024-27898] Serverseitige Request-Forgery in SAP NetWeaver (tc~esi~esp~grmg~wshealthcheck~ear)

Aufgrund unzureichender Eingabevalidierung gestattet die SAP-NetWeaver-Anwendung (tcesiespgrmgwshealthcheck~ear) nicht authentifizierten Angreifern das Senden gezielter Anfragen aus einer anfälligen Webanwendung heraus. Diese Anfragen könnten interne Systeme hinter Firewalls angreifen, die normalerweise nicht über das externe Netzwerk zugänglich sind. Dies könnte potenziell schwerwiegende Schwachstellen für serverseitige Request-Forgery verursachen, die jedoch nur geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung haben.

10. Score 4.8   (Medium priority)

Nummer: 3421453

[Mehrere CVEs] Cross-Site-Scripting-Schwachstellen (XSS) in SAP Business Connector

Der vorliegende SAP-Sicherheitshinweis betrifft verschiedene Schwachstellen, die im SAP Business Connector entdeckt wurden. Im Folgenden finden Sie Details zu den Sicherheitslücken sowie relevante Informationen:

  1. Cross-Site Scripting (Reflected)
    • CVE-2024-30214
    • CVSS Score: 4.8; CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Die Anwendung erlaubt einem Angreifer mit hohen Berechtigungen, einen schädlichen GET-Abfrageparameter an Serviceaufrufe anzufügen, die in der Serverantwort reflektiert werden. Wenn der Parameter JavaScript enthält, könnte das Skript unter bestimmten Umständen auf der Client-Seite ausgeführt werden.

  1. Cross-Site Scripting (Stored)
    • CVE-2024-30215
    • CVSS Score: 4.8; CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Ein Angreifer mit hohen Berechtigungen kann auf der Seite Ressourceneinstellungen eine schädliche Nutzlast speichern und wiedergeben, wenn ein Benutzer die Seite aufruft. Ein erfolgreicher Angriff könnte einige Informationen offengelegt und/oder modifiziert werden. Es sei jedoch angemerkt, dass der Angreifer keine Kontrolle darüber hat, welche Informationen erlangt werden, und dass der Umfang oder die Art des möglichen Schadens begrenzt ist.

11. Score 4.3   (Medium priority)

Nummer: 3430173

[CVE-2024-30217] Fehlende Berechtigungsprüfung in SAP S/4HANA (Cash Management)

Cash Management in SAP S/4HANA weist eine Schwachstelle auf, bei der für authentifizierte Benutzer nicht die erforderlichen Berechtigungsprüfungen durchgeführt werden. Dies kann zu einer Rechteausweitung führen, wodurch ein Angreifer die Möglichkeit erhält, einen Bankkontenantrag zu genehmigen oder abzulehnen. Diese Handlung beeinflusst die Integrität des Antrags, während Vertraulichkeit und Verfügbarkeit nicht betroffen sind.

12. Score 4.3   (Medium priority)

Nummer: 3427178

[CVE-2024-30216] Fehlende Berechtigungsprüfung in SAP S/4HANA (Cash Management)

Cash Management in SAP S/4HANA weist eine Schwachstelle auf, bei der für authentifizierte Benutzer nicht die erforderlichen Berechtigungsprüfungen durchgeführt werden. Dadurch kann ein Angreifer Notizen in der Review-Anforderung mit dem Status „Abgeschlossen“ hinzufügen, was sich auf die Integrität der Anwendung auswirken kann. Vertraulichkeit und Verfügbarkeit sind davon nicht betroffen.

Aktuelle Patches

Bildnachweis: Firefly.com

Hier findet ihr eine Übersicht der SAP Security Notes für März 2024:

1. Score 10  (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Update 12. März 2024: Dieser Sicherheitshinweis wurde in den Abschnitten „Lösung“ und „Support-Packages-Patches“ aktualisiert und erneut veröffentlicht.

Es geht um Schwachstellen im Drittanbieter-Webbrowser-Control Chromium, das im SAP Business Client verwendet wird. Dieser Hinweis wird regelmäßig aktualisiert entsprechend den Updates des Open-Source-Projekts Chromium. Weitere Details finden Sie im Lösungsabschnitt.

Die Priorität dieses Hinweises basiert auf dem höchsten CVSS-Wert aller Schwachstellen im neuesten Browser-Release.

Ab SAP Business Client 6.5 PL5 wird das Browser-Control Chromium für die Anzeige von HTML-Content verwendet. Da dieses Control in SAP Business Client integriert wird, werden Sicherheitskorrekturen über SAP-Business-Client-Patches bereitgestellt. Wenn das SAP-Business-Client-Release nicht auf dem aktuellen Patch-Level ist, können Schwachstellen auftreten, wie z.B. Speicherschäden oder Offenlegung von Informationen, beim Anzeigen von Webseiten. Einige Auswirkungen sind:

  • Offenlegung von Systeminformationen oder sogar Systemabsturz
  • Direkte Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit eines Systems
  • Möglicher Einsatz dieser Informationen für weitere Angriffe mit ernsthaften Folgen

2. Score 9.4  (Hot News)

Nummer: 3425274

[CVE-2019-10744] Code-Injection-Schwachstelle in Anwendungen, die mit SAP Build Apps erstellt wurden

Anwendungen, die mit SAP Build Apps erstellt wurden, stehen durch die Code-Injection-Schwachstelle CVE-2019-10744 erheblich unter Gefahr. Diese Schwachstelle erlaubt es Angreifern, nicht autorisierte Befehle im System auszuführen, was zu erheblichen Beeinträchtigungen der Integrität und Verfügbarkeit der Anwendung führen kann und potenziell gravierende Sicherheitsrisiken birgt.

3. Score 9.1   (Hot News)

Nummer: 3433192

 [CVE-2024-22127] Code-Injection-Schwachstelle in SAP NetWeaver AS Java (Administrator-Log-Viewer-Plug-In)

Das AS-Java-Log-Viewer-Plug-In von SAP NetWeaver Administrator weist eine potenzielle Sicherheitslücke auf, die es einem Angreifer mit erweiterten Berechtigungen ermöglicht, riskante Dateien hochzuladen. Dies führt zu einer Schwachstelle für Befehlseinschleusung, über die der Angreifer Anweisungen ausführen kann, die sich stark auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung auswirken können.

4. Score 8.8   (High priority)

Nummer: 3346500

[CVE-2023-39439] Falsche Authentifizierung in SAP Commerce Cloud

Am 12. März 2024 wurde dieser Hinweis mit aktualisierten Lösungsinformationen erneut veröffentlicht.

In bestimmten Konfigurationen der SAP Commerce Cloud kann es vorkommen, dass eine leere Kennphrase für die Authentifizierung mit Benutzer-ID und Kennphrase akzeptiert wird. Dadurch haben Benutzer die Möglichkeit, sich ohne Eingabe einer Kennphrase am System anzumelden.

5. Score 7.5   (High priority)

Nummer: 3410615

 [CVE-2023-44487 ] Denial-of-Service (DOS) in SAP HANA XS Classic und HANA XS Advanced

Unauthentifizierte Benutzer können über eine Vielzahl von HTTP/2-Anfragen in SAP HANA XS Classic und HANA XS Advanced einen Netzwerk-Denial-of-Service-Angriff (DOS) initiieren und später die Anfragen abbrechen. Dies kann zu einer Überlastung des Speichers führen und die Verfügbarkeit der Anwendung erheblich beeinträchtigen. Die Vertraulichkeit und Integrität der Anwendung sind davon jedoch nicht betroffen.

6. Score 7.2   (High priority)

Nummer: 3414195

[CVE-2023-50164] Pfad-Traversal-Schwachstelle auf SAP-BusinessObjects-Business-Intelligence-Plattform (Central Management Console)

Die SAP-BusinessObjects-Business-Intelligence-Plattform verwendet in ihrer CMC eine Version von Apache Struts, die von CVE-2023-50164 betroffen ist. Bei Ausnutzung durch einen Benutzer mit hohen Berechtigungen könnten die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung erheblich sein.

7. Score 5.4   (Medium priority)

Nummer: 3377979

[CVE-2024-27902] Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver AS ABAP (auf SAP GUI for HTML (Web Gui) basierende Anwendungen)

Anwendungen, die auf SAP GUI for HTML in SAP NetWeaver AS ABAP basieren, behandeln benutzergesteuerte Eingaben nicht ausreichend, was zu einer Cross-Site-Scripting-Schwachstelle (XSS) führt. Durch einen erfolgreichen Angriff könnte ein böswilliger Angreifer Code im Browser eines Benutzers ausführen, um auf Daten zuzugreifen und diese zu manipulieren. Die Verfügbarkeit des Systems wird davon nicht beeinträchtigt.

8. Score 5.3   (Medium priority)

Nummer: 3434192

[CVE-2024-28163] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver Process Integration (Support Web Pages)

Unter spezifischen Umständen erlaubt es Support Web Pages von SAP NetWeaver Process Integration (PI) einem Angreifer, auf normalerweise eingeschränkte Informationen zuzugreifen. Dies hätte geringe Auswirkungen auf die Vertraulichkeit, ohne die Integrität und Verfügbarkeit der Anwendung zu beeinträchtigen.

9. Score 5.3   (Medium priority)

Nummer: 3425682

[CVE-2024-25644] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver (WSRM)

Unter bestimmten Voraussetzungen gestattet SAP NetWeaver Application Server WSRM einem Angreifer den Zugriff auf normalerweise eingeschränkte Informationen. Dies hat minimale Auswirkungen auf die Vertraulichkeit der Anwendung und keine Auswirkungen auf ihre Integrität und Verfügbarkeit.

10. Score 5.3   (Medium priority)

Nummer: 3428847

[CVE-2024-25645] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP NetWeaver (Enterprise Portal)

Unter spezifischen Umständen gestattet SAP NetWeaver Enterprise Portal einem Angreifer den Zugriff auf normalerweise eingeschränkte Informationen. Dies hat geringfügige Auswirkungen auf die Vertraulichkeit der Anwendung, jedoch keine Auswirkungen auf ihre Integrität und Verfügbarkeit.

11. Score 4.6   (Medium priority)

Nummer: 3417399

[CVE-2024-22133] Ungeeignete Zugriffskontrolle in SAP-Fiori-Frontend-Server

Der SAP-Fiori-Frontend-Server gestattet die Änderung von Details des Genehmigenden im schreibgeschützten Feld während des Versendens von Abwesenheitsantragsinformationen. Diese Änderung könnte dazu führen, dass ein Antrag mit einem falschen Genehmigenden erstellt wird. Dies hätte geringfügige Auswirkungen auf die Vertraulichkeit und Integrität, jedoch keine Auswirkungen auf die Verfügbarkeit der Anwendung.

12. Score 4.3   (Medium priority)

Nummer: 3419022

[CVE-2024-27900] Fehlende Berechtigungsprüfung in der SAP-ABAP-Plattform

Durch das Fehlen einer Berechtigungsprüfung besteht die Möglichkeit für einen Angreifer mit einem Anwendungsbenutzerkonto, die Datenschutzeinstellung von Jobvorlagen von „Freigegeben“ auf „Privat“ zu ändern. Dadurch wäre die ausgewählte Vorlage nur für den Eigentümer zugänglich.

Sicherheitsaspekte in der KI-gestützten SAP-Zukunft

Bildnachweis: Firefly.com

Mensch und Maschine im Team - Die Zukunft der SAP Security mit KI

Die zunehmende Bedeutung generativer KI für die Geschäftswelt ist unübersehbar. In der Tat, KI ist wie ein wildes Pony – voller Potenzial, aber gleichzeitig auch etwas unberechenbar. Was bedeutet das nun für die SAP Security? Nun, es wird… spannend!

KI TRiSM: Ja, der Name klingt etwas sperrig, aber dahinter verbirgt sich ein wichtiger Schritt: Vertrauenswürdige KI. Denn KI-Anwendungen sollten nicht nur clever sein, sondern auch ethisch handeln und unsere Daten schützen. Sonst wird’s schnell haarig!

Um die Sicherheit von KI-Anwendungen zu gewährleisten, müssen wir:

Chip-Engpässe: Weniger Chips, mehr Fokus auf ROI – das klingt nach einer harten Zeit für KI-Projekte. Aber keine Angst, liebe Community! Die Security-Profis unter uns werden dafür sorgen, dass die Investitionen in KI auch wirklich sinnvoll sind. Stichwort: Risikomanagement mit Köpfchen!

KI-gestützte Kundenerlebnisse: Coole Chatbots und virtuelle Assistenten – alles super spannend! Aber wir müssen auch aufpassen, dass unsere sensiblen Kundendaten nicht in die falschen Hände geraten. Also, liebe Unternehmen: Sicherheit first!

Um die Sicherheit von KI-gestützten Kundenerlebnissen zu gewährleisten, müssen wir:

Mitarbeitererlebnis: KI verändert die Arbeitswelt – und zwar gewaltig! Neue Tools, neue Aufgaben, neue Herausforderungen. Da ist es wichtig, dass unsere Mitarbeiter fit in Sachen Sicherheit sind. Schulungen und Awareness sind das A und O!

Um die Sicherheit im Mitarbeitererlebnis mit KI zu gewährleisten, müssen wir:

SAP-Sicherheit und Krisenmanagement

Bildnachweis: Firefly.com

Cyberangriffe auf SAP Systeme – Was tun, wenn das SAP-System gehackt wurde?

In einer digitalisierten Welt sind Cyberangriffe eine allgegenwärtige Gefahr. Besonders sensible Systeme wie SAP stehen im Fokus von Hackern, da sie oft sensible Unternehmensdaten enthalten. Aber was tun, wenn das Unvermeidliche eintritt und Ihr SAP-System gehackt wird? Zunächst ist es wichtig zu verstehen, dass präventive Maßnahmen entscheidend sind, um die Sicherheit zu gewährleisten. Aber selbst mit den besten Sicherheitsvorkehrungen besteht immer noch das Risiko eines Angriffs.

Hier sind einige Schritte, die Sie unternehmen können, wenn Ihr SAP-System gehackt wurde:

Ruhe bewahren: Ein Hackerangriff kann beängstigend sein, aber es ist wichtig, ruhig zu bleiben und einen klaren Kopf zu bewahren.

Sofortmaßnahmen ergreifen: Schalten Sie das betroffene System sofort aus, um weitere Schäden zu verhindern. Informieren Sie Ihr IT-Sicherheitsteam oder externe Experten, um den Vorfall zu untersuchen und das Ausmaß des Angriffs festzustellen.

Rückverfolgung und Sicherung: Versuchen Sie, die Ursache des Angriffs zu identifizieren und alle relevanten Daten zu sichern. Dies kann helfen, den Angriff zu verstehen und Maßnahmen zu ergreifen, um zukünftige Angriffe zu verhindern.

Kommunikation: Informieren Sie interne Stakeholder über den Vorfall und kommunizieren Sie transparent über die getroffenen Maßnahmen und den aktuellen Stand der Situation.

Wiederherstellung: Arbeiten Sie mit Ihrem IT-Team zusammen, um das betroffene System zu bereinigen und wiederherzustellen. Überprüfen Sie alle Sicherheitslücken und implementieren Sie zusätzliche Sicherheitsmaßnahmen, um zukünftige Angriffe zu verhindern. Nachbereitung und

Lernen: Führen Sie eine Nachbereitung des Vorfalls durch, um zu verstehen, wie der Angriff stattfinden konnte und welche Lehren daraus gezogen werden können. Passen Sie Ihre Sicherheitsstrategie entsprechend an, um zukünftige Angriffe zu verhindern. Ein Hackerangriff auf Ihr SAP-System kann schwerwiegende Folgen haben, aber mit den richtigen Maßnahmen können Sie die Auswirkungen minimieren und Ihr Unternehmen schützen: -Implementieren Sie strenge Passwortrichtlinien und erzwingen Sie deren Einhaltung.

Indem Sie die oben genannten Maßnahmen ergreifen, können Sie das Risiko eines erfolgreichen Angriffs deutlich reduzieren. Einige konkrete Beispiele für Maßnahmen zur Verbesserung der Sicherheit Ihrer SAP-Systeme sind:

Passwortrichtlinien: Verwenden Sie komplexe Passwörter, ändern Sie sie regelmäßig und verwenden Sie keine Passwörter, die für andere Websites oder Anwendungen verwendet werden.

4-Augen-Prinzip: Stellen Sie sicher, dass sensible Prozesse von zwei Personen genehmigt werden müssen und vergeben Sie Berechtigungen nur nach dem Need-to-Know-Prinzip.

Systemüberwachung: Verwenden Sie ein Systemüberwachungstool, um verdächtige Aktivitäten zu erkennen, und konfigurieren Sie das System so, dass es Sie bei verdächtigen Aktivitäten benachrichtigt.

Sicherheitschecks: Führen Sie regelmäßig Sicherheitschecks durch, um Schwachstellen zu identifizieren und beheben Sie diese umgehend.

Notfallplan: Erstellen Sie einen Notfallplan für den Fall eines Angriffs, der Schritte zur Identifizierung und Eindämmung des Angriffs, zur Wiederherstellung der Systeme und Daten sowie zur Kommunikation mit den Betroffenen enthält.

In den meisten Fällen ist es ratsam, bei einem Hackerangriff auf ein SAP-System externe Experten hinzuzuziehen. Diese verfügen über die Erfahrung und das Know-how, um den Vorfall schnell und effektiv zu untersuchen und die richtigen Maßnahmen zu ergreifen. Externe Experten können bei folgenden Aufgaben helfen:

Untersuchung des Angriffs: Sie können die Ursache des Angriffs identifizieren und den Schaden feststellen.

Sicherung von Beweisen: Sie können forensische Untersuchungen durchführen und alle relevanten Beweise sichern.

Entwicklung eines Wiederherstellungsplans: Sie können einen Plan erstellen, um das betroffene System wiederherzustellen und die Sicherheit zu verbessern.

Kommunikation mit Behörden: Sie können bei der Kommunikation mit Behörden und Strafverfolgungsbehörden unterstützen.

Die Kosten für die Hinzuziehung externer Experten können hoch sein, aber die Investition lohnt sich in der Regel. Die Experten können helfen, den Schaden zu minimieren und die Sicherheit Ihres Unternehmens zu verbessern.

Digitalisierung und Innovation

Mobilität trifft Effizienz: SAP Mobile-Lösungen für die Zukunft der Unternehmensperformance

SAP Mobile bezieht sich auf eine Reihe von Lösungen und Anwendungen, die von SAP entwickelt wurden, um die Mobilität in Unternehmen zu fördern. Diese Lösungen ermöglichen es Unternehmen, ihre Geschäftsprozesse auf mobile Geräte wie Smartphones und Tablets zu erweitern, um mehr Flexibilität, Effizienz und Benutzerfreundlichkeit zu erreichen. Hier sind einige wichtige Aspekte von SAP Mobile:

SAP Fiori Mobile Apps:
SAP Fiori ist eine Designrichtlinie und eine Sammlung von Anwendungen, die das Benutzererlebnis für SAP-Anwendungen verbessern sollen. Fiori Mobile Apps sind speziell für die Nutzung auf mobilen Geräten optimiert und bieten eine intuitive Benutzeroberfläche.

SAP Mobile Platform:
Die SAP Mobile Platform ist eine Entwicklungs- und Betriebsplattform, die es Unternehmen ermöglicht, mobile Anwendungen zu erstellen und zu verwalten. Sie unterstützt verschiedene Betriebssysteme wie iOS, Android und Windows.

SAP Mobile Services:
SAP Mobile Services ist eine cloudbasierte Lösung von SAP, die Dienste für die Verwaltung, Überwachung und Analyse von mobilen Anwendungen bietet. Sie unterstützt Unternehmen bei der Verwaltung von Benutzeridentitäten, Push-Benachrichtigungen, Authentifizierung und mehr.

SAP Mobile Cards:
SAP Mobile Cards sind Kartenbasierte Mini-Apps, die auf mobilen Geräten laufen. Sie ermöglichen es Benutzern, personalisierte, interaktive Dashboards und Benachrichtigungen auf ihren Mobilgeräten zu erhalten.

SAP Mobile Documents:
SAP Mobile Documents ist eine Lösung, die den sicheren Zugriff auf geschäftliche Dokumente von mobilen Geräten aus ermöglicht. Dies fördert die Zusammenarbeit und den schnellen Zugriff auf wichtige Informationen, unabhängig vom Standort.

SAP Mobile Analytics:
SAP Mobile Analytics ermöglicht es Unternehmen, geschäftskritische Analysen und Berichte auf mobilen Geräten bereitzustellen. Dies unterstützt Führungskräfte und Mitarbeiter dabei, fundierte Entscheidungen auch unterwegs zu treffen.

SAP Mobile Platform SDK:
Das Software Development Kit (SDK) von SAP Mobile Platform ermöglicht Entwicklern die Erstellung benutzerdefinierter mobiler Anwendungen. Es bietet Tools und Funktionen, um die Entwicklung von maßgeschneiderten mobilen Lösungen zu erleichtern.

Durch die Nutzung von SAP Mobile-Lösungen können Unternehmen ihre Mitarbeiter mit den erforderlichen Ressourcen ausstatten, unabhängig davon, wo sie sich befinden. Dies unterstützt die Modernisierung von Geschäftsprozessen und trägt dazu bei, die Effizienz und Produktivität zu steigern.

Welche Auswirkungen hat SAP Mobile auf die SAP Security und was ist zu beachten?

Die Einführung von SAP Mobile-Lösungen hat einige Auswirkungen auf die SAP Security, da mobile Anwendungen zusätzliche Angriffsvektoren und Sicherheitsrisiken mit sich bringen. Hier sind einige wichtige Aspekte, die bei der Sicherung von SAP Mobile-Lösungen zu beachten sind:

Mobile Geräteverwaltung (MDM):
Ein zentrales Element der SAP Security im mobilen Kontext ist die Verwaltung der mobilen Geräte selbst. Mobile Device Management (MDM)-Lösungen sind entscheidend, um den Zugriff auf Unternehmensdaten von mobilen Geräten zu steuern, Geräte zu überwachen, und bei Bedarf Remote-Wipe-Funktionen bereitzustellen.

Sicherer Datentransfer:
Der sichere Transfer von Daten zwischen mobilen Geräten und SAP-Systemen ist von entscheidender Bedeutung. Die Verwendung von verschlüsselten Verbindungen, beispielsweise durch HTTPS, ist ein grundlegendes Sicherheitsprinzip, um die Integrität und Vertraulichkeit von Daten sicherzustellen.

Authentifizierung und Autorisierung:
Starke Authentifizierung und präzise Autorisierung sind wesentliche Bestandteile der SAP Security für mobile Anwendungen. Die Integration sicherer Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) und die genaue Zuweisung von Berechtigungen sind unerlässlich.

Mobile App-Sicherheit:
Die Sicherheit von mobilen Apps selbst ist entscheidend. Entwickler sollten bewährte Sicherheitspraktiken wie sichere Codierung, sichere Datenlagerung und Verschlüsselung anwenden. Regelmäßige Sicherheitsprüfungen und Audits für mobile Anwendungen sind ratsam.

Sichere Speicherung von Zugangsdaten:
Mobile Geräte können gestohlen oder verloren gehen. Daher ist es wichtig, Zugangsdaten sicher auf mobilen Geräten zu speichern. Der Einsatz von sicheren Speichermechanismen wie dem Secure Store auf mobilen Geräten ist eine bewährte Sicherheitspraxis.

Sicherheitsrichtlinien und Schulungen:
Die Einführung von klaren Sicherheitsrichtlinien für die Nutzung von SAP Mobile-Lösungen ist entscheidend. Schulungen für Benutzer und Administratoren sind ebenfalls notwendig, um sicherzustellen, dass alle Beteiligten bewusst sicherheitsrelevanter Praktiken sind.

Sicherheit bei Verlust oder Diebstahl:
Im Falle eines verlorenen oder gestohlenen Geräts sollten Mechanismen wie Remote-Wipe aktiviert werden, um sensible Daten auf dem Gerät zu löschen und zu verhindern, dass sie in die falschen Hände geraten.

Mobile App-Updates:
Regelmäßige Aktualisierungen und Patching von mobilen Apps sind wichtig, um Sicherheitslücken zu schließen und die neuesten Sicherheitsfunktionen zu implementieren.

Durch eine umfassende Berücksichtigung dieser Sicherheitsaspekte können Unternehmen die Risiken im Zusammenhang mit der Einführung von SAP Mobile-Lösungen minimieren und gleichzeitig die Mobilität ihrer Arbeitsabläufe optimieren.

Auf einen Blick