Wie kann ich in Echtzeit bedrohliche Ereignisse in meinem SAP-System erkennen?
Gibt es eine Möglichkeit, sofort alarmiert zu werden, wenn Angriffe stattfinden?
Wie bekomme ich Einblick in die Details eines Angriffs, um schnelle Gegenmaßnahmen zu ergreifen?
SAP-Systeme sind für viele Unternehmen das Herzstück ihrer IT-Landschaft und ein beliebtes Ziel für Cyberangriffe. Umso wichtiger ist es, verdächtige Aktivitäten frühzeitig zu identifizieren und Schäden zu vermeiden. Das werthAUDITOR Threat Management-Dashboard bietet Ihnen diese Fähigkeiten und mehr – übersichtlich, in Echtzeit und automatisiert.
Die Herausforderung: Bedrohungen schnell erkennen und verstehen
Heutige Angriffe sind oft hochgradig komplex und gezielt. Unternehmen benötigen eine Lösung, die:
Verdächtige Aktivitäten und Bedrohungen in Echtzeit identifiziert, bevor Schaden entsteht.
Sofort alarmiert, wenn kritische Schwellenwerte erreicht werden.
Einfache Einblicke in die Art der Bedrohung bietet, um gezielt zu reagieren.
Die Lösung: Echtzeit-Bedrohungserkennung mit werthAUDITOR
Unser Threat Management-Dashboard liefert eine umfassende Übersicht über alle relevanten Bedrohungen, die in Ihrem SAP-System auftreten. Die Informationen werden visuell dargestellt und priorisiert, sodass Sie sofort Maßnahmen einleiten können.
Wichtige Funktionen im Überblick
Ereignisse pro System in Echtzeit: Überwachung aller Bedrohungen über Zeit und Systeme hinweg, dargestellt in einer übersichtlichen Zeitleiste.
Gefährliche Ereignisse sichtbar machen: Jedes Ereignis wird detailliert beschrieben, z. B. „Login kritischer Benutzer“.
Kritikalitätsbewertung: Bedrohungen werden mit einem Risikowert (CVSS Score) versehen, damit Sie sofort sehen, welche Ereignisse höchste Priorität haben.
Automatische Benachrichtigung: Sie werden umgehend alarmiert, wenn eine potenziell gefährliche Aktivität erkannt wird.
Wie erkenne ich Bedrohungen und handle schnell?
1. Ereignisüberwachung in Echtzeit
Das werthAUDITOR Dashboard überwacht kontinuierlich Ihre SAP-Systeme und zeichnet alle relevanten Ereignisse auf. Kritische Aktivitäten werden hervorgehoben, z. B.:
Kritische Tabellen-Zugriffe (GUI): Potenziell missbräuchliche Aktionen, die auf Datenabfluss hinweisen können.
Ungewöhnliche Logins: Logins von kritischen Benutzern, die ungewöhnlich oder verdächtig erscheinen.
2. Analyse der Bedrohungen
Das Dashboard bietet zu jedem Ereignis detaillierte Informationen, z. B.:
Ursache: Warum wurde dieses Ereignis als Bedrohung erkannt?
Betroffene Komponenten: Welches System und welcher Benutzer sind betroffen?
Risikowertung: Basierend auf einer Skala von 0 bis 10 können Sie die Kritikalität sofort einordnen.
Empfohlene Maßnahmen: Klare Handlungsvorschläge helfen Ihnen, schnell zu reagieren.
Beispiel:
Ereignis: Login kritischer Benutzer (NoNamedAdmin) Risikowert: 7.2 (hoch) Beschreibung: Ein kritischer Benutzer hat sich mit kritischen Rechten angemeldet, obwohl er diese nicht besitzen sollte. Empfohlene Maßnahmen: Überprüfen Sie den Benutzerzugang und prüfen Sie, ob unautorisierte Änderungen vorgenommen wurden.
3. Alarmierung bei kritischen Bedrohungen
Sie können das Dashboard so konfigurieren, dass es Sie sofort alarmiert, wenn Bedrohungen erkannt werden, z. B. per E-Mail oder über ein Ticketsystem. Dies stellt sicher, dass Ihre Sicherheitsteams sofort informiert sind, ohne das Dashboard ständig überwachen zu müssen.
Vorteile der werthAUDITOR Threat Detection
1. Schnelligkeit: Echtzeitüberwachung ermöglicht sofortiges Eingreifen bei Bedrohungen. 2. Transparenz: Sie sehen genau, was passiert, und verstehen die Hintergründe jeder Bedrohung. 3. Automatisierung: Keine manuellen Überprüfungen – das Dashboard übernimmt die Arbeit für Sie. 4. Compliance: Einhaltung von Standards wie BSI, DSAG und NIS2 durch dokumentierte Ereignisse und Maßnahmen.
Anwendungsfälle: So schützt werthAUDITOR Ihr SAP-System
Angriffe erkennen: Ein Hacker versucht, durch eine kritischen Tabellen-Zugriff sensible Daten auszulesen. Das Dashboard erkennt die Aktivität und alarmiert Ihr Team.
Benutzerüberwachung: Ein Benutzer verschafft sich kritische Berechtigungen und führt ungewöhnliche Aktivitäten aus. Sie erhalten detaillierte Informationen, um den Vorfall zu prüfen.
Audit-Tracking: Alle Bedrohungen werden protokolliert, sodass Sie jederzeit nachweisen können, wie Angriffe erkannt und behandelt wurden.
Fazit: SAP-Bedrohungen effektiv managen
Mit dem werthAUDITOR Threat Management-Dashboard haben Sie die Kontrolle über die Sicherheit Ihrer SAP-Systeme. Verdächtige Aktivitäten und Angriffe erkennen Sie in Echtzeit, sodass Sie schnell reagieren und Schäden vermeiden können.
Bleiben Sie einen Schritt voraus! Vereinbaren Sie eine Demo und sehen Sie, wie das werthAUDITOR Threat Management Ihnen hilft, Ihre SAP-Sicherheit auf ein neues Niveau zu heben.
Die wichtigsten Fragen rund um SAP Schwachstellenmanagement
Welche Schwachstellen gibt es in meinen SAP-Systemen?
Welche davon sind besonders kritisch und erfordern sofortige Maßnahmen?
Wie erkenne ich die Kritikalität von Schwachstellen (z. B. CVSS Score)?
Wie priorisiere ich die Behebung von Schwachstellen, um die Sicherheit zu maximieren?
Diese Fragen beschäftigen IT-Verantwortliche und Sicherheitsbeauftragte jeden Tag. Angesichts immer neuer Schwachstellenmeldungen, wie CVEs (Common Vulnerabilities and Exposures), ist es unerlässlich, den Überblick zu behalten. Unser werthAUDITOR Schwachstellenmanagement-Dashboard liefert genau die Antworten, die Sie brauchen – einfach, visuell und sofort umsetzbar.
Das Kundenbedürfnis: Überblick und Priorisierung
Ihr Ziel als Verantwortlicher ist klar: Sie möchten wissen, welche Schwachstellen bestehen, wie kritisch diese sind und was konkret zu tun ist. Diese Informationen sind entscheidend, um Risiken gezielt zu minimieren und Compliance-Vorgaben wie BSI, DSAG oder NIS2 einzuhalten.
Hier treten jedoch oft zwei Herausforderungen auf:
Die Vielzahl an Schwachstellen und deren technische Details sind schwer verständlich.
Ohne eine Priorisierung wird die Behebung ineffizient und wichtige Sicherheitslücken bleiben unbeachtet.
Die Lösung: werthAUDITOR Schwachstellenmanagement-Dashboard
Unser Dashboard wurde speziell entwickelt, um Transparenz in Ihr Schwachstellenmanagement zu bringen. Es konsolidiert Sicherheitsdaten, zeigt diese übersichtlich an und hilft Ihnen, Prioritäten zu setzen.
Wichtige Funktionen im Überblick
Heatmap der Schwachstellen: Eine intuitive Übersicht zeigt, in welchen Kategorien (z. B. Berechtigungen, Konfiguration, Patchlevel) die meisten und kritischsten Schwachstellen vorliegen.
Kritische Schwachstellen im Fokus: Die CVSS Scores (Common Vulnerability Scoring System) jeder Schwachstelle werden farblich hervorgehoben. So erkennen Sie sofort, welche Probleme dringend behoben werden müssen.
Detaillierte Schwachstelleninformationen: Jeder Eintrag enthält den betroffenen Bereich, die Kritikalität und konkrete Lösungsvorschläge sowei optional eine CVE-Nummer, .
Verfolgung offener Schwachstellen: Verfolgen Sie, wie lange Schwachstellen bereits ungelöst sind, und identifizieren Sie potenzielle Risiken für Audits und Prüfungen.
Wie erkennt man kritische Schwachstellen?
1. CVSS Score verstehen
Der CVSS-Score gibt eine Bewertung zwischen 0 (kein Risiko) und 10 (maximales Risiko). Diese Skala hilft Ihnen, Schwachstellen nach Kritikalität zu priorisieren:
4.0–6.9: Mittel – baldige Prüfung und Behebung notwendig
0.1–3.9: Gering – kann in regelmäßigen Updates adressiert werden
Im Dashboard sehen Sie diese Werte direkt neben jeder Schwachstelle.
2. Schwachstellenkategorien im Überblick
Das werthAUDITOR Dashboard kategorisiert Schwachstellen automatisch nach Bereichen wie:
Berechtigungen: Unsichere Zugriffsrechte oder fehlende Kontrollen
Konfiguration: Abweichungen von Sicherheitsstandards
Patchlevel: Fehlende Sicherheitsupdates für bekannte Schwachstellen
Die Heatmap zeigt auf einen Blick, in welchen Kategorien die meisten oder kritischsten Probleme bestehen.
3. Handlungsbedarf klar erkennen
Jede Schwachstelle im Dashboard wird durch konkrete Lösungsvorschläge ergänzt. Beispiel:
Schwachstelle: Unsichere Passwortkonfiguration (CVSS Score 9.9) Lösung: Ändern Sie alle Standardpasswörter und aktivieren Sie Passwortregeln für Benutzerkonten.
Schwachstelle: Fehlendes Patch für SAP BW (CVSS Score 9.8) Lösung: Spielen Sie den empfohlenen Patch für CVE-2021-21466 ein.
Warum werthAUDITOR?
Das werthAUDITOR Schwachstellenmanagement-Dashboard ist mehr als nur ein Tool – es ist Ihr Assistent für ein proaktives, effizientes und transparentes Schwachstellenmanagement. Damit beantworten Sie nicht nur die drängenden Fragen des Managements, sondern setzen auch die richtigen Prioritäten, um Ihr Unternehmen sicherer zu machen.
Ihre Vorteile auf einen Blick:
Schneller Überblick: Sofort wissen, wo die größten Risiken liegen.
Effiziente Priorisierung: Behebung der Schwachstellen mit dem höchsten Risiko.
Compliance im Blick: Erfüllen Sie Standards wie BSI und DSAG einfacher.
Fazit: Schwachstellenmanagement leicht gemacht
Die Frage „Welche Schwachstellen hat mein System?“ muss nicht länger unbeantwortet bleiben. Mit werthAUDITOR erhalten Sie nicht nur eine Antwort, sondern eine umfassende Lösung. Ob für Audits, Sicherheitsprüfungen oder einfach zur Sicherung Ihrer Systeme – unser Dashboard macht Schwachstellenmanagement effizient, klar und verständlich.
Starten Sie jetzt mit werthAUDITOR! Kontaktieren Sie uns für eine Demo und sehen Sie selbst, wie einfach modernes Schwachstellenmanagement sein kann.
In einer zunehmend digitalisierten Geschäftswelt wird die Sicherheit Ihrer SAP-Systeme zur obersten Priorität. Die Analyse von Sicherheitsrisiken zeigt, dass Unternehmen, die keine geeigneten Maßnahmen ergreifen, erheblichen Gefahren ausgesetzt sind. Bei der werth it gmbh verstehen wir die Herausforderungen, vor denen Sie stehen, und möchten Ihnen aufzeigen, wie wichtig kontinuierliches Monitoring und präventive Maßnahmen sind.
Typische Schwachstellen in SAP-Systemen
Im Rahmen unser vielen Sicherheitsüberprüfungen decken wir oft die nachfolgenden Schwachstellen auf, die in vielen Unternehmen zu finden sind:
Triviale Passwörter: Eine auffällige Zahl von Benutzern verwendet einfache und leicht zu erratende Passwörter. Dies kann dazu führen, dass selbst privilegierte Konten von Angreifern kompromittiert werden.
Unzureichendes Patch-Management: Ältere Sicherheitslücken bleiben oft unbemerkt, da der Patch-Management-Prozess unvollständig oder unzureichend umgesetzt wird. Dies kann den unautorisierten Zugriff auf kritische Daten ermöglichen.
Mangelnde Härtung der Systeme: Eine unzureichende Konfiguration und Systemhärtung erhöhen das Risiko von Angriffen. Wenn Dienste nicht richtig gesichert sind, können Angreifer leicht in das System eindringen.
Unvollständiger Berechtigungsprozessen: Oftmals besitzen viele Benutzer übermäßige Berechtigungen, die nicht überwacht werden. Dies kann zu missbräuchlichem Zugriff und unerwünschten Änderungen führen.
Auswirkungen auf Daten und Prozesse
Die genannten Schwachstellen können weitreichende Konsequenzen für die Integrität und Vertraulichkeit Ihrer Daten haben. Ein erfolgreicher Angriff könnte zu Datenverlust, unautorisierter Datenmanipulation oder sogar zur vollständigen Übernahme des SAP-Systems führen. Die Betriebsabläufe könnten gestört werden, was nicht nur die Effizienz verringert, sondern auch das Vertrauen von Kunden und Partnern schädigt.
Wie man sich schützen kann
Die beste Verteidigung gegen Sicherheitsbedrohungen ist ein proaktiver Ansatz. Hier sind einige zentrale Maßnahmen, die Unternehmen ergreifen sollten:
Stärkung der Passwortrichtlinien: Implementieren Sie strenge Passwortanforderungen und setzen Sie regelmäßige Passwortänderungen durch. Verwenden Sie komplexe Passwörter und verbieten Sie triviale Kombinationen.
Kontinuierliches Monitoring: Sicherheitsüberwachungen sollten durchgängiger Bestandteil Ihres IT-Sicherheitskonzepts sein. Tools wie der werthAUDITOR können dabei helfen, Sicherheitslücken frühzeitig zu identifizieren und zu beheben.
Regelmäßige Patch-Management-Prozesse: Halten Sie Ihre Systeme durch regelmäßige Aktualisierungen und Patches auf dem neuesten Stand. Ein effektives Patch-Management-System schützt vor bekannten Schwachstellen.
Berechtigungsmanagement: Überprüfen Sie kontinuierlich, ob Benutzer nur die Berechtigungen haben, die sie tatsächlich benötigen. Implementieren Sie ein Rollensystem, das der Trennung von Rollen und Verantwortlichkeiten Rechnung trägt.
Systemhärtung: Der Aufwand für die Härtung von Systemen zahlt sich aus. Reduzieren Sie mit Best Practices die Angriffsfläche Ihrer Systeme.
Fazit
SAP Security Monitoring ist nicht nur ein technisch notwendiger, sondern ein unverzichtbarer Bestandteil Ihrer Unternehmensstrategie. Der werthAUDITOR unterstützt Sie dabei, Schwachstellen frühzeitig zu identifizieren und zu beheben. Schützen Sie Ihre wertvollen Daten und Prozesse, indem Sie kontinuierliches Monitoring und präventive Maßnahmen implementieren. Ihr Unternehmen verdient den besten Schutz, um in einer komplexen Bedrohungslandschaft erfolgreich zu sein
In der heutigen digitalen Landschaft werden Unternehmen immer wieder mit komplexen Bedrohungen und gezielten Angriffen konfrontiert. Sicherheitslösungen und präventive Maßnahmen alleine reichen oft nicht aus, um fortschrittliche, hartnäckige Bedrohungen (Advanced Persistent Threats, kurz APTs) erfolgreich abzuwehren. Um die Robustheit eines Sicherheitssystems wirklich zu testen, bedarf es eines Tools, das eine realistische Bedrohungssimulation bietet und Schwachstellen aufdeckt, bevor es ein Angreifer tut.
Hier kommt werthGHOST ins Spiel – das weltweit erste Post-Exploitation-Framework speziell für SAP-Systeme. Mit werthGHOST erhalten Unternehmen die Möglichkeit, APTs realistisch zu simulieren und Sicherheitsmechanismen auf die Probe zu stellen.
Was ist werthGHOST?
Der werthGHOST wurde entwickelt, um den nächsten Schritt in der Cybersecurity zu ermöglichen: die aktive und realistische Bedrohungssimulation in SAP-Umgebungen. Dabei geht es nicht nur um die Identifizierung von Schwachstellen, sondern um die Fähigkeit, reale Angriffsszenarien zu simulieren und darauf zu reagieren. Mit werthGHOST kann ein Unternehmen sein SAP-System wie nie zuvor testen und sicherstellen, dass Sicherheitsvorkehrungen und Detection-Systeme reaktionsfähig und belastbar sind.
Die wichtigsten Funktionen des werthGHOST
Unser Framework bietet eine breite Palette an Funktionalitäten, die es ermöglichen, Angriffe präzise zu simulieren und die Auswirkungen auf das SAP-System zu bewerten. Die Hauptfunktionen umfassen:
OS-Befehlsausführung: Ermöglicht das Ausführen von Betriebssystembefehlen direkt über das Framework, um zu testen, wie tief Angreifer vordringen könnten und wie gut das System abgesichert ist.
SQL-Befehlsausführung: Mit dieser Funktion können SQL-Befehle direkt in die Datenbank des SAP-Systems eingegeben werden. Dies simuliert eine Bedrohung, die auf sensible Unternehmensdaten abzielt.
Dateizugriff: Der Zugriff auf System- und Benutzerdateien ermöglicht eine weitere, realistische Simulation von Angriffen auf kritische Daten.
ABAP-Ausführung: Durch die Ausführung von ABAP-Code kann SAP-spezifischer Programmcode eingeschleust werden und Angriffe auf die Geschäftslogiken simuliert werden.
Socks Proxy: Diese Funktion dient der Umgehung von Sicherheitskontrollen und der Weiterleitung von Datenverkehr, wie es auch echte Angreifer häufig tun würden.
Lateral Movement: Der werthGHOST simuliert, wie sich ein Angreifer von einem kompromittierten System aus im Netzwerk weiterbewegen könnte. So lässt sich testen, ob das Sicherheitskonzept Angreifer in ihrer Bewegung zwischen verschiedenen Systemen aufhalten kann.
Vorteile von werthGHOST für Unternehmen
Realitätsnahe Bedrohungssimulation: werthGHOST ermöglicht es reale Bedrohungsszenarien unter kontrollierten Bedingungen zu simulieren. Die Auswirkungen der Angriffe sind sichtbar und helfen dabei, Schwachstellen zu identifizieren.
Testen und Verbessern von Erkennungssystemen: Mit werthGHOST lassen sich bestehende Sicherheitssysteme und Detection-Lösungen testen und optimieren. So können Unternehmen sicherstellen, dass Bedrohungen frühzeitig erkannt und abgewehrt werden können.
Sicheres Testen ohne Betriebsunterbrechung: Das Framework wurde entwickelt, um SAP-Systeme realistisch und ohne Risiko für den laufenden Betrieb zu testen. Unternehmen können sicherstellen, dass ihre Daten und Prozesse auch während der Tests geschützt bleiben.
Schulung und Weiterentwicklung des Sicherheitsteams: Die Simulation eines APTs mit werthGHOST gibt Sicherheitsteams die Möglichkeit, praxisnahe Erfahrung mit APTs und anderen fortschrittlichen Bedrohungen zu sammeln und sich so auf echte Angriffe vorzubereiten.
Fazit
In Zeiten wachsender Bedrohungen und zunehmender Komplexität der IT-Umgebungen benötigen Unternehmen Unterstützung, um sich auf Angriffe und Sicherheitsvorfälle realistisch vorbereiten. Der werthGHOST ist mehr als nur ein Test-Tool – es ist ein entscheidender Baustein für eine proaktive und zukunftssichere Sicherheitsstrategie.
Mit dem werthGHOST haben Unternehmen nun die Möglichkeit, ihre SAP-Systeme unter echten Bedingungen zu testen und das Vertrauen in ihre Sicherheitsmaßnahmen zu stärken. Zögern Sie nicht, uns zu kontaktieren, um mehr über den werthGHOST und seine Einsatzmöglichkeiten zu erfahren.
Über uns
Werth IT GmbH ist ein innovativer Anbieter für Sicherheitslösungen, die speziell für anspruchsvolle IT-Umgebungen entwickelt wurden. Wir setzen uns dafür ein, Unternehmen mit den besten Werkzeugen auszustatten, um ihre Systeme und Daten optimal zu schützen.
Wir sind begeistert, Ihnen den neuen KI-Assistenten im werthAUDITOR vorzustellen!
Dieser innovative Tool ist ein wichtiger Bestandteil unserer werthAUDITOR-Plattform und hilft Ihnen dabei, Ihre SAP-Sicherheit zu optimieren.
Aber was bedeutet das eigentlich? Lassen Sie uns gemeinsam einen Blick in die Zukunft der SAP-Sicherheit werfen. Die Welt der IT-Sicherheit hat sich verändert. Neue Bedrohungen und Angriffe erfordern neue Strategien und Technologien.
Der KI-Assistent im werthAUDITOR ist ein wichtiger Schritt in diese Richtung. Er analysiert Ihre Daten und gibt Ihnen konkrete Empfehlungen, um Ihre SAP-Sicherheit zu verbessern. Aber wie funktioniert das eigentlich?
Wie funktioniert der KI-Assistent?
Der KI-Assistent im werthAUDITOR verwendet fortschrittliche Algorithmen und Machine-Learning-Technologien, um Ihre Daten zu analysieren und Empfehlungen zu geben. Sie können mit diesem interagieren, um Bewertungen für die Sicherheitslage der geprüften Systeme zu erhalten. Aber das ist noch nicht alles. Der KI-Assistent kann Ihnen auch eine Security Roadmap erstellen oder bis ins kleinste Detail in ein Finding abtauchen. Oder er hilft Ihnen bei einem Assessment oder Penetrationstest und empfiehlt einen passenden Exploit für den nächsten Schritt. Er unterstützt bei der Prüfung auf Herz und Nieren, um eine umfassende Sicherheit zu gewährleisten.
Warum ist der KI-Assistent wichtig?
Der KI-Assistent im werthAUDITOR ist ein wichtiger Bestandteil unseres Systems. Er hilft Ihnen dabei, Ihre SAP-Sicherheit zu optimieren und Ihre Systeme vor potenziellen Bedrohungen zu schützen. Aber warum ist er wichtig? Der KI-Assistent ist wichtig, weil er als kompetenter SAP Security Experte an Ihrer Seite steht und Ihnen assistiert, um eine umfassende Sicherheit Ihrer Systeme zu gewährleisten.
Was bedeutet das für Sie?
Der KI-Assistent im werthAUDITOR bedeutet, dass Sie Ihre SAP-Sicherheit auf ein neues Level heben können. Es bedeutet, dass Sie Ihre Systeme vor potenziellen Bedrohungen schützen können und Ihre Daten sicher halten können. Lernen Sie mehr über den werthAUDITOR und unsere KI-Technologie auf unserer Website.
Werth IT, Hersteller der prämierten SAP-Security-Lösung WerthAuditor bietet das, wonach viele SAP-Kunden seit langem suchen: ein tiefgreifendes und manipulationssicheres System zur Angriffserkennung und Sicherheitsbewertung ihrer SAP-Landschaft. Brandneu ist das Security Dashboard 2.0, das alle durch den WerthAuditor erkannten Sicherheitsrisiken in den Systemen visualisiert und eine Bewertung der zugehörenden Sicherheitsprozesse ermöglicht. Das interaktive und editierbare Dashboard bereitet übersichtlich alle Sicherheitsinformationen in Echtzeit auf.
Das neue Security Dashboard 2.0 der WerthAuditor-Plattform für SAP-Systeme ermöglicht wertvolle Analysen und Zugriff auf Sicherheitsdaten in Echtzeit
Der diesjährige 1. Mai war für viele IT-Experten nicht nur ein Feiertag, sondern vor allem ein Tag, der SAP-Kunden vor neue Herausforderungen stellt: Denn ab dem 1. Mai 2023 greift das IT-Sicherheitsgesetz 2.0 (kurz IT-SIG 2.0), das die deutsche KRITIS-Regulierung von 2015 deutlich erweitert. Das bedeutet: mehr Pflichten für Unternehmen und IT-Verantwortliche, höhere Cyber-Security-Anforderungen und erweiterte Befugnisse für Staat und Regulierungsbehörden. Eine anspruchsvolle Aufgabe für Unternehmen, die für ihre kritischen Infrastrukturen SAP einsetzen und somit im Fokus des IT-SIG 2.0 stehen, denn die meisten Lösungen erfüllen die steigenden Security-Anforderungen nicht im gewünschten Umfang.
Security Dashboard 2.0 – Angriffserkennung und Risiken auf einen Blick
Die neueste Innovation der Werth IT – ein übersichtliches Dashboard, das alle Sicherheitsrisiken sowie die dazu gehörenden Sicherheitsprozesse in den Systemen innerhalb einer Oberfläche in Echtzeit aufzeigt – kommt daher genau zur richtigen Zeit. Die Visualisierung sämtlicher Sicherheitsinformationen aller miteinander kommunizierenden Systeme der kompletten SAP-Landschaft zentral in nur einem Dashboard ist eine echte Innovation und ein Alleinstellungsmerkmal der Lösung. Zudem können Security-Fachkräfte aus dem Haupt-Dashboard heraus die für ihren Verantwortungsbereich relevanten detaillierteren Einzel-Dashboards ansteuern und tiefgreifende Informationen zu einzelnen Bereichen abrufen. Ebenfalls äußerst wertvoll: Das Dashboard zeigt in Echtzeit und en Detail, wie sicher die SAP-Landschaft aufgestellt ist, welche Rubriken zu verbessern sind und wo unmittelbares Handeln erforderlich ist.
Die wichtigsten Features des WerthAuditor in Überblick
Der WerthAuditor bietet SAP-Kunden eine umfassende Angriffserkennung: Er enttarnt Angriffe, deckt Sicherheitsrisiken auf und visualisiert die zugehörigen Sicherheitsinformationen – in allen miteinander kommunizierenden Systemen der IT-Landschaft. Jederzeit und in Echtzeit analysiert die Security-Lösung die Sicherheitskonfiguration, weist auf fehlende SAP-Security-Notes und Patches hin und überprüft den gesamten ABAP-Quellcode – und zwar nicht nur den für Kunden zugängigen Bereich, der lediglich einen kleinen Teil das ABAP-Codes ausmacht. Ferner prüft die Lösung das Betriebssystem, die Datenbanken, Schnittstellen sowie die Berechtigungen. Zusätzlich lässt sich an der Entwicklung des Security-Reifegerades sowie der Lebensdauer von Schwachstellen die Wirksamkeit der internen Security-Prozesse ablesen und analysieren.
Modernste, intelligente Security-Analyse mit mehr als 2.000 Prüfungen
Während herkömmliche Prüfsysteme die erhobenen Daten häufig in Tabellen darstellen, verwendet Werth IT die SIEM(Security Information and Event Management)-Technologie, mit deren Hilfe alle gesammelten Sicherheitsdaten vollständig über Schlagworte und beliebige Zeiträume filterbar sind und ganzheitliche, tiefgreifende Sicherheitsanalysen aller Systeme ermöglichen. Dies bedeutet zugleich maximale Effizienz für Threat Detection, Vulnerability Management und Patch Management.
Weitere wichtige Aspekte: Die Werth-IT-Lösung arbeitet mit Zero Footprint und erfordert keine Softwareinstallation beziehungsweise Agenten auf dem lokalen System. Ebenfalls wichtig: Die Lösung benötigt keine stehende Internetverbindung. Dadurch sind alle Sicherheitsdaten manipulationssicher, denn Angreifer der überwachten SAP-Systeme können nicht auf die Prüflogik, das Dashboard oder dessen Daten zugreifen.
Für die Sicherheits-Teams und die Verantwortlichen stehen mehrere vollständig anpassbare Dashboards zur Verfügung. „Das Management und die IT nutzen unser Security Dashboard für den Zugriff auf unverfälschte Echtzeitdaten, um auf dieser Basis kompetente und richtungsweisende Beschlüsse zu fassen. Mit über 2.000 Prüfungen und einem kontinuierlichen Monitoring liefert der WerthAuditor optimale Voraussetzungen, um alle Anforderungen des IT-SIG 2.0 zuverlässig zu erfüllen“, erklärt Thomas Werth, Geschäftsführer der Werth IT.
Das Security Dashboard 2.0 für SAP ist ab sofort verfügbar und als Webanwendung von jedem Device aus aufrufbar.
Eigentlich eine einfache Frage und doch fällt eine ad-hoc Antwort irgendwie schwer, oder? Obwohl ich des Öfteren mit dieser Frage konfrontiert werde, kann ich dies eigentlich nie pauschal beantworten. Denkt man ein wenig über die Frage nach, wird schnell klar: Zur Beantwortung ist zwingend die individuelle Situation des Fragestellers zu berücksichtigen. Um eine Antwort auf diese Frage zu finden, muss man zunächst einige Informationen erhalten:
Welche Intention wird mit „der SAP-Sicherheit“ verfolgt? Was ist der eigentliche Bedarf, der abgedeckt werden soll?
Gilt es den Ist-Zustand zu ermitteln oder ist ein kontinuierliches Sicherheitsmonitoring gewünscht?
Wie sind die verschiedenen Angebote zu bewerten? Marketing Unterlagen, Vertriebs-Referenzen oder gar nach Leistung?
Wie breit (Scope) und tief (Ebenen) sollen denn Risiken gesucht werden?
Wie viel und was für „SAP“ ist eigentlich da, das „sicher“ sein soll?
Bis zur Antwort auf diese Frage liegt also ein kleiner Weg vor uns. Mit ein wenig Geduld und Informationssuche zu den genannten Punkten gelangen wir sicher ans Ziel.
„Die Kosten für SAP-Sicherheit lassen sich nur schwer pauschal benennen. Hingegen kann der Preis für fehlende Sicherheit mitunter recht hoch sein. Wichtig ist eine passgenaue Lösung für die individuelle Situation zu finden und nicht einfach „SAP-Security“ als Black-Box kaufen ohne Nachweis des tatsächlichen Nutzens.“
Fangen wir also von vorne an und starten mit der ersten Aufgabe.
Welche Intention wird mit „der SAP-Sicherheit“ verfolgt?
Um hier eine Antwort zu finden, kann man sich den Prozess SAP-Sicherheit als Wegbeschreibung vorstellen. Dazu muss man zunächst Wissen wo möchte man „hin“. Langfristig kommt als Ziel eigentlich nur der sichere Betrieb in Betracht. Damit ist klar wo die Reise hingehen soll. Doch für eine Wegbestimmung benötigt man auch einen Startpunkt. Diesen identifizieren wir mit einer Messung der aktuellen Sicherheit als Standortbestimmung. Damit haben wir schon mal die vor uns liegende Strecke identifiziert. Die Reise geht wie so oft von dem Ist-Zustand zum Soll-Zustand.
Die Frage wie wir reisen möchten, verschieben wir auf später. Jetzt gilt es unsere tatsächliche Reise zu planen.
Kennen wir bereits unseren ungefähren Standort? Oder sollten wir zunächst eine Etappe zur Standortbestimmung einplanen?
Brauchen wir nur einen „Stempel im Ausweis“ und müssen nur kurz über die Grenze fahren, um den Stempel zu bekommen? Dann sollte ein Compliance-Nachweis ausreichen.
Möchten wir dauerhaft einen sicheren Betrieb etablieren? Dann machen wir die komplette Fahrt.
Ich denke es steht außer Frage, dass wir hier echte Sicherheit und nicht nur den „Schein“ anstreben. Also steht uns die große Fahrt bevor. Für einen selbst möchte man vor so einer solchen Reise doch gerne etwas „Sicherheit tanken“. Unser Reiseführer (der Anbieter) soll ja auf der langen Reise auch zu uns passen. Also entscheiden wir uns für eine Standortbestimmung als erste Etappe, um dann die große Reise anzutreten.
Wie sind die verschiedenen Angebote zu bewerten?
Mit dem Wissen, dass wir auf große Reisen fahren möchten und der Erkenntnis vorher noch etwas Fahrtraining zu erhalten, gilt es nun den passenden Anbieter zu finden. Damit sind wir wieder bei der Frage wie wollen wir Reisen?
Ein wesentlicher Fixpunkt ist „SAP“ auf unserer Reise, somit sollte der Anbieter zwingend über fundierte Expertise auf dem Gebiet SAP-Sicherheit verfügen. Wir kaufen ja auch kein Auto von der Bahn – auch wenn diese viel Erfahrung im Personentransport besitzt. Damit will ich sagen, dass der etablierte Partner aus dem Bereich IT-Security/Pentesting wirklich den Nachweis erbringen sollte auf dem Gebiet SAP-Security zu Hause zu sein. Es liegen doch Welten zwischen der Sicherheit auf Betriebssystem- und Netzwerk-Ebene und der in den SAP-Applikations-Ebenen. Auch wird ein spezielles Werkzeug benötigt. Man nehme doch nur den DSAG Prüfleitfaden zum Vergleich. Der Umfang ist manuell nicht in ein paar Tagen zu prüfen und im Vergleich zu spezialisierten Werkzeugen ist der DSAG-Umfang eher gering. Da reichen dann auch keine Open-Source Werkzeuge wie Metasploit, PowerSAP aus, um eine vollständige Prüfung durchzuführen.
Ebenso glaubt inzwischen sicher niemand mehr, dass die bestandene Jahresabschlussprüfung beim Wirtschaftsprüfer wirklich bedeutet das eigene SAP-System wäre sicher.
Falls man der Meinung ist der Dienstleister oder Hoster würde das Kind schon schaukeln, dann bitte einfach zur Verifikation einen entsprechenden Nachweis oder Dokumentation der Systemsicherheit anfordern. Wenn hier „nur“ der Earlywatch-Report als Nachweis kommt, dann ist es Zeit zu handeln…
Es gibt inzwischen diverse auf SAP-Sicherheit spezialisierte Anbieter. Wir suchen einen Anbieter der sowohl in der Breite ( SAP-Landschaft (Risiken aufgrund der Verflechtung), SAP-Layer (ABAP-Stack, Java-Stack,…) und IT-Landschaft) als auch in der Tiefe (siehe Bild Prüfungstiefe ) umfassend die Sicherheit bewerten kann.
[Prüfungstiefe: Ganzheitliche Sicherheit für SAP-Systeme]
Somit sollte das Augenmerk zur Beurteilung auf den tatsächlichen Leistungen liegen und nicht auf die schönsten Marketingaussagen oder besten „Referenzdeals“. Ein schönes Beispiel dazu habe ich kürzlich in der Fernsehwerbung gesehen:
„SUPER-Wasch! Das einzige Waschmittel, dass auch unsichtbare Flecken entfernt!“
Klingt super, oder? Wenn man erst mal an einer einzigen Lösung für unsichtbare Flecken glaubt, dann ist die ganze Wäsche voll von unsichtbaren Flecken. Und nach dem Waschen sieht man die gar nicht mehr! Perfekt.
In der SAP-Welt könnte man dies als Denkanstoß nehmen. So empfiehlt jeder Experte (nicht nur bei SAP-Systemen) die „Security“-Logs auf einem eigenen Log-Server zu sammeln, um im Fall einer Systemkompromittierung manipulationssichere Logs zur Auswertung zu haben. Da könnte man doch mal bei einigen Anbietern hinterfragen, warum denn im Kontrast dazu die komplette Sicherheitslösung IN SAP betrieben wird und wie es mit dem Manipulationsschutz bei einem erfolgreichen Angriff aussieht?
Somit haben wir neben der tatsächlichen Leistung mit dem „Betriebsort“ der Lösung ein zweites Bewertungskriterium.
Ein drittes Kriterium ist der Aufwand und die Bedienbarkeit. Wie viel Zeit muss ich in die Einrichtung und den Betrieb der Lösung investieren, um meinen Nutzen zu erhalten? Hier können Erfahrungswerte als implementierten Projekten (Kundenaussagen) herhalten.
Diese drei Kriterien sind unser Wegweiser bei der Angebotsbewertung. Da lassen wir uns auch nicht blenden, wenn jemand einen Stern auf sein Auto klebt und den doppelten Preis verlangt. Bei einem direkten Vergleich hilft das maximal „optisch“ und wirkt im Vergleich gegebenenfalls deplatziert.
Der Preis ist natürlich auch zu beachten, doch hier spielt natürlich individuell der Leistungsumfang und die Ausrichtung eine zusätzliche Rolle. Somit bleibt neben dem Leistungsvergleich auch der Preisvergleich.
Wie viel und was für „SAP“ ist eigentlich da, das „sicher“ sein soll?
Unmittelbare Auswirkung auf die Kosten hat naturgemäß die Menge. Ob ich drei oder dreihundert SAP-Systeme betreibe wirkt sich ja auch dezent auf die Anschaffungs- und Wartungskosten gegenüber der SAP SE aus.
Möchte man hier an der Kostenschraube drehen, so ist eine Option auf Basis der Bedeutung für den Geschäftsbetrieb die Anzahl der zu „sichernden“ Systeme zu filtern. Allerdings ist das ein wenig Mut zur Lücke, da ungeschützte Systeme doch gerne mal als Sprungbrett verwendet werden. Solche Systeme sollten dann wirklich keine Verbindung (weder Daten noch ähnliche Zugangsdaten) zu den geschützten Systemen aufweisen.
Budgetplanung: Was muss man denn jetzt für SAP-Sicherheit einplanen?
Die Hausaufgaben sind erledigt und die Reise geplant:
Wir möchten zunächst unseren Standort bestimmen. Dabei ist uns tiefe SAP-Security Expertise zur Bestimmung wichtig.
Wir möchten langfristig einen sicheren Betrieb der SAP-Systeme. Dabei ist uns ein Leistungsvergleich der Breite und Tiefe verschiedener Lösungen wichtig. Zudem der „Betriebsort“ der Lösung sowie die Erfahrungswerte für den Ressourcenaufwand zur Installation und Pflege.
Zur Verdeutlichung nehmen wir mal die Rolle eines IT-Leiters im Unternehmen „Mittelstand & Co GmbH“ ein. Dort werden eine SAP ERP Landschaft (P,Q,E) sowie zwei BW (P,E) Systeme betrieben. Da nahezu alle Betriebszahlen über das BW laufen und das Entwicklungssystem mit diesem verbunden ist, spricht vieles dafür alle 5 SAP Systeme abzusichern.
Als erste Etappe wird die Standortbestimmung geplant. Dabei wird aus Kostengründen „nur“ das produktive ERP als Gradmesser geprüft. Jedoch soll zusätzlich die SAP-Landschaft analysiert werden, um Risiken aus dem Landschaftsaufbau zu erkennen und generell ein Bild über den Datenaustausch zu erhalten. Mit diesem Zwischenstopp haben wir die Möglichkeit den Anbieter kennen zu lernen, die Ergebnisse zu bewerten und dann bewusst die Entscheidung zu treffen mit diesem Anbieter die Reise fortzusetzen. Die Etappe sollte in zwei, drei Tagen gemeistert sein.
Ein solches Projekt benötigt ein Budget im gehobenen 4-stelligen bis niedrigen 5-stelligen Bereich. Angebote darunter stammen entweder von zwielichtigen Zauberern oder liefern möglicherweise nicht die gewünschten Ergebnisse. Bei höheren Angeboten darf man eine nachvollziehbare Begründung erwarten.
Die Berechnung des Budgets für die restliche Reise basiert auf dem Entschluss insgesamt 5 SAP-Systeme abzusichern. Im Unterschied zur ersten Etappe kommen hier neben den Kosten für Dienstleistungen auch Kosten für die gewünschte Lösung zum Tragen. Im Vergleich zur Standortbestimmung müssen wir mit 5 bis 10 fachen Kosten kalkulieren, um unseren Anforderungen gerecht zu werden. Natürlich kann man auch jederzeit mehr investieren, dies jedoch bewusst vor dem Hintergrund, dass hier gezielt Zusatzleistungen erworben werden. Die vermutliche Reisedauer gibt das Navi-Orakel mit ca. 1 Woche an.
Damit stehen Hausmarken zur weiteren Planung fest. Somit gilt es die Budgets für die einzelnen Schritte einzuplanen und zu beantragen. Die Messung des Ist-Zustandes ist hier ebenso zu berücksichtigen wie der sichere Betrieb der SAP-Landschaft. Dies führt gleich zur nächsten großen Frage: „Welche Argumente helfen dem CIO beim Security-Budget?“
Diese Frage vertagen wir bis zum nächsten Beitrag. Ich besorge mir derweil schon mal Popcorn für die Schlacht um das Budget. Oder war es das Buffet?
Im Februar 2019 hat das BSI die Aktualisierung seines IT-Grundschutzkompendiums veröffentlicht. Im Rahmen des IT-Grundschutz werden Anforderungen für den sicheren Betrieb von SAP-ERP-Systemen genannt.
Zielstellung des Bausteins
Im Baustein selbst sind die Ziele und Abgrenzungen wie folgt beschrieben:
Der Baustein beschreibt, welche Gefährdungen für SAP-ERP-Systeme zu beachten sind und wie diese Systeme sicher installiert, konfiguriert und betrieben werden können. Er richtet sich an Informationssicherheitsbeauftragte und Administratoren, die dafür verantwortlich sind, SAP-ERP-Systeme zu planen und umzusetzen.
Der Baustein beschränkt sich auf die Kerninstallation eines SAP-ERP-Systems und fokussiert die spezifischen Merkmale des darunterliegenden SAP-NetWeaver-Applikationsservers.
APP.4.2: SAP-ERP-System
Besondere Bedrohungen
Der Baustein nennt vier wesentliche Bedrohungen für die Sicherheit von SAP-ERP-Systemen.
Fehlende Berücksichtigung der Sicherheitsempfehlungen von SAP
Eine nichtbeachtung der von SAP Empfohlenen Sicherheitseinstellungen und -maßnahmen kann zu schweren Sichereheitsproblemen führen. Das gesamte System kann angreifbar werden.
Fehlendes oder nicht zeitnahes Einspielen von Patches und SAP-Sicherheitshinweisen
Patches schließen bekannt gewordene Schwachstellen. Bleibt ein zeitnahes einspielen aus, können offene bekannte Schwachstellen für unautorisierten Systemzugriff oder -ausfall missbraucht werden.
Mangelnde Planung, Umsetzung und Dokumentation eines SAP-Berechtigungskonzeptes
Ohne ein durchdachtes Berechtigungskonzept erhalten Benutzer oftmals mehr Berechtigungen als notwendig. Dies ermöglicht vorsätzliche Manipulation oder Sabotage. Eine fehlende Dokumentation verhindert die Nachvollziehbarkeit und Pfelge. Als Folge könnten ggfs. ausgeschiedene Mitarbeiter weiterhin auf die Systeme zugreifen.
Fehlende SAP-Dokumentation und fehlende Notfallkonzepte
Fehlt die Dokumentation wie und mit welcher Konfiguration das System aufgebaut wurde kann dies zu Verzögerungen bei der Wiederanlaufzeit im Notfall führen. Ebenso besteht die Gefahr, dass im Notfall keine detaillierte Beschreibung existiert, wie die Verantwortlichen vorzugehen haben.
Im dem fünften Teil der Serie „Howto SAP Security“ (Gateway , Netzwerk,Datenbank, RFC ) ist das Thema der Internet Communication Manager (ICM).
Internet Communication Manager (ICM)
Der ICM nimmt Anfragen über das HTTP(s) Protokoll entgegen. Insbesondere Aufrufe aus dem Internet an das SAP-System lassen sich so seit geraumer Zeit realisieren. Diese Aufrufe gibt der ICM je nach Architektur an den JAVA oder ABAP Dispatcher zur Verarbeitung weiter. Dies ist auf dem folgenden Schaubild zu erkennen:
Architektur SAP ABAP / JAVA mit ICM (Quelle SAP: https://help.sap.com/doc/saphelp_scm70/7.0/ru-RU/48/03b72c49f04aa5e10000000a421937/frameset.htm)
Im zweiten Teil der Serie „Howto SAP Security“ (Teil 1) wird die Netzwerksicherheit betrachtet. Hierbei sind zwei Punkte von besonderer Bedeutung. Zuerst ist die Zugriffskontrolle zu betrachten. Dann folgt die Verschlüsselung der Kommunikation.
SAP Netzwerksicherheit
SAP beinhaltet diverse Dienste, die größtenteils aus dem Netzwerk heraus erreichbar sind. Es ist wichtig die verfügbaren Dienste zu kennen, daher zeigt der folgende Screenshot einige wichtige Dienste.
SAP Portliste, Quelle: https://help.sap.com/viewer/ports
Um Remote zu erkennen, welche Dienste konkret von einem SAP-System in Netzwerk angeboten werden, ist ein Netzwerkscan des Systems ein gutes Mittel. Ein Beispiel eines Scans kann wie folgt ausfallen:
PORT STATE SERVICE VERSION
21/tcp open ftp?
22/tcp open ssh SSH (SSH-2.0-WeOnlyDo 2.1.3)
445/tcp open microsoft-ds?
3200/tcp open sapdisp SAP ABAP Dispatcher release 7010, patch level 111, database release 701 (DB name T11)
3300/tcp open sapgateway SAP Gateway (Monitoring mode disabled)
3389/tcp open ms-wbt-server Microsoft Terminal Service
3600/tcp open sapms SAP Message Server (SID T11, ID 00)
3900/tcp open sapms SAP Message Server (SID T11, ID 00)
7210/tcp open maxdb SAP MaxDB 7.7.07
8000/tcp open sapicm SAP Internet Communication Manager
8100/tcp open sapmshttp SAP Message Server httpd release 701 (SID T11)
40080/tcp open sapigs SAP Internet Graphics Server
50013/tcp open sapstartservice SAP Management Console (SID T11, NR 00)
Hier sieht man neben typischen SAP Diensten auch noch weitere kritische Dienste wie SSH, MSRDP, SMB und FTP.
