SAP HANA Sicherheitsübersicht – Neue BSI-Publikation von WERTH

Mit der Markteinführung von HANA 2011 als zukünftige Standard-Datenbank für SAP-Systeme hat SAP ein ehrgeiziges Ziel ausgegeben. Um dieses Ziel zu erreichen wurde die In-Memory-Datenbank HANA konsquent ausgebaut. Zunächst kam mit HANA XS der Schritt zur Plattform und 2015 erschien mit S/4HANA die erste SAP-Komplettlösung auf HANA-Basis.

Damit rückt HANA immer stärker in das Zentrum einer SAP-Landschaft. In Kombination mit dem Schutzbedarf der dort hinterlegten Daten wird schnell klar, dass ein angemessener Schutz von HANA-Systemen unabdingbar ist.
Hierzu gilt es unter anderem die Netzwerksicherheit zu gewährleisten, den korrekten Umgang mit dem System Benutzer vorzunehmen, für eine verschlüsselte Kommunikation zu sorgen und die persistenten Daten sowie die Enrcyption Keys richtig zu handhaben. Ebenso müssen die Benutzer und die Authentifizierung sicher verwaltet und konfiguriert werden.
Auch das Auditing und Logging hat seinen Anteil an der Gesamtsicherheit des HANA-Systems und ist entsprechend manipulationssicher einzurichten. Aufgrund zunehmender öffentlich bekannter Schwachstellen ist ebenfalls ein effektives Patchmanagement von Nöten. Werden Eigenentwicklungen unter HANA XS erstellt, so sind die Entwicklungen „sicher“ vorzunehmen.
Es zeigt sich also die Sicherheit von HANA ist komplex.
Eine Übersicht zu dem Thema und den notwendigen Schritten finden Sie in unserer neuesten BSI-Publikation „SAP HANA Sicherheitsübersicht

Neuer BSI-Leitfaden von WERTH: Forensische Analyse von SAP-Systemen

Die Partnerschaft zwischen WERTH und dem Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit hat weitere Früchte getragen.

Der neue BSI-Leitfaden von WERTH zur forensischen Analyse von SAP-Systemen wurde kürzlich veröffentlicht. Der Leitfaden beschreibt wie eine forensische Auswertung eines SAP-Systems erfolgen kann und welche Vorraussetzungen und Einschränkungen zu beachten sind.

„Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung desTatbestandes und der Täter durch ErfassungAnalyse und Auswertung digitaler Spuren.“ (Quelle: Wikipedia)

Der Leitfaden hilft somit im Falle eines Falles die richtigen Nachforschungen anzustellen. Zur Vorbeugung von ernsten Vorfällen sollten entsprechende Sicherheits-Maßnahmen ergriffen werden, um das Risiko erfolgreicher Angriffe zu senken:

  • SAP Empfehlungen und Guides befolgen
  • Regelmäßge Security Audits
  • SAP Patches einspielen
  • ABAP Code Kontrolle
  • Pflege und Prüfung des Berechtigungskonzepts
  • Protokollierung aktivieren und prüfen.

Nutzen Sie den WERTH AUDITOR zur proaktiven Absicherung Ihrer SAP-Systeme.

BSI: Allianz für Cybersicherheit veröffentlicht Leitfaden zur Erkennung und Abwehr von Risiken in SAP-ERP-Systemen

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde.

 

Der Leitfaden dient der Sensibilisierung von SAP-Verantwortlichen und zeigt oft übersehene Angriffsflächen in SAP-Systemen auf. Diese werden an Beispielen verständlich beschrieben. So wird das Gefährdungspotential von kritischen Berechtigungen, Standardzugangsdaten, der RFC-Schnittstelle und unverschlüsselter Kommunikation nachvollziehbar präsentiert. Zusätzlich wird beschrieben, wie man das eigene System schnell und einfach auf potentielle Risiken testen kann.

 

Das Dokument wird von dem Partnerunternehmen Werth IT zur Allianz für Cybersicherheit beigesteuert. Die Werth IT hat sich zum Ziel gesetzt, das Know-How der deutschen Wirtschaft zu schützen.

 

Bekannt ist die Werth IT für ihre preisgekrönte Software Werth Auditor. Die Lösung ermöglicht die schnelle und einfache Beurteilung der Sicherheit von SAP Systemen.
Der Werth Auditor gehört zu den technisch führenden Sicherheitslösungen und vereint als einzige umfassende Prüfungen, die sonst nur unter Einsatz verschiedener Programme möglich wären. Dies umfasst unter anderem die Analyse von Custom ABAP-Code unter verschiedenen Sicherheitsaspekten. Sowie die Prüfung des Systems über alle relevanten Schnittstellen auf technische Schwachstellen, Fehlkonfigurationen, kritische Berechtigungen, problematische Rechte-Kombinationen (SoD). Der Einsatz der Lösung erfordert dabei weder Änderungen an dem bestehenden SAP System noch die Installation zusätzlicher Server. Die intuitiv zu bedienende Lösung erlaubt somit die Identifikation, Priorisierung und Behebung von Risiken in SAP Systemen.