Oftmals werden in SAP-Landschaften nicht alle Schnittstellen berücksichtigt und bieten daher ungeschätzt ein attraktives Ziel für Angreifer. Und unsere Erfahrungen aus zahlreichen SAP-Security Audits und Penetrationstests gegen SAP-Systeme zeigen immer wieder, dass in nahezu jedem System ungeschützte SAP-Schnittstellen existieren, die Angreifern dann auch den direkten Zugriff auf einzelne SAP-Systeme ermöglichen können.
Immer komplexere IT-Umgebungen erschweren die optimale Absicherung Ihrer SAP-Systeme. SAP-Schnittstellen sind oft ungeschützt.
So behalten Sie den Überblick:
1. Analyse
Komplexe Systemumgebungen und SAP-Systeme, die über eine Vielzahl von Schnittstellen verfügen wie z.B. der SAP Solution Manager werden hinsichtlich ihres Kommunikationsbedarfs mit anderen Systemen schnell unübersichtlich. Dieser Zustand wird zudem im Laufe eines Systemlebenszyklus eher noch intransparenter.
Für eine umfassende Analyse ist zunächst eine fundamentale Bestandsaufnahme aktueller Schnittstellenbeziehungen innerhalb einer Systemlandschaft wichtig – nach verschiedenen Gesichtspunkten hinsichtlich tatsächlicher Einsatznotwendigkeit und Sicherheit.
2. Inventur
Sind die ermittelten SAP-Schnittstellen tatsächlich für den Betrieb relevant und sind diese auch funktionsfähig? Eventuell können fehlerhafte Verbindungen entfernt werden und Altlasten, die beispielsweise aus Testszenarien oder Upgrades etc. entstanden sind, können beseitigt werden.
3. Konfiguration
Die verbleibenden Schnittstellen sind dann hinsichtlich Vollständigkeit und Sicherheitsaspekten zu analysieren (z.B. Benutzer/Berechtigungs-Zuordnungen, Vertrauensbeziehungen, etc.) .
4. Systemhärtung
Die ermittelten Schwachstellen sind zu beseitigen und betroffene Dokumentationen wie z.B. Berechtigungskonzept anzupassen und Einstellungen abhängiger Komponenten z.B. RFC-Gateways müssen ebenfalls angepasst werden.
Informationen zu unserem SAST SOLUTIONS Portfolio erhalten Sie auf unserer Webseite. Profitieren Sie von unseren Erfahrungen und lassen Sie sich beraten: sast@akquinet.de.