Es existiert eine neue kritische Sicherheitslücke, die erst in der Novemberausgabe des SAP-Patchdays offiziell bekannt gegeben wird: die SAP Security Note 2928635 (CVE-2020-6284) ist eine Cross-Site-Scripting Sicherheitslücke (XSS) im SAP NetWeaver Knowledge Management.
Reagieren Sie sofort und beheben Sie die Schwachstelle!
Auch im DSAG-Arbeitskreis Security & Vulnerability sind sie immer wieder ein vieldiskutiertes Thema: fehlende SAP Security Management-Dashboards. Der Arbeitskreis sieht derartige Tools als zentrale Voraussetzung, um zwingend erforderliche bessere Sicherheitskonzepte zu entwickeln und zu überwachen. Doch noch immer setzt ein Großteil aller Unternehmen die Security-Dashboard-Technologie nicht ein. Dabei wäre das gerade jetzt, aufgrund der zunehmenden Bedrohungslage durch Malware und Ransomware, ein sehr effizientes Tool, um Angriffe zu vermeiden.
Einer unserer langjährigen Kunden, der größte Hersteller von Flurförderfahrzeugen in Europa, nutzt neben verschiedenen IT-Services der akquinet AG auch die SAST SUITE für sein SAP-Berechtigungsmanagement. Im Rahmen eines Compliance-Projektes wurde das SAST Consulting-Team mit dem Redesign und der Neukonzeption aller SAP-Berechtigungen für rund 900 User in Deutschland beauftragt. Lesen Sie in diesem Gastbeitrag von Sascha Heckmann zusammen mit dem externen SAP-Berater Bernhard Radermacher, wie der „Ticket-Monitor“ – ein eigens entwickeltes Addon zum bewährten SAST Safe Go-Live Management – dem Projekt zum vollen Erfolg verholfen hat.
Fehlerhafte Parametereinstellungen in SAP, dem Betriebssystem oder der Datenbank führen häufig zu schwerwiegenden Sicherheitsmängeln. Viele Unternehmen, die eine zentrale Prüfpolicy als Dokument entwickelt haben, stehen vor denselben Herausforderungen. Häufig werden Parameterwerte noch manuell und sehr zeitintensiv mit den Soll-Vorgaben abgeglichen. Diese Vorgehensweise ist schon bei einem einzelnen System sehr aufwendig, der Abgleich einer ganzen Systemlandschaft ist denkbar anspruchsvoller. Ein zentrales Monitoring mit automatisierter Lösung spart Ressourcen und erhöht gleichzeitig die IT-Sicherheit.
Ein Stadtwerk implementierte in den vergangenen Monaten ein neues Berechtigungskonzept, um die Wartung, Transparenz und Benutzerzugriffe zu optimieren. In diesem Zuge stand auch die Bewertung der Notwendigkeit aller Benutzerstämme im Fokus. Ein Großprojekt, wie die Implementierung eines neuen Berechtigungskonzepts, refinanziert sich häufig von selbst, wenn Lizenzkosten durch die Klassifizierung und Befristung inaktiver Benutzerstämme gespart werden.
Ralf Kempf, CTO SAST SOLUTIONS, hat mit seinem Team bereits viele Unternehmen bei der Migration auf SAP S/4HANA begleitet. Über Erfolgsrezepte äußerte er sich im Gespräch mit Ulrich Parthier, Herausgeber it management.
Lesen Sie hier gekürzte Auszüge aus dem Gespräch.
Sept. 2020, Schlagzeilen gingen durch die Presse:
Die Folgen eines Hackerangriffs können fatal sein. Sie bedrohen nicht nur Daten, Güter und Werte, sondern gerade in öffentlichen Bereichen, wie im Gesundheitswesen, sogar Menschenleben.
Der Umstieg auf S/4HANA nimmt Fahrt auf: Jedes Unternehmen sollte sich daher jetzt mit einer ganzheitlichen Migrations-Strategie auf das neue SAP-System vorbereiten. Und hier vor allem auch die sicherheitsrelevanten Aspekte mitberücksichtigen, um nachher nicht auf Folgekosten in Millionenhöhe sitzenzubleiben. Die Lösung heißt Threat Intelligence.
Mit dem Hinweis 2941667 hat die SAP am 08.09.20 eine hoch kritische Schwachstelle im Batch Input Recorder via Direktaufruf von Programm RSBDCREC bekanntgegeben. Hiervon betroffen sind alle Systeme mit SAP-Basis Release 700 bis 755, also auch aktuellere Releases. Reagieren Sie schnell, damit kein schädliches Coding in Ihre SAP-Systeme eindringt!
Die Umstellung von SAP ERP auf S/4HANA bedeutet zeitgleich auch den Umstieg auf eine neue Technologie. Dies bringt Chancen aufgrund der gesteigerten Geschwindigkeit der In-Memory Datenbank SAP HANA und verbesserten User Experience durch die neue FIORI-Oberfläche. Die Einführung von S/4HANA stellt viele Unternehmen aber auch vor die schwierige Aufgabe ihr Migrationsprojekt richtig zu planen und durchzuführen – vorhandene Prozesse und Rollenkonzepte sind zu überdenken.
