Alle Jahre wieder, das ist jedem SAP- und Security-Verantwortlichen klar, steht das Wirtschaftsprüfer-Audit an. Und trotzdem herrscht dann oft Unsicherheit über die aktuelle Risikosituation der SAP-Systeme. Konnten alle Schwachstellen der letzten Prüfung tatsächlich bereinigt werden? Sind in der Zwischenzeit erneut Risiken hinzugekommen? Wer hier nicht aktiv gegensteuert, findet sich alljährlich wieder in der gleichen Situation.
SAP Audit
Wenn der Wirtschaftsprüfer zum IT-Audit klingelt, war der Hacker vielleicht schon da
Das Prozedere ist in mittelständischen und großen Unternehmen hinlänglich bekannt: Alle Jahre wieder klingelt der Wirtschaftsprüfer zum IT-Audit, das im Zuge der Jahresabschlussprüfung durchgeführt wird. Die grundsätzliche Zielsetzung besteht darin, die Sicherheit und Integrität des geprüften Systems (in der Regel das buchhaltungsführende SAP-System) sicherzustellen und mögliche Risiken aufzuzeigen. Dargestellt in einem Management Letter sollen daraus resultierend Folgeschritte definiert werden, um diese Risiken zukünftig zu kompensieren. Aber ist dieser Ansatz noch zeitgemäß?
Zentrales Monitoring von SAP-Systemeinstellungen – so behält LINDE alle SAP-Systeme gleichzeitig im Blick
Fehlerhafte Parametereinstellungen in SAP, dem Betriebssystem oder der Datenbank führen häufig zu schwerwiegenden Sicherheitsmängeln. Viele Unternehmen, die eine zentrale Prüfpolicy als Dokument entwickelt haben, stehen vor denselben Herausforderungen. Häufig werden Parameterwerte noch manuell und sehr zeitintensiv mit den Soll-Vorgaben abgeglichen. Diese Vorgehensweise ist schon bei einem einzelnen System sehr aufwendig, der Abgleich einer ganzen Systemlandschaft ist denkbar anspruchsvoller. Ein zentrales Monitoring mit automatisierter Lösung spart Ressourcen und erhöht gleichzeitig die IT-Sicherheit.
Vulnerability Scan, Audit oder Penetrationstest: Finden Sie die für sich passende Methode zum Aufzeigen von Schwachstellen
Um das Gefährdungspotenzial von SAP-Landschaften beurteilen zu können und potenzielle Angriffspunkte zu ermitteln, gibt es unterschiedliche Maßnahmen. Dabei den Überblick zu behalten, ist gar nicht so einfach. Das Angebot reicht von Schwachstellenscans über Audits bis hin zu Penetrationstests. Welcher Ansatz jedoch der passende ist, um Schwachstellen aufzuzeigen, hängt ganz von Ihren individuellen Anforderungen ab.
Wie Sie mit dem SAST Risk and Compliance Management Ihr SAP-Systemaudit planen und ausführen
Die Komplexität von SAP-Systemen in allen Facetten ist für Administratoren oft schwer zu überschauen. Wie lässt sich beispielsweise ein SAP-Systemaudit konstruktiv planen? Mit unserer SAST SUITE stellen wir Ihnen hierfür ausgereifte Analysemethoden bereit, damit Sie Sicherheitslücken rechtzeitig erkennen, noch bevor diese ausgenutzt werden können. Die SAST SUITE bietet Ihnen darüber hinaus vielfältige Funktionen, um die Sicherheit Ihrer SAP-Systeme zu analysieren und auch zu erhöhen.
SAP Security Audit Log – Empfehlungen für ein optimales Monitoring
Mit dem Security Audit Log lassen sich Benutzer mit weitreichenden Berechtigungen überwachen. Das ist vor allem sinnvoll, um internen Sicherheitsstandards sowie externen rechtlichen Anforderungen gerecht zu werden. Das SAP-Standardwerkzeug ermöglicht einen Überblick über sicherheitskritische Aktivitäten sowie eine bestmögliche Protokollierung.
Dank Security Audit und RFC-Schnittstellenprüfung Schwachstellen in SAP-Systemen erkennen und schließen
Dass SAP-Systeme einer erhöhten Aufmerksamkeit bedürfen, wenn es um die Absicherung geht, hat sich inzwischen herumgesprochen. Schließlich lagern dort in den allermeisten Fällen die wichtigsten und sensibelsten Daten jeder Firma. Aber wie geht man am besten vor, um eine optimale Absicherung zu erreichen? Durch ein Security Audit zum Beispiel.
Ungeschützte SAP-Schnittstellen sind attraktive Ziele für Angreifer
Oftmals werden in SAP-Landschaften nicht alle Schnittstellen berücksichtigt und bieten daher ungeschätzt ein attraktives Ziel für Angreifer. Und unsere Erfahrungen aus zahlreichen SAP-Security Audits und Penetrationstests gegen SAP-Systeme zeigen immer wieder, dass in nahezu jedem System ungeschützte SAP-Schnittstellen existieren, die Angreifern dann auch den direkten Zugriff auf einzelne SAP-Systeme ermöglichen können.