Die Sicherheit von SAP-Systemen wird nach unseren Erfahrungen viel zu häufig sträflich vernachlässigt. Erschreckend selten finden wir SAP-Systeme vor, bei denen die Infrastruktur bestmöglich gehärtet ist. Daher werden Bedrohungen zumeist auch viel zu spät erkannt.

Um das Gefährdungspotenzial Ihrer SAP-Landschaften beurteilen zu können, ermitteln wir für Sie potenzielle Angriffspunkte.

Auch im Rahmen einer anstehenden Migration auf SAP HANA sind unsere SAP Security-Experten die ideale Unterstützung, um Ihre Systeme bereits im Vorwege abzusichern und alle notwendigen Sicherheitseinstellungen vorzunehmen.

Profitieren Sie von unseren Erfahrungen aus erfolgreich umgesetzten Projekten und individuellen Handlungsempfehlungen unserer SAP Security-Experten.
Security & Compliance Audits
SAST CONSULTING: SAP Security & Compliance Audits

Unsere Audits helfen Ihnen, das tatsächliche Risikopotenzial Ihrer SAP-Landschaft beurteilen zu können und ermitteln Ihre möglichen Angriffspunkte – von der Infrastruktur, über die SAP-Systemparameter und -Moduleinstellungen bis hin zur Prüfung Ihrer Berechtigungen und Funktionstrennungsrisiken. Dabei können wir ebenfalls Ihre individuellen Eigenentwicklungen, z.B. auf ABAP- oder JAVA-Basis mit einbeziehen.

Auch im Rahmen einer anstehenden Migration auf SAP HANA oder S/4HANA sind unsere Audits die ideale Lösung, um Ihre Systeme bereits im Vorwege abzusichern und alle notwendigen Sicherheitsvorkehrungen vorzunehmen.

Lückenlose Transparenz für Sie

Unsere Security & Compliance Audits basieren auf den SAP-Security Guidelines sowie den BSI-Empfehlungen und sind angelehnt an die DIN ISO 27001. Dabei gewährleisten wir die systematische Analyse und Abdeckung aller Prüffelder durch den Einsatz unserer zertifizierten GRC-Software SAST SUITE.

In einer Abschlusspräsentation erhalten Sie anschließend eine detaillierte Beschreibung der Abweichungen Ihrer Systeme zum Soll-Zustand inkl. Analyse der Ursachen und daraus resultierender Risiken für Ihr Unternehmen.

Unser Projektvorgehen auf einen Blick

  • Überprüfung der Zugangs- und Zugriffskontrollen zu Ihren Systemen
  • Sicherheitstests auf Netzwerk-, Betriebssystem- und Datenbank-Ebene
  • Check Ihrer Internet-Konfigurationen und Kryptographie-Einstellungen
  • Auswertung Ihrer kritischen SAP-System- und Fachberechtigungen
  • Untersuchung Ihrer User-Berechtigungen und Prüfung auf kritische Berechtigungen sowie SoD-Konflikte
  • Auswertung Ihrer Berechtigungs-, Notfall-User- und Betriebskonzepte
  • Analyse und Bewertung Ihrer Prozesskontrollen und Kontrollorganisation
Penetrationstests
SAP-Penetrationstests mit den SAST Consultants

Ob Hackerangriffe von außen oder Manipulationen durch interne Mitarbeiter – mit Hilfe simulierter Attacken stellen unsere Experten gängige Angriffsmuster und -methoden nach, dringen in Ihre SAP-Systeme ein und decken so Schwachstellen auf.

Grundlage für unsere Pentests sind die Empfehlungen des BSI und unsere vielfach bewährten Best Practice-Szenarien.

Stufe 1: Der Blackbox-Test ohne User-ID aus dem Internet

In diesem ersten Schritt simulieren wir anhand realistischer Angriffsmuster die typischen Attacken externer Hacker. Dafür recherchieren unsere Experten nach benötigten Informationen in öffentlich zugänglichen Datenbanken oder erfragen diese.

Ziel ist es, als nicht authentifizierter User Zugang zu Ihren Systemen zu erlangen bzw. durch Ausnutzung technischer Schwachstellen Funktionen auf Betriebssystem-, Datenbank- oder Applikations-Ebene aufrufen zu können.

Stufe 2: Der Whitebox-Test mit User-ID aus dem Internet

Im zweiten Schritt simulieren wir interne Manipulationen. Der Umfang der vorhandenen Detailkenntnisse reicht dabei vom Wissen der breiten Mitarbeiterschaft bis hin zu tiefgehenden Systemkenntnissen, wie sie IT-Dienstleister erlangen können.

Unsere Whitebox-Tests führen wir manuell durch und finden so Ihre internen Schwachstellen auf Betriebssystem-, Datenbank- oder Applikations-Ebene.

Unser Projektvorgehen auf einen Blick

  • Durchführung realistischer Angriffsmuster wie durch externe Hacker oder interne Manipulationen
  • Aufdecken der Schwachstellen in Ihren SAP-Systemen und -Berechtigungen
  • Offenlegung der Zugriffswege
  • Sicherheitscheck Ihrer Betriebssystem-, Datenbank- und Applikations-Ebene
  • Analyse zum potenziellen Zeithorizont und dem benötigten Vorwissen im Falle einer möglichen Schwachstellenausnutzung
  • Abschlusspräsentation mit Dokumentation unserer Prüfhandlungen und individuellen Handlungsempfehlungen für Sie
  • Follow-up Workshop zur Vorstellung der gefundenen Schwachstellen und Erläuterung der konkreten Risiken für Ihr Unternehmen

Bevor Sie Ihre SAP-Systeme im Rahmen eines Penetrationstests einem echten Stresstest unterziehen, empfehlen wir Ihnen unser SAP Security & Compliance Audit. Damit erhalten Sie vollständige Transparenz über das Gefährdungspotenzial Ihrer Systemlandschaft.

Systemhärtung und -optimierung
SAST Consulting: SAP Systemhärtung

Für die Verbesserung Ihrer SAP-Sicherheit erstellen wir für Sie einen detaillierten Maßnahmenplan – idealerweise aufbauend auf den Empfehlungen aus einem Security Audit. Auf Wunsch begleiten wir Sie anschließend auch bei der Behebung aller identifizierten Schwachstellen und geben Ihnen Empfehlungen, wie Ihre Systeme dauerhaft gehärtet und sicher bleiben.

Der SAP-Standard bietet für Ihre Systeme keine umfassende und zentrale Auswertung der RFC-Schnittstellen. Daher wird deren Absicherung oftmals vernachlässigt, technische Benutzer werden mit zu weitreichenden Rechten ausgestattet und Vertrauensbeziehungen zwischen Systemen selten dokumentiert. Zudem können remote Datenbankverbindungen zu unkontrollierten Sicherheitslücken führen.

Wir finden diese Lücken und schließen sie dauerhaft.

SAP Security Guidelines
SAST Consulting für passgenaue SAP Security Guidelines

Unsere Sicherheitskonzepte enthalten verbindliche Vorgaben zu allen Aspekten der Sicherheit Ihrer SAP ERP- und S/4HANA-Systeme, auch unter Berücksichtigung der Empfehlungen der SAP, DSAG und des BSI – auf operativer Ebene und für alle in- und extern Beteiligte bindend.

Quellcode-Analyse und -Bereinigung
SAST SUITE: SAP Quellcode-Sicherheit

Die Zahl der Eigenentwicklungen und Drittanbieter Add-Ons in den SAP-Systemen steigt kontinuierlich. Nach unseren Erfahrungen ist jedoch die Qualität des Codings im Hinblick auf dessen Sicherheit meist nicht ausreichend und so rückt ABAP-Coding als möglicher Angriffspunkt zunehmend in den Fokus. Manuelle Quellcode-Analysen sind jedoch extrem aufwändig und die Bereinigung erfordert ein hochspezialisiertes Know-how.

Step 1: Die Schwachstellen-Analyse

Unsere Experten arbeiten tool-gestützt mit SAP-Standardwerkzeugen, erweitert um eigens entwickelte Sicherheitsregeln. Mit Hilfe der SAST Code Vulnerability Analysis untersuchen wir ABAP-Coding direkt in Ihren SAP-Systemen. Zusammen mit unseren erprobten Handlungsempfehlungen haben Sie so eine perfekte Basis für die schrittweise Behebung erkannter Risiken.

Step 2: Die Schwachstellen-Bereinigung

Unsere Sicherheitsexperten unterstützen Sie dabei, Sicherheitslücken zu schließen und Wissen zur nachhaltigen Vermeidung von Risiken in Ihrem Unternehmen aufzubauen. Wir setzen dabei auf ein erprobtes und von Wirtschaftsprüfern anerkanntes Vorgehen im Umgang mit Code-Scan-Ergebnissen. Ihr Vorteil: Eine Reduktion des Aufwandes notwendiger Code-Anpassungen um bis zu 90 Prozent, beispielsweise durch die Einbeziehung von Kontext-Informationen. Technisch-organisatorische Maßnahmen erlauben es, die Anzahl notwendiger Änderungen noch weiter zu reduzieren.

Sie haben die Möglichkeit mit Finding-Listen beliebiger Scanner zu arbeiten und sind damit unabhängig vom zuvor eingesetzten Code-Analyse-Tool.

Unser Projektvorgehen auf einen Blick

  • Initialer Workshop: Bestandsaufnahme, Erläuterung der Prozesse, kundenspezifische Priorisierung der Risiken, Festlegung des Projekt-Scopes und der -Rollen
  • Aktivierung der SAST Code Scans
  • Individuelle Abstimmung der Bereinigungslösung auf Ihre Schutzbedürfnisse
  • Optional: Schulung Ihrer Entwickler zur langfristigen Vermeidung von Code-Risiken

"Aus Erfahrung unserer Sicherheitsüberprüfungen wissen wir: Jedes System ist angreifbar. Es ist lediglich eine Frage, wie schwierig und zeitaufwendig.
Dabei lässt sich mit dem richtigen Konzept die Wahrscheinlichkeit für einen erfolgreichen Angriff deutlich reduzieren."

Florian Wunder, COO SAST SOLUTIONS
— Florian Wunder
COO SAST SOLUTIONS

"Beim Thema IT-Sicherheit stehen für Unternehmen oftmals nur die wichtigsten SAP-Systeme im Fokus. Wir empfehlen Ihnen eine Analyse Ihrer gesamten Systemlandschaft, denn so lassen sich bei einer Bereinigung der Schwachstellen hervorragend Synergieeffekte nutzen."

Steffen Maltig, Head of SAP Consulting, SAST SOLUTIONS
— Steffen Maltig
Leitung SAST CONSULTING

Weitere SAST CONSULTING-Leistungen.

Datenschutzeinstellungen

Klicken Sie auf »Info«, um eine Übersicht über alle verwendeten Cookies zu erhalten. Sie können Ihre Zustimmung nur zu den erforderlichen Cookies oder auch zu den Cookies für Statistiken geben. Die Auswahl erfolgt freiwillig. Sie können diese Einstellungen jederzeit ändern bzw. die Cookies im Browser nachträglich jederzeit löschen. Wählen Sie die Option »Statistik« aus, so erstreckt sich Ihre Einwilligung auch auf die Verarbeitung in den USA, die vom Europäischen Gerichtshof als Land mit unzureichendem Datenschutzniveau eingeschätzt werden. Weiterführende Informationen finden Sie in unseren Datenschutzhinweisen und im Impressum.
In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Externe Medien
Name YEXT - Suchleiste
Technischer Name yext
Anbieter Yext GmbH
Ablauf in Tagen 0
Datenschutz https://www.yext.de/privacy-policy/
Zweck Ermöglicht die intelligente Suche über YEXT.
Erlaubt
Gruppe Externe Medien
Name Podigee
Technischer Name Podigee
Anbieter Podigee GmbH
Ablauf in Tagen 0
Datenschutz https://www.podigee.com/de/about/privacy
Zweck Ermöglicht die Nutzung des Podigee Podcast Players.
Erlaubt
Gruppe Externe Medien
Name Google Maps
Technischer Name googleMaps
Anbieter
Ablauf in Tagen 6491
Datenschutz
Zweck Ermöglicht die Nutzung von Google Maps.
Erlaubt
Gruppe Externe Medien
Name YouTube
Technischer Name youTube
Anbieter Google LLC
Ablauf in Tagen 0
Datenschutz https://policies.google.com/privacy
Zweck Ermöglicht die Nutzung des Youtube Videoplayers.
Erlaubt
Gruppe Statistik
Name Google Analytics
Technischer Name _gid,_ga,1P_JAR,ANID,NID,CONSENT,_ga_JT5V6CR8ZH,_gat_gtag_UA_133169400_1,_gat_gtag_UA_141664271_1,_gat_gtag_UA_127185455_1,_gat_gtag_UA_127561508_1,_gat_gtag_UA_194226577_1
Anbieter Google LLC
Ablauf in Tagen 730
Datenschutz https://policies.google.com/privacy
Zweck Cookie von Google für Website-Analysen. Erzeugt anonyme statistische Daten darüber, wie der Besucher die Website nutzt.
Erlaubt
Gruppe Essenziell
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name Contao HTTPS CSRF Token
Technischer Name csrf_https-contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Gruppe Essenziell
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt
Gruppe Statistik
Name Google Repcatcha
Technischer Name googleRepcatcha
Anbieter Google LLC
Ablauf in Tagen 0
Datenschutz https://policies.google.com/privacy
Zweck Anti-Spam Schutz.
Erlaubt
Gruppe Statistik
Name ClickDimensions
Technischer Name cuvid,cusid,cuvon,cd_optout_accountkey
Anbieter ClickDimensions
Ablauf in Tagen 730
Datenschutz https://clickdimensions.com/solutions-security-and-privacy/
Zweck Cookie von ClickDimensions für Website-Analysen. Erzeugt anonyme statistische Daten darüber, wie der Besucher die Website nutzt.
Erlaubt