Die Sicherheit von SAP-Systemen wird nach unseren Erfahrungen viel zu häufig sträflich vernachlässigt. Erschreckend selten finden wir SAP-Systeme vor, bei denen die Infrastruktur bestmöglich gehärtet ist. Daher werden Bedrohungen zumeist auch viel zu spät erkannt.

Um das Gefährdungspotenzial Ihrer SAP-Landschaften beurteilen zu können, ermitteln wir für Sie potenzielle Angriffspunkte.

Auch im Rahmen einer anstehenden Migration auf SAP HANA sind unser SAP Security Experten die ideale Unterstützung, um Ihre Systeme bereits im Vorwege abzusichern und alle notwendigen Sicherheitseinstellungen vorzunehmen.

Profitieren Sie von unseren Erfahrungen aus erfolgreich umgesetzten Projekten und individuellen Handlungsempfehlungen unserer SAP Security-Experten.
Security & Compliance Audits

Unsere Audits helfen Ihnen, das tatsächliche Risikopotenzial Ihrer SAP-Landschaft beurteilen zu können und ermitteln Ihre möglichen Angriffspunkte – von der Infrastruktur, über die SAP-Systemparameter und -Moduleinstellungen bis hin zur Prüfung Ihrer Berechtigungen und Funktionstrennungsrisiken. Dabei können wir ebenfalls Ihre individuellen Eigenentwicklungen, z.B. auf ABAP- oder JAVA-Basis mit einbeziehen.

Auch im Rahmen einer anstehenden Migration auf SAP HANA oder S/4HANA sind unsere Audits die ideale Lösung, um Ihre Systeme bereits im Vorwege abzusichern und alle notwendigen Sicherheitsvorkehrungen vorzunehmen.

Lückenlose Transparenz für Sie

Unsere Security & Compliance Audits basieren auf den SAP-Security Guidelines sowie den BSI-Empfehlungen und sind angelehnt an die DIN ISO 27001. Dabei gewährleisten wir die systematische Analyse und Abdeckung aller Prüffelder durch den Einsatz unserer zertifizierten GRC-Software SAST SUITE.

In einer Abschlusspräsentation erhalten Sie anschließend eine detaillierte Beschreibung der Abweichungen Ihrer Systeme zum Soll-Zustand inkl. Analyse der Ursachen und daraus resultierender Risiken für Ihr Unternehmen.

Unser Projektvorgehen auf einen Blick

  • Überprüfung der Zugangs- und Zugriffskontrollen zu Ihren Systemen
  • Sicherheitstests auf Netzwerk-, Betriebssystem- und Datenbank-Ebene
  • Check Ihrer Internet-Konfigurationen und Kryptographie-Einstellungen
  • Auswertung Ihrer kritischen SAP-System- und Fachberechtigungen
  • Untersuchung Ihrer User-Berechtigungen und Prüfung auf kritische Berechtigungen sowie SoD-Konflikte
  • Auswertung Ihrer Berechtigungs-, Notfall-User- und Betriebskonzepte
  • Analyse und Bewertung Ihrer Prozesskontrollen und Kontrollorganisation
Penetrationstests

Ob Hackerangriffe von außen oder Manipulationen durch interne Mitarbeiter – mit Hilfe simulierter Attacken stellen unsere Experten gängige Angriffsmuster und -methoden nach, dringen in Ihre SAP-Systeme ein und decken so Schwachstellen auf.

Grundlage für unsere Pentests sind die Empfehlungen des BSI und unsere vielfach bewährten Best Practice-Szenarien.

Stufe 1: Der Blackbox-Test ohne User-ID aus dem Internet

In diesem ersten Schritt simulieren wir anhand realistischer Angriffsmuster die typischen Attacken externer Hacker. Dafür recherchieren unsere Experten nach benötigten Informationen in öffentlich zugänglichen Datenbanken oder erfragen diese.

Ziel ist es, als nicht authentifizierter User Zugang zu Ihren Systemen zu erlangen bzw. durch Ausnutzung technischer Schwachstellen Funktionen auf Betriebssystem-, Datenbank- oder Applikations-Ebene aufrufen zu können.

Stufe 2: Der Whitebox-Test mit User-ID aus dem Internet

Im zweiten Schritt simulieren wir interne Manipulationen. Der Umfang der vorhandenen Detailkenntnisse reicht dabei vom Wissen der breiten Mitarbeiterschaft bis hin zu tiefgehenden Systemkenntnissen, wie sie IT-Dienstleister erlangen können.

Unsere Whitebox-Tests führen wir manuell durch und finden so Ihre internen Schwachstellen auf Betriebssystem-, Datenbank- oder Applikations-Ebene.

Unser Projektvorgehen auf einen Blick

  • Durchführung realistischer Angriffsmuster wie durch externe Hacker oder interne Manipulationen
  • Aufdecken der Schwachstellen in Ihren SAP-Systemen und -Berechtigungen
  • Offenlegung der Zugriffswege
  • Sicherheitscheck Ihrer Betriebssystem-, Datenbank- und Applikations-Ebene
  • Analyse zum potenziellen Zeithorizont und dem benötigten Vorwissen im Falle einer möglichen Schwachstellenausnutzung
  • Abschlusspräsentation mit Dokumentation unserer Prüfhandlungen und individuellen Handlungsempfehlungen für Sie
  • Follow-up Workshop zur Vorstellung der gefundenen Schwachstellen und Erläuterung der konkreten Risiken für Ihr Unternehmen

Bevor Sie Ihre SAP-Systeme im Rahmen eines Penetrationstests einem echten Stresstest unterziehen, empfehlen wir Ihnen unser SAP Security & Compliance Audit. Damit erhalten Sie vollständige Transparenz über das Gefährdungspotenzial Ihrer Systemlandschaft.

Systemhärtung und -optimierung

Für die Verbesserung Ihrer SAP-Sicherheit erstellen wir für Sie einen detaillierten Maßnahmenplan – idealerweise aufbauend auf den Empfehlungen aus einem Security Audit. Auf Wunsch begleiten wir Sie anschließend auch bei der Behebung aller identifizierten Schwachstellen und geben Ihnen Empfehlungen, wie Ihre Systeme dauerhaft gehärtet und sicher bleiben.

Der SAP-Standard bietet für Ihre Systeme keine umfassende und zentrale Auswertung der RFC-Schnittstellen. Daher wird deren Absicherung oftmals vernachlässigt, technische Benutzer werden mit zu weitreichenden Rechten ausgestattet und Vertrauensbeziehungen zwischen Systemen selten dokumentiert. Zudem können remote Datenbankverbindungen zu unkontrollierten Sicherheitslücken führen.

Wir finden diese Lücken und schließen sie dauerhaft.

SAP Security Guidelines
SAST SAP Security Guidelines Tielbild mit einem Mikroskop als Eyecatcher

Unsere Sicherheitskonzepte enthalten verbindliche Vorgaben zu allen Aspekten der Sicherheit Ihrer SAP ERP- und S/4HANA-Systeme, auch unter Berücksichtigung der Empfehlungen der SAP, DSAG und des BSI – auf operativer Ebene und für alle in- und extern Beteiligte bindend.

Quellcode-Analyse und -Bereinigung

Die Zahl der Eigenentwicklungen und Drittanbieter Add-Ons in den SAP-Systemen steigt kontinuierlich. Nach unseren Erfahrungen ist jedoch die Qualität des Codings im Hinblick auf dessen Sicherheit meist nicht ausreichend – das wissen auch potenzielle Angreifer. Und so rückt ABAP-Coding als mögliches Einfallstor zunehmend in deren Fokus.

Die Code Prüfung

Eine Analyse Ihres Source Codes sollte der erste Schritt zur Erhöhung Ihrer IT-Sicherheit und Compliance sein, aber auch zur internen Qualitätssteigerung. Manuelle Quellcode-Analysen sind jedoch extrem aufwändig und erfordern ein hochspezialisiertes Know-how. Daher arbeiten unsere Experten tool-gestützt und nutzen den von uns entwickelten SAST Code Advisor.

Mit diesem Modul der SAST SUITE analysieren wir ABAP-Coding direkt in Ihren SAP-Systemen. Für eine optimale Risikoeinschätzung wird dabei auch der Kontext des Codes mit einbezogen, was zu signifikant weniger False-Positive-Findings führt. So erhalten Sie ausschließlich hochwertige Ergebnisse zu den kritischsten Schwachstellen Ihrer SAP-Systeme. Zusammen mit unseren erprobten Handlungsempfehlungen haben Sie dann eine perfekte Basis für die schrittweise Behebung Ihrer Findings.

Und auch nach der Analysephase profitieren Ihre Entwickler mit dem SAST Code Advisor weiterhin von den fortlaufenden Prüfungen des ABAP-Codes mit maßgeschneiderten Reportings und der vollen Transparenz über den jeweiligen Sicherheitsstatus.

Unser Projektvorgehen auf einen Blick

  • Initialer Workshop: Bestandsaufnahme, kundenspezifische Priorisierung, Prozesse, Richtlinien und Definition des Prüf-Scopes
  • Einspielung und Aktivierung des SAST Code Advisors
  • Optional: Einrichtung regelmäßiger Prüfläufe, Integration in Ihren Entwicklungs- und Transportprozess, Schulung Ihrer Entwickler zur nachhaltigen Absicherung Ihres Codings
  • Möglichkeit der Code Prüfung als einmaliges Audit

Die Code Bereinigung

Ebenso wie bei der Analyse arbeiten wir in unseren Code Cleansing-Projekten tool-gestützt. Mit Hilfe des SAST Code Remediators können wir den Bereinigungsaufwand der meisten Finding-Muster erheblich reduzieren – beispielsweise durch die Sperrung inaktiver Objekte um bis zu 90 %.

Dabei arbeiten wir mit Finding-Listen beliebiger Scanner und sind damit absolut unabhängig vom zuvor eingesetzten Code-Analyse-Tool. Je nach Wunsch stehen Ihnen unsere Code-Security-Experten während des Projekts beratend zur Seite oder unterstützen das Code Cleansing auch operativ. Wie Sie sich auch entscheiden, wir stimmen die Bereinigung für alle entdeckten Schwachstellen individuell mit Ihnen ab. Dabei ermöglicht unser Code Cleansing Cockpit eine sehr gezielte Projekt- und Task-Steuerung.

Dieses Vorgehen und die integrierte Tool-Unterstützung wurden auch von Wirtschaftsprüfern als erfolgreiche Maßnahme nach einem mangelhaften Scan-Ergebnis akzeptiert.

Unser Projektvorgehen auf einen Blick

  • Initialer Workshop: Ermittlung Ihres individuellen Schutzbedarfs, Priorisierung der Schwachstellen, Scope-Festlegung der Bereinigungen und Definition der Projekt-Rollen
  • Individuelle Abstimmung der Bereinigungslösung auf Ihre Schutzbedürfnisse
  • Anreicherung der Analysedaten mit Kontextwissen und Sperrung inaktiver Objekte
  • Technisch-organisatorische Maßnahmen außerhalb des Codings reduzieren die Anzahl der notwendigen Code-Änderungen weiter
  • Teil-automatisierte Bereinigung mit Hilfe des SAST Code Remidiators
  • Optional: Safe Go-Live mit unserem Soft Cleansing-Ansatz

"Aus Erfahrung unserer Sicherheitsüberprüfungen wissen wir: Jedes System ist angreifbar. Es ist lediglich eine Frage, wie schwierig und zeitaufwendig.
Dabei lässt sich mit dem richtigen Konzept die Wahrscheinlichkeit für einen erfolgreichen Angriff deutlich reduzieren."

Florian Wunder, COO SAST SOLUTIONS
— Florian Wunder
COO SAST SOLUTIONS

"Beim Thema IT-Sicherheit stehen für Unternehmen oftmals nur die wichtigsten SAP-Systeme im Fokus. Wir empfehlen Ihnen eine Analyse Ihrer gesamten Systemlandschaft, denn so lassen sich bei einer Bereinigung der Schwachstellen hervorragend Synergieeffekte nutzen."

— Matthias Anstötz
Head of Security Consulting

Weitere SAST CONSULTING-Leistungen.