Die Sicherheit von SAP-Systemen wird nach unseren Erfahrungen viel zu häufig sträflich vernachlässigt. Erschreckend selten finden wir SAP-Systeme vor, bei denen die Infrastruktur bestmöglich gehärtet ist. Daher werden Bedrohungen zumeist auch viel zu spät erkannt.

Um das Gefährdungspotenzial Ihrer SAP-Landschaften beurteilen zu können, ermitteln wir für Sie potenzielle Angriffspunkte.

Auch im Rahmen einer anstehenden Migration auf SAP HANA sind unser SAP Security Experten die ideale Unterstützung, um Ihre Systeme bereits im Vorwege abzusichern und alle notwendigen Sicherheitseinstellungen vorzunehmen.

Profitieren Sie von unseren Erfahrungen aus erfolgreich umgesetzten Projekten und individuellen Handlungsempfehlungen unserer SAP Security-Experten.
Security & Compliance Audits

Unsere Audits helfen Ihnen, das tatsächliche Risikopotenzial Ihrer SAP-Landschaft beurteilen zu können und ermitteln Ihre möglichen Angriffspunkte – von der Infrastruktur, über die SAP-Systemparameter und -Moduleinstellungen bis hin zur Prüfung Ihrer Berechtigungen und Funktionstrennungsrisiken. Dabei können wir ebenfalls Ihre individuellen Eigenentwicklungen, z.B. auf ABAP- oder JAVA-Basis mit einbeziehen.

Auch im Rahmen einer anstehenden Migration auf SAP HANA oder S/4HANA sind unsere Audits die ideale Lösung, um Ihre Systeme bereits im Vorwege abzusichern und alle notwendigen Sicherheitsvorkehrungen vorzunehmen.

Lückenlose Transparenz für Sie

Unsere Security & Compliance Audits basieren auf den SAP-Security Guidelines sowie den BSI-Empfehlungen und sind angelehnt an die DIN ISO 27001. Dabei gewährleisten wir die systematische Analyse und Abdeckung aller Prüffelder durch den Einsatz unserer zertifizierten GRC-Software SAST SUITE.

In einer Abschlusspräsentation erhalten Sie anschließend eine detaillierte Beschreibung der Abweichungen Ihrer Systeme zum Soll-Zustand inkl. Analyse der Ursachen und daraus resultierender Risiken für Ihr Unternehmen.

Unser Projektvorgehen auf einen Blick

  • Überprüfung der Zugangs- und Zugriffskontrollen zu Ihren Systemen
  • Sicherheitstests auf Netzwerk-, Betriebssystem- und Datenbank-Ebene
  • Check Ihrer Internet-Konfigurationen und Kryptographie-Einstellungen
  • Auswertung Ihrer kritischen SAP-System- und Fachberechtigungen
  • Untersuchung Ihrer User-Berechtigungen und Prüfung auf kritische Berechtigungen sowie SoD-Konflikte
  • Auswertung Ihrer Berechtigungs-, Notfall-User- und Betriebskonzepte
  • Analyse und Bewertung Ihrer Prozesskontrollen und Kontrollorganisation
Penetrationstests

Ob Hackerangriffe von außen oder Manipulationen durch interne Mitarbeiter – mit Hilfe simulierter Attacken stellen unsere Experten gängige Angriffsmuster und -methoden nach, dringen in Ihre SAP-Systeme ein und decken so Schwachstellen auf.

Grundlage für unsere Pentests sind die Empfehlungen des BSI und unsere vielfach bewährten Best Practice-Szenarien.

Stufe 1: Der Blackbox-Test ohne User-ID aus dem Internet

In diesem ersten Schritt simulieren wir anhand realistischer Angriffsmuster die typischen Attacken externer Hacker. Dafür recherchieren unsere Experten nach benötigten Informationen in öffentlich zugänglichen Datenbanken oder erfragen diese.

Ziel ist es, als nicht authentifizierter User Zugang zu Ihren Systemen zu erlangen bzw. durch Ausnutzung technischer Schwachstellen Funktionen auf Betriebssystem-, Datenbank- oder Applikations-Ebene aufrufen zu können.

Stufe 2: Der Whitebox-Test mit User-ID aus dem Internet

Im zweiten Schritt simulieren wir interne Manipulationen. Der Umfang der vorhandenen Detailkenntnisse reicht dabei vom Wissen der breiten Mitarbeiterschaft bis hin zu tiefgehenden Systemkenntnissen, wie sie IT-Dienstleister erlangen können.

Unsere Whitebox-Tests führen wir manuell durch und finden so Ihre internen Schwachstellen auf Betriebssystem-, Datenbank- oder Applikations-Ebene.

Unser Projektvorgehen auf einen Blick

  • Durchführung realistischer Angriffsmuster wie durch externe Hacker oder interne Manipulationen
  • Aufdecken der Schwachstellen in Ihren SAP-Systemen und -Berechtigungen
  • Offenlegung der Zugriffswege
  • Sicherheitscheck Ihrer Betriebssystem-, Datenbank- und Applikations-Ebene
  • Analyse zum potenziellen Zeithorizont und dem benötigten Vorwissen im Falle einer möglichen Schwachstellenausnutzung
  • Abschlusspräsentation mit Dokumentation unserer Prüfhandlungen und individuellen Handlungsempfehlungen für Sie
  • Follow-up Workshop zur Vorstellung der gefundenen Schwachstellen und Erläuterung der konkreten Risiken für Ihr Unternehmen

Bevor Sie Ihre SAP-Systeme im Rahmen eines Penetrationstests einem echten Stresstest unterziehen, empfehlen wir Ihnen unser SAP Security & Compliance Audit. Damit erhalten Sie vollständige Transparenz über das Gefährdungspotenzial Ihrer Systemlandschaft.

Systemhärtung und -optimierung

Für die Verbesserung Ihrer SAP-Sicherheit erstellen wir für Sie einen detaillierten Maßnahmenplan – idealerweise aufbauend auf den Empfehlungen aus einem Security Audit. Auf Wunsch begleiten wir Sie anschließend auch bei der Behebung aller identifizierten Schwachstellen und geben Ihnen Empfehlungen, wie Ihre Systeme dauerhaft gehärtet und sicher bleiben.

Der SAP-Standard bietet für Ihre Systeme keine umfassende und zentrale Auswertung der RFC-Schnittstellen. Daher wird deren Absicherung oftmals vernachlässigt, technische Benutzer werden mit zu weitreichenden Rechten ausgestattet und Vertrauensbeziehungen zwischen Systemen selten dokumentiert. Zudem können remote Datenbankverbindungen zu unkontrollierten Sicherheitslücken führen.

Wir finden diese Lücken und schließen sie dauerhaft.

SAP Security Guidelines
SAST SAP Security Guidelines Tielbild mit einem Mikroskop als Eyecatcher

Unsere Sicherheitskonzepte enthalten verbindliche Vorgaben zu allen Aspekten der Sicherheit Ihrer SAP ERP- und S/4HANA-Systeme, auch unter Berücksichtigung der Empfehlungen der SAP, DSAG und des BSI – auf operativer Ebene und für alle in- und extern Beteiligte bindend.

Quellcode-Analyse und -Bereinigung

Die Zahl der Eigenentwicklungen und Drittanbieter Add-Ons in den SAP-Systemen steigt kontinuierlich. Nach unseren Erfahrungen ist jedoch die Qualität des Codings im Hinblick auf dessen Sicherheit meist nicht ausreichend und so rückt ABAP-Coding als möglicher Angriffspunkt zunehmend in Fokus. Manuelle Quellcode-Analysen sind jedoch extrem aufwändig und die Bereinigung erfordern ein hochspezialisiertes Know-how.

Step 1: Die Schwachstellen-Analyse

Unsere Experten arbeiten tool-gestützt mit SAP-Standardwerkzeugen, erweitert um eigens entwickelte Sicherheitsregeln. Mit Hilfe der SAST Code Vulnerability Analysis untersuchen wir ABAP-Coding direkt in Ihren SAP-Systemen. Zusammen mit unseren erprobten Handlungsempfehlungen haben Sie so eine perfekte Basis für die schrittweise Behebung erkannter Risiken.

Step 2: Die Schwachstellen-Bereinigung

Unsere Sicherheitsexperten unterstützen Sie dabei, Sicherheitslücken zu schließen und Wissen zur nachhaltigen Vermeidung von Risiken in Ihrem Unternehmen aufzubauen. Wir setzen dabei auf ein erprobtes und von Wirtschaftsprüfern anerkanntes Vorgehen im Umgang mit Code-Scan-Ergebnissen. Ihr Vorteil: Eine Reduktion des Aufwandes notwendiger Code-Anpassungen um bis zu 90%, beispielsweise durch Einbeziehung von Kontext-Informationen. Technisch-organisatorische Maßnahmen erlauben es, die Anzahl notwendiger Änderungen noch weiter zu reduzieren.

Sie haben die Möglichkeit mit Finding-Listen beliebiger Scanner zu arbeiten und sind damit unabhängig vom zuvor eingesetzten Code-Analyse-Tool.

Unser Projektvorgehen auf einen Blick

  • Initialer Workshop: Bestandsaufnahme, Erläuterung der Prozesse, kundenspezifische Priorisierung der Risiken, Festlegung des Projekt-Scopes und der -Rollen
  • Aktivierung der SAST Code Scans
  • Individuelle Abstimmung der Bereinigungslösung auf Ihre Schutzbedürfnisse
  • Safe Go-Live mit unserem Soft Cleansing-Ansatz
  • Optional: Schulung Ihrer Entwickler zur langfristigen Vermeidung von Code-Risiken

"Aus Erfahrung unserer Sicherheitsüberprüfungen wissen wir: Jedes System ist angreifbar. Es ist lediglich eine Frage, wie schwierig und zeitaufwendig.
Dabei lässt sich mit dem richtigen Konzept die Wahrscheinlichkeit für einen erfolgreichen Angriff deutlich reduzieren."

Florian Wunder, COO SAST SOLUTIONS
— Florian Wunder
COO SAST SOLUTIONS

"Beim Thema IT-Sicherheit stehen für Unternehmen oftmals nur die wichtigsten SAP-Systeme im Fokus. Wir empfehlen Ihnen eine Analyse Ihrer gesamten Systemlandschaft, denn so lassen sich bei einer Bereinigung der Schwachstellen hervorragend Synergieeffekte nutzen."

— Matthias Anstötz
Head of Security Consulting

Weitere SAST CONSULTING-Leistungen.