SAP-Sicherheit

Ein SAP-System gehört oft zu den wichtigsten Anwendungen im ganzen Unternehmen. Mit bestimmten SAP Komponenten kann man sich einen Überblick über das gesamte Unternehmen schaffen: Einkauf, Lager, Entwicklung, Produktion, Versand und Abrechnung – alles mit SAP einsehbar und steuerbar. Kein Wunder also, dass Cyberkriminelle inzwischen zunehmend Interesse daran haben, Schwachstellen in SAP-Systemen zu ihren Gunsten auszunutzen. Welche Schwachstellen es gibt und wie man SAP gegen Angriffe absichert zeigen die Sicherheitsexperten von Onapsis in diesem Special mit ausgewählten Statements und Hintergrundartikeln.

SAP-Sicherheit

Kritische Schwachstellen in SAP-Implementierungen

SAP-Sicherheit

Kritische Schwachstellen in SAP-Implementierungen

Der Risiko-Analyse-Service Onapsis Business Risk Illustration hat Schwachstellen-Scans in den SAP-Implementierungen von über 100 Unternehmen aus den Bereichen Produktion, Öl und Gas, Luftfahrt sowie Pharma durchgeführt. Diese offenbarten hochkritische Sicherheitslücken. lesen

Vertrauensbildende Maßnahmen sind gefragt

SAP-Sicherheit

Vertrauensbildende Maßnahmen sind gefragt

Die Gefährdung von SAP-Implementierungen ist reell. Aber die bekannt gewordenen Fälle stellen nur die Spitze des Eisbergs dar. Zugleich zeigen Umfragen, dass in Unternehmen die SAP-Sicherheitslage durchaus negativ eingeschätzt wird. Nur Wissen und die dafür notwendigen Ressourcen können hier Vertrauen schaffen. lesen

5 Tipps für effektive SAP-Sicherheit

SAP-Sicherheit

5 Tipps für effektive SAP-Sicherheit

Global-2000-Unternehmen stehen unter Druck: Ihre geschäftskritischen SAP-Implementierungen rücken zunehmend in den Fokus externer und interner Angreifer. Unternehmen stehen daher vor der Aufgabe, zum einen Technologien zur Sicherung von SAP-Systemen einzusetzen, zum anderen aber auch diese Werkzeuge in eine allgemeine Strategie zur Informationssicherheit einzubeziehen. lesen

Business-Kriterien zur SAP-Risikobewertung

Sicherheitsprioritäten setzen

Business-Kriterien zur SAP-Risikobewertung

Die Bewertung von Risiken nach betriebswirtschaftlichen Kriterien stellt bei SAP-Implementierungen eine zentrale Aufgabe dar. Grundvoraussetzung für deren Erfüllung ist das Assessment von Sicherheitslücken sowie das Erkennen und die Abwehr von Gefahren. lesen

SAP-Sicherheit schützt Geschäftsprozesse

Schwachstellenmanagement

SAP-Sicherheit schützt Geschäftsprozesse

SAP-Anwendungen regeln alle relevanten Geschäftsprozesse und ermöglichen den Zugriff auf geschäftskritische Daten. Eine umso größere Rolle spielt daher deren Absicherung. Denn Angriffe auf unsicher konfigurierte und implementierte SAP-Strukturen wirken sich unmittelbar auf unternehmenskritische Geschäftsprozesse aus. Abhilfe bieten lediglich Lösungen, die Sicherheitslücken auf dem Transaktionslayer analysieren sowie mögliche interne wie externe Attacken in Echtzeit anzeigen. lesen

Gefühlte SAP-Sicherheit ist eine reale Gefahr

Handlungsbedarf

Gefühlte SAP-Sicherheit ist eine reale Gefahr

Gefühlte Sicherheit ist trügerisch und gefährlich. Das gilt auch und besonders für die SAP-Sicherheit. Fünf typische Aussagen zur Sicherheit von SAP-Systemen belegen eine zu große Sorglosigkeit bei den IT-Security-Verantwortlichen. lesen

Die drei häufigsten Angriffe auf SAP-Systeme

SAP-Sicherheit

Die drei häufigsten Angriffe auf SAP-Systeme

Mit welchen Hacking-Techniken greifen Cyber-Kriminelle bevorzugt SAP-Systeme an? Diese Frage wollten die SAP-Sicherheitsexperten von Onapsis beantworten. Dabei stellte sich heraus, dass 95 Prozent der untersuchten SAP-Installationen mehr oder minder schwere Sicherheitslücken aufweisen. lesen

Patch-Prozess als Risikofaktor für SAP

Administration von SAP-Umgebungen, Teil 2

Patch-Prozess als Risikofaktor für SAP

SAP-Systeme sind unsicher, obwohl SAP, Entwickler und Berater aktiv gegensteuern. Patches gibt es zuhauf, doch selbst bei bekannten Sicherheitslücken kann es dauern, bis ein Patch wirklich implementiert wird. Die Gründe dafür sind vielfältig. lesen

SAP-Sicherheit ist Einstellungssache

Administration von SAP-Umgebungen, Teil 1

SAP-Sicherheit ist Einstellungssache

SAP steht für Produktivität und Prozesse, aber wie steht es um die SAP-Sicherheit? Zu oft wird dieser Aspekt ausgeklammert. De facto grassiert eine SAP-Unsicherheit, die oft durch mangelndes Fachwissen und fehlerhafte Konfigurationen entsteht. Dieser Beitrag gibt einige Tipps für die Praxis. lesen

Grußwort

Sehr geehrte Leserinnen und Leser,

SAP-Anwendungen sind unternehmenskritisch - und damit auch ihre Sicherheit. Der Hersteller bietet zahlreiche Hilfestellungen für eine Sicherung seiner Module. Fehlkonfigurationen, Komplexitäten und mangelnde Ressourcen sorgen aber bei den Implementierungen im Unternehmen für gefährliche Lücken. Klassische Sicherheitskonzepte wie Governance, Risk, Compliance oder Segregation of Duties helfen nicht: Hacker setzen nämlich auf den Transaktionslayern wie SAP HANA an, um Anwendungen und Informationen ins Visier zunehmen.


In diesem Special informieren wir über Angriffsmechanismen und Abwehrmöglichkeiten. Die Artikel widmen sich den strategischen Fragen der SAP-Sicherheit und den Konsequenzen, die sich aus der bestehenden Gefahrenlage für die interne SAP-Sicherheitspolitik ergeben. Wir wollen als Partner von SAP unseren Beitrag leisten, das bestehende Bewusstsein für das Risiko weiter zu schärfen und damit auch zum Ausbau der Diskussionsgrundlage in den Unternehmen beitragen.


Mariano Nunez
CEO und Mitbegründer von Onapsis

Über die Autoren

Mariano Nunez ist CEO und Mitbegründer von Onapsis Inc. und für die strategische Ausrichtung von Onapsis verantwortlich. Der anerkannte Experte im Thema Anwendungssicherheit und SAP-Cybersicherheit veröffentlichte als erster SAP-Plattform-Risiken und bot Lösungen zu deren Minimierung an. Als Sprecher trat er auf den führenden Security-Messen wie RSA, Black Hat, SANS, SAP GRC und SAP TechEd auf und hat mit zahlreichen Fortune-100-Unternehmen, Sicherheitsdienstleistern und militärischen Einrichtungen  gesprochen. Er entwickelte als erster ein Open-Source-basiertes SAP- und ERP-Penetration-Test-Verfahren.
 

ÜBER ONAPSIS

Onapsis liefert die vollständigste Security-Lösung für das Absichern von geschäftskritischen SAP- und Oracle-Applikationen. Als führender Experte für SAP- und Oracle-Cyber-Security bietet Onapsis IT-Sicherheits- und Audit-Teams Transparenz, Sicherheit und Kontrolle über komplexe Bedrohungen, Cyber-Risiken und Compliance-Lücken, die ihre Unternehmensanwendungen bedrohen.