:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
CodeProfiler for ABAP bei der Krones AG ABAP-Code-Scans für mehr SAP-Sicherheit
Um Sicherheitslücken in SAP-Eigenentwicklungen systematisch aufspüren und Fehler korrigieren zu können, führte die Krones AG trotz anfänglicher interner Bedenken automatische Codeprüfungen ein. Nach zweijähriger Einsatzzeit zieht der Maschinen- und Anlagenbauer eine positive Bilanz.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Als international führender Hersteller in der Verpackungs- und Abfülltechnik ist Krones einem hohen Qualitätsanspruch verpflichtet, der mit Spezialwissen, hohen Aufwendungen in Forschung und Entwicklung, einer Fertigung mit modernsten Anlagen sowie weltweiten Rund-um-die-Uhr-Services umgesetzt wird. Das konzernweite SAP-System bildet das digitale Rückgrat des Unternehmens. Um den individuellen Anforderungen der Fachanwender zu entsprechen, wird der SAP-Standard immer wieder durch Eigenprogrammierungen ergänzt, die in einer zentralen Entwicklungsabteilung durchgeführt werden. Die Anforderungen werden durch einen ITIL-basierten Change-Release-Prozess geführt.
Um Sicherheitslücken in den SAP-Eigenentwicklungen systematisch aufspüren und Fehler korrigieren zu können, planten die IT-Verantwortlichen bei Krones, ein Werkzeug für automatische Code-Scans einzuführen – und stießen zunächst auf Skepsis bei den Entscheidungsträgern. „Sie fürchteten den finanziellen und zeitlichen Aufwand für die Implementierung und Pflege des Analyse-Werkzeugs“, erinnert sich Markus Gradl, Technology Engineer SAP Development bei Krones. „Doch wir überzeugten sie, dass diese Kosten in keinem Verhältnis zu den Schäden stehen, die durch SAP-Datenverluste entstehen können.“
:quality(80)/images.vogel.de/vogelonline/bdb/1285800/1285857/original.jpg "Im Zeitalter von DevOps und agiler Methoden wird die Sicherheit zu selten mitbedacht. (geralt - Pixabay.com)")
Cyber-Sicherheit in Code
Wie sich DevOps zu DevSecOps entwickelt
Pilotprojekt mit überraschenden Ergebnissen
Um einen Eindruck von der Wirksamkeit automatischer Code-Analysen zu erhalten, führte Krones im Jahr 2015 in einem Pilotprojekt den Virtual Forge CodeProfiler for ABAP ein. Installation, Konfiguration und der erste Scan an einem ausgewählten SAP-Entwicklungssystem beanspruchten insgesamt nur wenige Stunden – und erbrachten erstaunliche Ergebnisse: Durch die hohe Zahl an eigenentwickelten Code-Zeilen – 6 Millionen – wurden überdurchschnittlich viele Code-Schwachstellen ausgemacht. Durch diese Ergebnisse wurden die Entscheidungsträger bei Krones von der Notwendigkeit IT-gestützter Analysen des ABAP-Kundencodes überzeugt.
Zu Beginn waren auch die Entwickler zurückhaltend: Sie befürchteten, dass die eigentliche Programmierung dadurch länger dauern würde und sie selbst bei ihrer Arbeit verstärkter Kontrolle ausgesetzt wären. „Zunächst mussten wir viel Überzeugungsarbeit leisten, dass der CodeProfiler ein Werkzeug für die Entwickler ist, nicht gegen sie“, unterstreicht Markus Gradl. Darüber hinaus startete man damit, dass nicht alle voreingestellten Auswirkungen der Testfälle, sondern nur die Security-Testfälle übernommen wurden. Ebenso konzentrierten sich die Projektverantwortlichen auf die Testfälle für die Mandatory-Auswirkung, die nicht allzu häufig auftreten und mit relativ geringem Aufwand zu korrigieren sind.
Fester Bestandteil im Entwicklungsprozess
Zwei Jahre nach seiner Einführung ist der CodeProfiler ein fester Bestandteil im Entwicklungsprozess bei Krones. Er wird direkt im SAP-Transportmanagement eingesetzt und bei der Freigabe eines Transports ins Qualitätssicherungssystem ausgeführt. Durch den Scan bei jeder Code-Änderung wird vermieden, dass am Ende eines Projekts so viele Korrekturen auflaufen, dass diese aufgrund des Zeitdrucks nicht mehr durchgeführt werden können. Zusätzlich erfolgt jeden zweiten Monat ein vollständiger Scan des kundeneigenen ABAP-Codes, um die aktuellen Kennzahlen zu ermitteln und intern zu veröffentlichen.
Und genau diese Kennzahlen belegen heute, wie erfolgreich der Einsatz des Tools bei Krones ist. Ausschlaggebend dafür sind die absolute Zahl an Fundstellen und die Zahl an Fundstellen je 1.000 Code-Zeilen. Dazu Markus Gradl: „Während sich die Gesamtzahl der Fundstellen mit Schwachstellen seit 2015 stark verringert hat, stieg die Menge an eigenentwickeltem ABAP-Code in diesem Zeitraum um 11 Prozent. Dies zeigt, dass wir mit dem CodeProfiler auf dem richtigen Weg sind.“ Dabei legen die Verantwortlichen hohen Wert darauf, dass gerade bei Security-Fundstellen selten Genehmigungen ausgesprochen werden – nur eine Korrektur gilt als Erfolg.
Einsatzgebiet schrittweise erweitern
Um den Nutzen des CodeProfilers zu steigern, will Krones sein Einsatzgebiet schrittweise erweitern. Während bisher nur Security-Testfälle als zwingend notwendig eingestuft werden, soll dies künftig auch für bestehende Prüfungen gelten. Zudem ist geplant, Testfälle aus den Domänen Wartbarkeit, Robustheit und Performance zu aktivieren. Auch sollen die Code-Prüfungen auf Dritthersteller ausgeweitet werden – in engem Schulterschluss mit Virtual Forge: „Die Zusammenarbeit mit den Beratern ist sehr partnerschaftlich. Konkret waren wir bereits an der Erstellung von drei Testfällen beteiligt“, bringt es Markus Gradl auf den Punkt.
Über die Autorin: Sibylle Hofmeyer ist freie IT-Fachjournalistin in Heidelberg.
:quality(80)/images.vogel.de/vogelonline/bdb/1263300/1263309/original.jpg "Den Sourcecode einer Anwendung auf Sicherheits-Fehler zu analysieren ist zwar ein Kostenfaktor, aber ein Security-Fehler der erst beim Anwender entdeckt wird kann teurer werden. (REDPIXEL - stock.adobe.com)")
Security-Startups im Blickpunkt: Bitinspect
Sourcecode unter der Security-Lupe
(ID:44926730)
:quality(80)/p7i.vogel.de/wcms/6c/77/6c770d793633acae51c27273925b30f8/0107692593.jpeg "Damit DevSecOps funktioniert, müssen auch bei der SAP-Systementwicklung wichtige Sicherheitsüberlegungen bereits in einer frühen Projektphase erfolgen. (Bild: Akira Kaelyn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/1b/131be7ae3d29144229fda8a30a1ee19d/0112824714.jpeg "Angriffe auf Remote Function Calls gefährden ungeschützte SAP-Systeme: Patches und Rekonfiguration helfen. (Bild: frei lizenziert: Myriams-Fotos)")