Gebündeltes Security-Know-how für das SAP-Umfeld

Web Application Firewall und Quellcode-Analyzer schützen SAP-Anwendungen

26.08.2009 | Redakteur: Stephan Augsten

Die Security-Anbieter Art of Defence und Virtual Forge arbeiten künftig zusammen, um Schwachstellen von Business-Anwendungen im SAP-Umfeld schneller aufzudecken und ihre Tragweite zu dämpfen. Hierfür werden die Web Application Firewall Hyperguard von Art of Defence und der Source Code Analyzer CodeProfiler von Virtual Forge miteinander kombiniert.

Als Quellcode-Analyzer führt CodeProfiler von Virtual Forge automatisierte Sicherheitstests an ABAP-, BSP- und Web-Dynpro-ABAP-Anwendungen durch. Die Lösung untersucht den Quellcode auf Sicherheitsrisiken und greift dabei auf eine Datenbank mit bekannten Angriffsmustern zu.

Die Erfahrung zeigt laut Dr. Markus Schumacher, Geschäftsführer von Virtual Forge, dass sich in 2.000 Zeilen ABAP-Code mindestens eine kritische Schwachstelle befindet. „Selbst bei mittleren Entwicklungsprojekten kommt es so zu sehr ernst zu nehmenden Risiken für den Geschäftsbetrieb“, warnt Schumacher.

Erschwerend kommt hinzu, dass SAP-Anwendungen im Falle einer Schwachstelle aufgrund ihres Zusammenspiels nicht einfach abgeschaltet werden. Deshalb soll die Web Application Firewall (WAF) Hyperguard von Art of Defence künftig den sicheren Betrieb anfälliger SAP-Eigenentwicklungen gewährleisten.

Nach dem Quellcode-Scan durch den CodeProfiler erhalten Verantwortliche wie der SAP-Entwicklungsleiter, der Security-Tester oder die interne Revision einen ausführlichen Bericht über die entdeckten Schwachstellen mit Änderungsvorschlägen für die Entwicklung. Diese Ergebnisse lassen sich dann per XML-Datei als Regelvorschläge an Hyperguard übergeben.

Der SAP-Systemadministrator kann diese Regeln anschließend aktivieren. Im Zuge dessen schirmt die WAF die gefundenen Schwachstellen nach außen ab, wirkt nach außen hin also wie ein virtueller Patch. Dadurch können die eigentlichen Patches in Ruhe erstellt, getestet und während der regulären Wartungsroutine eingespielt werden.

Neben der technischen Integration kooperieren die beiden deutschen Unternehmen auch auf dem Vertriebsweg. Beispielsweise wird die kombinierte Lösung in den nächsten Monaten unter anderem auf den messebegleitenden Ausstellungen der SAP Tech Ed, der it-sa sowie der deutschen OWASP-Konferenz präsentiert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2040750 / Softwareentwicklung)