Maschinenraum · Reihe „SAP ABAP Code Security“, Teil 2 Im Auftakt dieser Reihe ging es darum, warum der kundeneigene ABAP-Code ein eigenständiges Sicherheitsthema ist und welche Muster wir uns ansehen werden. Dieser Beitrag handelt von der unbequemen Folgefrage: Was macht man mit einer Trefferliste, die nach dem ersten Scan ein paar hundert Zeilen lang ist? … Weiterlesen
SAP-Sicherheit ist immer noch das Stiefkind in der allgemeinen IT-Landschaft. Immer wieder wird von Sicherheits-Spezialisten, Software-Herstellern, aber auch von staatlicher Seite wie dem BSI (Bundesamt für Sicherheit in der Informationsverarbeitung) nachdrücklich diese Sicherheit der SAP-Landschaft eingefordert. Die Dringlichkeit, aber auch das Wissen über konkrete Handlungsmöglichkeiten, ist immer noch nicht in den SAP-Abteilungen und SAP-Teams der … Weiterlesen
Die Wichtigkeit der weltweiten Agenda für den nationalen und Internationale Schutz der IT von Unternehmen hat das World Economic Forum 2023 in Davos mit großer Nachhaltigkeit unterstrichen. Die Studie des WEF „2023 Global Cybersecurity Outlook“ zeigt das Spannungsfeld zwischen Geschäftsführung und Cyber-Experten deutlich auf, aber auch die Notwendigkeit, die großen Herausforderungen für alle Unternehmen im … Weiterlesen
Das neue IT-Sicherheitsgesetz 2.0 des BSI erfordert für alle KRITIS-relevanten Systeme ein Monitoring-System, auch SIEM (Security Information Event Management) genannt. Dies muss auch für SAP-Systeme existieren bzw. müssen SAP-Systeme dort angeschlossen sein. Es sollte aber nicht Ziel einer SAP Sicherheits-Implementierung sein, auf den juristischen Auftrag zu warten. Jedes Unternehmen muss sich heute proaktiv selbst schützen … Weiterlesen
Ein Hauptgrund für den Erfolg der Ransomware-Raubzüge ist die Tatsache, das die oft auf ungeschützte Netzwerke treffen. Das müssen nicht die Netzwerke kleiner oder mittlerer Firmen sein Denn auch große Firmen haben diese „One Size Fits All“-Netzwerke, in denen zwischen dem Client und dem Server kein Schutz mehr besteht, weder eine Firewall noch andere Maßnahmen. … Weiterlesen
Der Eckstein einer jeden SAP Security Strategie ist der Security Audit Log. Es sollte das Kernstück einer jeden SAP Security Strategie sein. Dieser Log ist von SAP so implementiert worden, dass er alle sicherheitsrelevanten Protokoll-Einträge, von falscher Passwort-Eingabe über externen RFC-Aufrufe bis hin zu Manipulationen an Transaktionen via Debugger, in eine Datei auf dem SAP-Server … Weiterlesen
Vortrag auf den Technologietagen der DSAG Dieser Artikel wird auch als Vortrag auf den DSAG Technologietagen am 11.Februar 2020 in Mannheim von Holger Stumm vorgetragen, verbunden mit einem Live Demo Hack auf eine Fabrik. SAP Sicherheit im IIOT Umfeld Das Internet der Dinge, das IoT, wie es neuerdings gerne abgekürzt wird, das „Internet of Things“ … Weiterlesen
Crowd Based Pen Testing Was halten Sie von der Idee, mehrere Hundert Hacker gleichzeitig auf Ihre SAP-Landschaft los zu lassen, um mehr Erkenntnisse über Ihre SAP-Sicherheit zu bekommen? Es ist eine ziemlich gute Idee. Denn gerade für SAP-Systeme werden diese neuen Wahrheiten, diese neuen Benchmarks und Erkenntnisse für die eigene SAP Sicherheit des Unternehmens gebraucht. … Weiterlesen
Seit es vor mehreren Jahren es wichtig wurde, dass Sicherheits-Analysen wie SAP Penetration Tests durchgeführt werden, hat es sich auch gezeigt, dass in diesen Tests immer wieder drei große Themen als sicherheitstechnische Herausforderungen sich heraus gebildet haben. DIese Tests zeigen immer wieder die drei Grundstützen, auf denen sich eine allgemeine SAP Sicherheit aufbaut und zusammen … Weiterlesen
Auf meinen letzten Beitrag „Anatomie eines Pen Tests“ habe ich viele Reaktionen bekommen – natürlich ist ein SAP Hack immer ein spannendes Thema. Und natürlich wollen jetzt alle wissen, wie der 5-Minuten Hack so funktioniert. Gerne würde ich jetzt schreiben, wie viele Jahre Forschung und Entwicklung in solch einen Extrem-Hack eingeflossen sind, aber die Wirklichkeit … Weiterlesen