Kontakt
PLDE_Fechter_Cyber_Security_Consulting

Profitieren Sie von unseren Projekterfahrungen

Die Sicherheit von SAP-Systemen wird nach unseren Erfahrungen viel zu häufig sträflich vernachlässigt. Erschreckend selten finden wir SAP-Systeme vor, bei denen die Infrastruktur bestmöglich gehärtet ist. Daher werden Bedrohungen zumeist auch viel zu spät erkannt. Um das Gefährdungspotenzial Ihrer SAP-Landschaften beurteilen zu können, ermitteln wir für Sie potenzielle Angriffspunkte.

Reduzieren Sie mit dem richtigen Konzept die Wahrscheinlichkeit eines Angriffs.

Beim Thema IT-Sicherheit stehen für Unternehmen oftmals nur die wichtigsten SAP-Systeme im Fokus. Wir empfehlen Ihnen eine Analyse Ihrer gesamten Systemlandschaft, denn so lassen sich bei einer Bereinigung der Schwachstellen hervorragend Synergieeffekte nutzen.

Florian Wunder Head of Consulting

Audits und Pentests

Auditierung & Pentesting von SAP-Systemlandschaften: Über SAP-Systeme wird bekanntermaßen ein Großteil der weltweiten Wirtschaftsleistung erbracht. Das Ausmaß des Schadens an der IT-Infrastruktur und am Unternehmen durch Angriffe ist kaum berechenbar. Umso wichtiger ist es, SAP-Systeme von vornherein möglichst resistent zu gestalten.
SAP Security & Compliance Audit
Weiterlesen
Unsere SAP Security & Compliance Audits helfen Ihnen, das tatsächliche Risikopotenzial Ihrer SAP-Landschaft beurteilen zu können und ermitteln Ihre möglichen Angriffspunkte – von der Infrastruktur über die SAP-Systemparameter und -Moduleinstellungen bis hin zur Prüfung Ihrer Berechtigungen und Funktionstrennungsrisiken.

Dabei können wir außerdem Ihre individuellen Eigenentwicklungen, z.B. auf ABAP- oder JAVA-Basis mit einbeziehen. Auch im Rahmen einer anstehenden Migration auf SAP HANA oder S/4HANA sind unsere Audits die ideale Lösung, um Ihre Systeme bereits im Voraus abzusichern und alle notwendigen Sicherheitsvorkehrungen vorzunehmen.

Lückenlose Transparenz für Sie:

Unsere Security & Compliance Audits basieren auf den SAP Security Guidelines sowie den BSI-Empfehlungen und sind angelehnt an die DIN ISO 27001. Dabei gewährleisten wir die systematische Analyse und Abdeckung aller Prüffelder durch den Einsatz unserer zertifizierten GRC-Software.

In einer Abschlusspräsentation erhalten Sie zudem eine detaillierte Beschreibung der Abweichungen Ihrer Systeme zum Soll-Zustand, inklusive einer Analyse der Ursachen und der daraus resultierenden Risiken für Ihr Unternehmen.

Unser Projektvorgehen auf einen Blick:

  • Überprüfung der Zugangs- und Zugriffskontrollen zu Ihren Systemen
  • Sicherheitstests auf Netzwerk-, Betriebssystem- und Datenbank-Ebene
  • Check Ihrer Internet-Konfigurationen und Kryptographie-Einstellungen
  • Auswertung Ihrer kritischen SAP-System- und Fachberechtigungen
  • Untersuchung Ihrer User-Berechtigungen sowie Prüfung auf kritische Berechtigungen und SoD-Konflikte
  • Auswertung Ihrer Berechtigungs-, Notfall-User- und Betriebskonzepte
  • Analyse und Bewertung Ihrer Prozesskontrollen und Kontrollorganisation

Get Clean

Sie haben selbstverständlich die Möglichkeit, in einem Folgeprojekt zur Systemhärtung und -optimierung, unsere Unterstützung bei der Schließung aller durch das Audit aufgezeigten Sicherheitsrisiken in Anspruch zu nehmen.

Stay Clean

Haben Sie bereits grundlegende Hausaufgaben in der Absicherung Ihrer SAP-Systemlandschaft gemacht? Dann können Sie mit der Pathlock Suite sicherstellen, dass sämtliche in Projekten getroffene und sicherheitskritische Einstellungen auch zukünftig bestehen bleiben.

Penetrationstest
Weiterlesen
„Es gibt zwei Arten von Unternehmen: Solche, die schon gehackt wurden, und solche, die es noch werden.“ Dieses Zitat eines ehemaligen Direktors des FBI beschreibt genau die Herausforderung, der die IT-Sicherheit in der heutigen Zeit begegnen muss: Komplexe Cyber-Angriffe werden immer häufiger und bleiben noch dazu meist lange Zeit unbemerkt.

Ob Hackerangriffe von außen oder Manipulationen durch interne Mitarbeiter – mit Hilfe simulierter Attacken stellen unsere Experten gängige Angriffsmuster und -methoden nach, dringen in Ihre SAP-Systeme ein und decken so Schwachstellen auf.

Grundlage für unsere Penetrationstests sind die Empfehlungen des BSI und unsere vielfach bewährten Best Practice-Szenarien. Unterschieden wird bei Penetrationstests zwischen zwei Verfahren, die unabhängig voneinander durchgeführt werden können. Um aber ganz sicher zu gehen, empfehlen wir Ihnen folgendes, aufeinander aufbauendes Vorgehen:

Stufe 1: Der Blackbox-Test ohne User-ID aus dem Internet

Anhand realistischer Angriffsmuster simulieren wir die typischen Attacken externer Hacker. Dafür recherchieren unsere Experten nach benötigten Informationen in öffentlich zugänglichen Datenbanken oder erfragen diese.

Ziel ist es, als nicht authentifizierter User Zugang zu Ihren Systemen zu erlangen bzw. durch Ausnutzung technischer Schwachstellen Funktionen auf Betriebssystem-, Datenbank- oder Applikations-Ebene aufrufen zu können.

Stufe 2: Der Whitebox-Test mit User-ID aus dem Internet

Mit diesem Verfahren simulieren wir interne Manipulationen. Der Umfang der vorhandenen Detailkenntnisse reicht dabei vom Wissen der breiten Mitarbeiterschaft bis hin zu tiefgehenden Systemkenntnissen, wie sie IT-Dienstleister erlangen können.

Unsere Whitebox-Tests führen wir manuell durch und finden so Ihre internen Schwachstellen auf Betriebssystem-, Datenbank- oder Applikations-Ebene.

Unser Projektvorgehen auf einen Blick:

  • Durchführung realistischer Angriffsmuster wie durch externe Hacker oder interne Manipulationen
  • Aufdeckung der Schwachstellen in Ihren SAP-Systemen und -Berechtigungen
  • Offenlegung der Zugriffswege
  • Sicherheitscheck Ihrer Betriebssystem-, Datenbank- und Applikations-Ebene
  • Analyse zum potenziellen Zeithorizont und dem benötigten Vorwissen im Falle einer möglichen Schwachstellenausnutzung
  • Abschlusspräsentation mit Dokumentation unserer Prüfhandlungen und individuellen Handlungsempfehlungen für Sie
  • Follow-up Workshop zur Vorstellung der gefundenen Schwachstellen und Erläuterung der konkreten Risiken für Ihr Unternehmen

Bevor Sie Ihre SAP-Systeme im Rahmen eines Penetrationstests einem echten Stresstest unterziehen, empfehlen wir Ihnen unser SAP Security & Compliance Audit. Damit erhalten Sie vollständige Transparenz über das Gefährdungspotenzial Ihrer Systemlandschaft.

Web Application Security Assessment
Weiterlesen
Webanwendungen öffnen Angreifern oft Tür und Tor, um in IT-Systeme vorzudringen und wertvolle Unternehmensdaten abzugreifen. Zugang erhalten sie ganz leicht über Schwachstellen in den Anwendungen oder der Plattform, auf der sie laufen. Die hohe Komplexität und Flexibilität der SAP-Software führen zudem nicht selten zu massiven Sicherheitslücken.

Aus diesem Grund ist ein entsprechender Schutz aller Systemkomponenten und Daten zu gewährleisten. Gerne unterstützen wir Sie dabei diese Sicherheitsrisiken aufzudecken.

Unser Service zur Sicherheitsoptimierung von SAP-Webanwendungen umfasst folgende Maßnahmen:

  • Die IST-Aufnahme aller verwendeten Anwendungen
  • Eine Analyse der Anwendungssoftware
  • Die Konfiguration und die Überprüfung von Authentifizierung und Autorisierung

Zusätzlich werden unterstützende Komponenten wie SAPRouter, Webdispatcher, Reverse Proxies und die Firewall hinsichtlich einer sicheren Konfiguration untersucht.

Interessiert an Tipps unserer Experten?

Ob praxisnahe Empfehlungen, aktuelle Webinare, Success Stories unserer Kunden oder neue Features – wir halten Sie alle zwei Monate auf dem Laufenden.

Newsletter abonnieren

Absicherung und Härtung

Für die Verbesserung Ihrer SAP-Sicherheit erstellen wir einen detaillierten Maßnahmenplan für Ihre SAP-Systeme und Schnittstellen – idealerweise aufbauend auf den Empfehlungen aus einem Security Audit. Auf Wunsch begleiten wir Sie anschließend auch bei der Behebung aller identifizierten Schwachstellen und geben Ihnen Empfehlungen, wie Ihre Systeme dauerhaft gehärtet und sicher bleiben.
SAP RFC & Gateway: Analyse und Härtung
Weiterlesen
Aufgrund der hohen Sensibilität der Geschäftsdaten sowie möglicher Einfallstore in ein System über unsichere Gateways muss der Sicherheit der Schnittstellenkommunikation eine hohe Priorität zukommen. Der SAP-Standard aber bietet für Ihre Systeme keine umfassende und zentrale Auswertung der RFC-Schnittstellen.

Daher wird deren Absicherung oftmals vernachlässigt, technische Benutzer werden mit zu weitreichenden Rechten ausgestattet und Vertrauensbeziehungen zwischen Systemen selten dokumentiert. Im Zuge eines Bereinigungsprojekts finden wir diese Lücken und schließen sie dauerhaft.

Dank einer RFC-Schnittstellenanalyse können Sie sämtliche RFC-Schnittstellen (aktiv oder passiv) einer SAP-Systemlandschaft dokumentieren, mögliche Schwachstellen aufdecken und Hinweise zur Absicherung erhalten. Dabei stehen folgende Schnittstellen und Verbindungen im Fokus:

  • Systemschnittstellen zwischen SAP-Systemen und NON-SAP-Systemen
  • RFC-Schnittstellen
  • Vertrauensbeziehungen
  • Remote-Datenbankverbindungen

Im Rahmen einer SAP Gateway-Absicherung bieten wir Ihnen eine kundenindividuelle Auswertung der Kommunikationsverbindungen, eine Bewertung getroffener Schutzmaßnahmen, die Erstellung von entsprechenden Zugriffskontrolldateien sowie die Begleitung beim Go-Live der abgesicherten Konfiguration. Anschließend sind Ihre Systeme und Daten um ein Vielfaches besser geschützt und Sie können sich wieder ganz Ihrem Tagesgeschäft zuwenden.

SAP-Sicherheitskonzept
Weiterlesen
Sicherheitsrichtlinien sind unabdingbar, um grundlegende Standards zu definieren, die Ihre SAP-Sicherheit garantieren. Zudem werden Security-Konzepte auch durch das interne Kontrollsystem eingefordert. Daher ist ein SAP-Sicherheitskonzept für jedes Unternehmen notwendig, das Richtlinien definiert und diese aktuell hält.

Unsere SAP-Sicherheitskonzepte enthalten verbindliche Vorgaben zu allen Aspekten der Sicherheit Ihrer SAP ERP und S/4HANA-Systeme – auf operativer Ebene und für alle in- und extern Beteiligten bindend. Selbstverständlich berücksichtigen wir dabei neben unseren Erfahrungswerten als SAP Security-Experten die Empfehlungen der SAP, der DSAG und des BSI. Gerne stehen wir Ihnen bei der Konzeption und Umsetzung eines umfassenden Sicherheitskonzeptes zur Seite.

Folgende Bereiche sind innerhalb dieses SAP-Sicherheitskonzepts beschrieben:

Ermittlung des Schutzbedarfs der SAP-Systeme

Hierbei ordnen wir Ihre SAP-Systeme in Schutzbedarfsklassen ein, immer unter Berücksichtigung der enthaltenen Stamm- und Bewegungsdaten sowie einer Klassifizierung gemäß der Parameter Entwicklung, Qualitätssicherung und Produktivsystem.

Festlegung der kundeneigenen Security Policy und eines Auditplans

In diesem Schritt bestimmen wir gemeinsam Ihre individuelle Security Policy und erstellen einen periodischen Auditplan, der die Risiko-Verantwortlichkeiten und Umsetzungsvorgaben für die Bereiche Betriebsplattform (Betriebssystem, Datenbank, Netzwerk), Application Server Plattform sowie Application Server User und Berechtigungen beinhaltet.

SAP SNC-Implementierung
Weiterlesen
Mit Secure Network Communication (SNC) bietet SAP eine Schnittstelle zur Absicherung von Netzwerken, mit der sich Benutzer ohne Eingabe eines Benutzernamens oder Passworts an SAP-Systemen anmelden können. Standardmäßig werden SAP-Daten unverschlüsselt übermittelt. Dank zusätzlicher Sicherheitsfunktionen, wie eine SNC-Schnittstelle, können Datenpfade so verschlüsselt werden, dass eine sichere Anmeldung möglich ist.

Im Rahmen einer SAP SNC-Implementierung analysieren wir Ihre bestehende SAP-Systemlandschaft und unterstützen Sie bei der Einführung einer kostenneutralen Netzwerkverschlüsselung auf Basis Kerberos (Native) oder SAP Client Encryption, bzw. einer Third Party-Verschlüsselung inkl. Go-Live-Betreuung.

SAP Data Loss Prevention und Detection
Weiterlesen
Betreiben Sie schon Data Loss Detection zum Schutz Ihrer SAP-Anwendungen? Zunehmend einfachere Möglichkeiten des Datenabflusses sorgen für steigende Komplexität hinsichtlich Datenschutz und Datensicherheit. Mit unseren Data Loss Prevention-Lösungen unterstützen wir Sie präventiv zu agieren und Ihre Daten zu schützen.

Vor dem Einsatz eines Softwaretools zur Download-Überwachung, empfehlen wir Ihnen eine Monitoring-Strategie und Vorgehensweisen zur Risikobehandlung.

Step 1: Definition und Absicherung schutzwürdiger Daten

Unsere Dienstleistungen auf einen Blick:

  • Datenklassifikation: Wir bestimmen gemeinsam mit Ihnen, welche Daten im System vorliegen und ordnen diese, entsprechend der bei Ihnen geltenden Anforderungen, unterschiedlichen Schutzklassen zu.
  • Zugriffsberechtigung: Gemeinsam mit Ihnen erstellen wir ein Konzept zur Zugriffsabsicherung. Entsprechend der DSGVO werden Datenzugriffe dabei so gering wie möglich gehalten und im SAP-Standard bestmöglich eingeschränkt.
  • Download-Berechtigung: Analog der Zugriffsberechtigungen lassen sich auch Downloads durch den SAP-Standard einschränken. Auch hier unterstützen unsere Experten konzeptuell und in der Umsetzung. 

Step 2: Feststellen und Analysieren ungewöhnlicher Downloads

Mit der Pathlock Suite überwachen Sie Downloads aus Ihren SAP-Systemen und erhalten einen Überblick darüber, von wem welche Daten aus welchen Quellen heruntergeladen werden. Schutzwürdige Daten, Zugriffe und Downloads werden dabei identifiziert und systemseitig bestmöglich abgesichert. Verstöße gegen von Ihnen festgelegte Regeln können Sie softwaregestützt überwachen und bewerten und notwendige Maßnahmen zur Risikobehandlung einleiten.

Unsere SAP Security-Spezialisten unterstützen Sie gerne dabei, Ihre schutzwürdigen Daten zu identifizieren, zu klassifizieren und durch Zugriffsberechtigungen optimal zu schützen.

Quellcode-Analyse und -Bereinigung
Weiterlesen
Die Zahl der Eigenentwicklungen und Drittanbieter Add-Ons in den SAP-Systemen steigt kontinuierlich. Nach unseren Erfahrungen ist jedoch die Qualität des Codings im Hinblick auf dessen Sicherheit meist nicht ausreichend und so rückt ABAP-Coding als möglicher Angriffspunkt zunehmend in den Fokus.

Manuelle Quellcode-Analysen sind jedoch extrem aufwändig und die Bereinigung erfordert ein hochspezialisiertes Know-how.

Step 1: Die Schwachstellen-Analyse

Unsere Experten arbeiten tool-gestützt mit SAP-Standardwerkzeugen, erweitert um eigens entwickelte Sicherheitsregeln und untersuchen ABAP-Coding direkt in Ihren SAP-Systemen. Zusammen mit unseren erprobten Handlungsempfehlungen haben Sie so eine perfekte Basis für die schrittweise Behebung erkannter Risiken.

Step 2: Die Schwachstellen-Bereinigung

Wir unterstützen Sie dabei Sicherheitslücken zu schließen und Wissen zur nachhaltigen Vermeidung von Risiken in Ihrem Unternehmen aufzubauen. Dabei setzen wir auf ein erprobtes und von Wirtschaftsprüfern anerkanntes Vorgehen im Umgang mit Code-Scan-Ergebnissen.

Ihr Vorteil: Eine Reduktion des Aufwandes notwendiger Code-Anpassungen um bis zu 90%, beispielsweise durch die Einbeziehung von Kontext-Informationen. Technisch-organisatorische Maßnahmen erlauben es, die Anzahl notwendiger Änderungen noch weiter zu reduzieren.

Sie haben die Möglichkeit mit Finding-Listen beliebiger Scanner zu arbeiten und sind damit unabhängig vom zuvor eingesetzten Code-Analyse-Tool.

Unser Projektvorgehen auf einen Blick:

  • Initialer Workshop: Bestandsaufnahme, Erläuterung der Prozesse, kundenspezifische Priorisierung der Risiken, Festlegung des Projekt-Scopes und der Projekt-Rollen
  • Individuelle Abstimmung der Bereinigungslösung auf Ihre Schutzbedürfnisse
  • Optional: Schulung Ihrer Entwickler zur langfristigen Vermeidung von Code-Risiken

SAP HANA und S/4HANA-Migration

Jedes SAP-Anwendungsunternehmen muss in absehbarer Zeit auf SAP S/4HANA migrieren. Um die neue Plattform überhaupt nutzen zu können, gehört auch der Umzug Ihrer Datenbank auf SAP HANA zum Pflichtprogramm. Mit einer technischen Prüfung im Vorfeld und strukturierten Security-Planung sind Ihre Systeme dann bereit für die digitale Zukunft.
SAP S/4HANA Readiness Check
Weiterlesen
Die neue Generation der ERP Business Suite basiert vollständig auf der In-Memory-Plattform SAP HANA und bietet als großen Vorteil Analysen in Echtzeit. Die Umstellung der Systeme ist jedoch komplex und birgt einige Herausforderungen. Oftmals mangelt es schon an den technischen Voraussetzungen für eine Migration auf S/4HANA.

Eine gute Vorbereitung dieser technischen System-Migration ist ein zentraler Erfolgsfaktor im Rahmen der Umstellung.

Sie planen aktuell Ihre S/4HANA-Migration? Wir unterstützen Sie dabei festzustellen, ob die technischen Voraussetzungen für eine Migration nach S/4HANA gegeben sind und führen eine umfassende Sicherheitsprüfung auf Ebene der Betriebsplattform SAP HANA on Linux durch. Anschließend erstellen wir einen Maßnahmenplan und begleiten Sie selbstverständlich auf dem Weg einer erfolgreichen Einführung.

SAP HANA-Migration
Weiterlesen
Im Zuge der Migration auf SAP HANA stehen viele Verantwortliche vor der Aufgabe auch die bestehende Basis, also ihre Datenbank, zu aktualisieren. Denn Erfolg und Produktivität der meisten Anwenderunternehmen hängen grundlegend von der Sicherheit und Verfügbarkeit des SAP-Datenbestands ab.

Ein solches Projekt erfordert nicht nur viel Zeit, sondern auch ein hohes Maß an Erfahrung und Souveränität. Für viele IT-Abteilungen ist das allein oft nicht zu stemmen. Wir stehen Ihnen mit unserem fundierten Expertenwissen zu Seite und sorgen nicht nur für eine saubere, sondern auch für eine sichere Migration Ihrer Datenbank-Betriebsplattform auf SAP HANA.

Unser Projektvorgehen:

Zur Absicherung Ihrer SAP HANA Plattform nach den aktuellsten Security-Richtlinien empfehlen wir im ersten ein Schritt Security Audit mit einer grundlegenden Analyse der notwendigen Sicherheitseinstellungen:

  • Betriebssystem (UNIX)
  • Datenbank (SAP HANA-Konfiguration und SAP HANA-Berechtigungen)
  • Netzwerk (Architektur und SAP-Schnittstellen)
  • SAP Application Server

Alle Prüfhandlungen berücksichtigen die Sicherheitsempfehlungen nach dem DSAG-Prüfleitfaden 2.0 sowie der SAP Security Guideline. Die ermittelten Schwachstellen können unmittelbar beseitigt werden.

Abschließend sorgen differenzierte Compliance-Prüfungen mit der Pathlock Suite und besonderem Augenmerk auf Ihre Berechtigungen für eine Sicherheitsanalyse Ihres neuen Systems.

SAP Security Monitoring und Controlling

Sie haben Ihre SAP-Systeme auf ein sicheres Level gehoben und wollen diesen Zustand nun natürlich auch auf lange Sicht manifestieren. Ein umfassendes SAP Security Monitoring zu etablieren ist daher unabdingbar. Denn nur so können Sie sicher sein, dass Ihre Systeme auch langfristig vor unbefugten Zugriffen geschützt bleiben.
Echtzeitüberwachung von SAP-Systemen
Weiterlesen
Die Erkennung von Angriffen auf Basis von Log-Dateien und die Auswertung von Netzwerkverkehr erfordert tiefe Kenntnisse über Angriffswege und -muster. Um diese Security-Daten auswerten zu können, ist ein intelligentes Management aller Informationen notwendig. Die sicherheitsrelevanten Events müssen aus der Fülle der Daten herausgefiltert und in den richtigen Kontext gestellt werden.

Eine Security Monitoring-Strategie, gepaart mit der Integration eines übergreifenden SIEM-Tools, macht dies möglich. Auf unserem Security Dashboard können Sie alle sicherheitsrelevanten Vorfälle Ihrer SAP-Systemlandschaft überblicken, Risiken in Echtzeit erkennen und darauf reagieren.

Gerne erarbeiten wir ein auf Ihre Systemlandschaft abgestimmtes Security Monitoring-Konzept, um eine zentrale Echtzeitüberwachung und ein umfassendes Risiko-Management zu etablieren.

Background shape blurry blob Background shape blurry blob Background shape blurry blob

Haben wir Ihr Interesse geweckt?

Bringen auch Sie Ihre SAP-Berechtigungen auf ein neues Niveau und vereinbaren Sie ein unverbindliches Beratungsgespräch.