SAP Cyber Security Consulting

Dabei können wir außerdem Ihre individuellen Eigenentwicklungen, z.B. auf ABAP- oder JAVA-Basis mit einbeziehen. Auch im Rahmen einer anstehenden Migration auf SAP HANA oder S/4HANA sind unsere Audits die ideale Lösung, um Ihre Systeme bereits im Voraus abzusichern und alle notwendigen Sicherheitsvorkehrungen vorzunehmen.

Lückenlose Transparenz für Sie:

Unsere Security & Compliance Audits basieren auf den SAP Security Guidelines sowie den BSI-Empfehlungen und sind angelehnt an die DIN ISO 27001. Dabei gewährleisten wir die systematische Analyse und Abdeckung aller Prüffelder durch den Einsatz unserer zertifizierten GRC-Software.

In einer Abschlusspräsentation erhalten Sie zudem eine detaillierte Beschreibung der Abweichungen Ihrer Systeme zum Soll-Zustand, inklusive einer Analyse der Ursachen und der daraus resultierenden Risiken für Ihr Unternehmen.

Unser Projektvorgehen auf einen Blick:

• Überprüfung der Zugangs- und Zugriffskontrollen zu Ihren Systemen
• Sicherheitstests auf Netzwerk-, Betriebssystem- und Datenbank-Ebene
• Check Ihrer Internet-Konfigurationen und Kryptographie-Einstellungen
• Auswertung Ihrer kritischen SAP-System- und Fachberechtigungen
• Untersuchung Ihrer User-Berechtigungen sowie Prüfung auf kritische Berechtigungen und SoD-Konflikte
• Auswertung Ihrer Berechtigungs-, Notfall-User- und Betriebskonzepte
• Analyse und Bewertung Ihrer Prozesskontrollen und Kontrollorganisation

Get Clean

Sie haben selbstverständlich die Möglichkeit, in einem Folgeprojekt zur Systemhärtung und -optimierung, unsere Unterstützung bei der Schließung aller durch das Audit aufgezeigten Sicherheitsrisiken in Anspruch zu nehmen.

Stay Clean

Haben Sie bereits grundlegende Hausaufgaben in der Absicherung Ihrer SAP-Systemlandschaft gemacht? Dann können Sie mit der Pathlock Suite sicherstellen, dass sämtliche in Projekten getroffene und sicherheitskritische Einstellungen auch zukünftig bestehen bleiben.

Ob Hackerangriffe von außen oder Manipulationen durch interne Mitarbeiter – mit Hilfe simulierter Attacken stellen unsere Experten gängige Angriffsmuster und -methoden nach, dringen in Ihre SAP-Systeme ein und decken so Schwachstellen auf.

Grundlage für unsere Penetrationstests sind die Empfehlungen des BSI und unsere vielfach bewährten Best Practice-Szenarien. Unterschieden wird bei Penetrationstests zwischen zwei Verfahren, die unabhängig voneinander durchgeführt werden können. Um aber ganz sicher zu gehen, empfehlen wir Ihnen folgendes, aufeinander aufbauendes Vorgehen:

Stufe 1: Der Blackbox-Test ohne User-ID aus dem Internet

Anhand realistischer Angriffsmuster simulieren wir die typischen Attacken externer Hacker. Dafür recherchieren unsere Experten nach benötigten Informationen in öffentlich zugänglichen Datenbanken oder erfragen diese.

Ziel ist es, als nicht authentifizierter User Zugang zu Ihren Systemen zu erlangen bzw. durch Ausnutzung technischer Schwachstellen Funktionen auf Betriebssystem-, Datenbank- oder Applikations-Ebene aufrufen zu können.

Stufe 2: Der Whitebox-Test mit User-ID aus dem Internet

Mit diesem Verfahren simulieren wir interne Manipulationen. Der Umfang der vorhandenen Detailkenntnisse reicht dabei vom Wissen der breiten Mitarbeiterschaft bis hin zu tiefgehenden Systemkenntnissen, wie sie IT-Dienstleister erlangen können.

Unsere Whitebox-Tests führen wir manuell durch und finden so Ihre internen Schwachstellen auf Betriebssystem-, Datenbank- oder Applikations-Ebene.

Unser Projektvorgehen auf einen Blick:

• Durchführung realistischer Angriffsmuster wie durch externe Hacker oder interne Manipulationen
• Aufdeckung der Schwachstellen in Ihren SAP-Systemen und -Berechtigungen
• Offenlegung der Zugriffswege
• Sicherheitscheck Ihrer Betriebssystem-, Datenbank- und Applikations-Ebene
• Analyse zum potenziellen Zeithorizont und dem benötigten Vorwissen im Falle einer möglichen Schwachstellenausnutzung
• Abschlusspräsentation mit Dokumentation unserer Prüfhandlungen und individuellen Handlungsempfehlungen für Sie
• Follow-up Workshop zur Vorstellung der gefundenen Schwachstellen und Erläuterung der konkreten Risiken für Ihr Unternehmen

Bevor Sie Ihre SAP-Systeme im Rahmen eines Penetrationstests einem echten Stresstest unterziehen, empfehlen wir Ihnen unser SAP Security & Compliance Audit. Damit erhalten Sie vollständige Transparenz über das Gefährdungspotenzial Ihrer Systemlandschaft.

Aus diesem Grund ist ein entsprechender Schutz aller Systemkomponenten und Daten zu gewährleisten. Gerne unterstützen wir Sie dabei diese Sicherheitsrisiken aufzudecken.

Unser Service zur Sicherheitsoptimierung von SAP-Webanwendungen umfasst folgende Maßnahmen:

• Die IST-Aufnahme aller verwendeten Anwendungen
• Eine Analyse der Anwendungssoftware
• Die Konfiguration und die Überprüfung von Authentifizierung und Autorisierung

Zusätzlich werden unterstützende Komponenten wie SAPRouter, Webdispatcher, Reverse Proxies und die Firewall hinsichtlich einer sicheren Konfiguration untersucht.

Daher wird deren Absicherung oftmals vernachlässigt, technische Benutzer werden mit zu weitreichenden Rechten ausgestattet und Vertrauensbeziehungen zwischen Systemen selten dokumentiert. Im Zuge eines Bereinigungsprojekts finden wir diese Lücken und schließen sie dauerhaft.

Dank einer RFC-Schnittstellenanalyse können Sie sämtliche RFC-Schnittstellen (aktiv oder passiv) einer SAP-Systemlandschaft dokumentieren, mögliche Schwachstellen aufdecken und Hinweise zur Absicherung erhalten. Dabei stehen folgende Schnittstellen und Verbindungen im Fokus:

• Systemschnittstellen zwischen SAP-Systemen und NON-SAP-Systemen
• RFC-Schnittstellen
• Vertrauensbeziehungen
• Remote-Datenbankverbindungen

Im Rahmen einer SAP Gateway-Absicherung bieten wir Ihnen eine kundenindividuelle Auswertung der Kommunikationsverbindungen, eine Bewertung getroffener Schutzmaßnahmen, die Erstellung von entsprechenden Zugriffskontrolldateien sowie die Begleitung beim Go-Live der abgesicherten Konfiguration. Anschließend sind Ihre Systeme und Daten um ein Vielfaches besser geschützt und Sie können sich wieder ganz Ihrem Tagesgeschäft zuwenden.

Unsere SAP-Sicherheitskonzepte enthalten verbindliche Vorgaben zu allen Aspekten der Sicherheit Ihrer SAP ERP und S/4HANA-Systeme – auf operativer Ebene und für alle in- und extern Beteiligten bindend. Selbstverständlich berücksichtigen wir dabei neben unseren Erfahrungswerten als SAP Security-Experten die Empfehlungen der SAP, der DSAG und des BSI. Gerne stehen wir Ihnen bei der Konzeption und Umsetzung eines umfassenden Sicherheitskonzeptes zur Seite.

Folgende Bereiche sind innerhalb dieses SAP-Sicherheitskonzepts beschrieben:

Ermittlung des Schutzbedarfs der SAP-Systeme

Hierbei ordnen wir Ihre SAP-Systeme in Schutzbedarfsklassen ein, immer unter Berücksichtigung der enthaltenen Stamm- und Bewegungsdaten sowie einer Klassifizierung gemäß der Parameter Entwicklung, Qualitätssicherung und Produktivsystem.

Festlegung der kundeneigenen Security Policy und eines Auditplans

In diesem Schritt bestimmen wir gemeinsam Ihre individuelle Security Policy und erstellen einen periodischen Auditplan, der die Risiko-Verantwortlichkeiten und Umsetzungsvorgaben für die Bereiche Betriebsplattform (Betriebssystem, Datenbank, Netzwerk), Application Server Plattform sowie Application Server User und Berechtigungen beinhaltet.

Im Rahmen einer SAP SNC-Implementierung analysieren wir Ihre bestehende SAP-Systemlandschaft und unterstützen Sie bei der Einführung einer kostenneutralen Netzwerkverschlüsselung auf Basis Kerberos (Native) oder SAP Client Encryption, bzw. einer Third Party-Verschlüsselung inkl. Go-Live-Betreuung.

Vor dem Einsatz eines Softwaretools zur Download-Überwachung, empfehlen wir Ihnen eine Monitoring-Strategie und Vorgehensweisen zur Risikobehandlung.

Step 1: Definition und Absicherung schutzwürdiger Daten

Unsere Dienstleistungen auf einen Blick:

• Datenklassifikation: Wir bestimmen gemeinsam mit Ihnen, welche Daten im System vorliegen und ordnen diese, entsprechend der bei Ihnen geltenden Anforderungen, unterschiedlichen Schutzklassen zu.

• Zugriffsberechtigung: Gemeinsam mit Ihnen erstellen wir ein Konzept zur Zugriffsabsicherung. Entsprechend der DSGVO werden Datenzugriffe dabei so gering wie möglich gehalten und im SAP-Standard bestmöglich eingeschränkt.

• Download-Berechtigung: Analog der Zugriffsberechtigungen lassen sich auch Downloads durch den SAP-Standard einschränken. Auch hier unterstützen unsere Experten konzeptuell und in der Umsetzung. 

Step 2: Feststellen und Analysieren ungewöhnlicher Downloads

Mit der Pathlock Suite überwachen Sie Downloads aus Ihren SAP-Systemen und erhalten einen Überblick darüber, von wem welche Daten aus welchen Quellen heruntergeladen werden. Schutzwürdige Daten, Zugriffe und Downloads werden dabei identifiziert und systemseitig bestmöglich abgesichert. Verstöße gegen von Ihnen festgelegte Regeln können Sie softwaregestützt überwachen und bewerten und notwendige Maßnahmen zur Risikobehandlung einleiten.

Unsere SAP Security-Spezialisten unterstützen Sie gerne dabei, Ihre schutzwürdigen Daten zu identifizieren, zu klassifizieren und durch Zugriffsberechtigungen optimal zu schützen.

Manuelle Quellcode-Analysen sind jedoch extrem aufwändig und die Bereinigung erfordert ein hochspezialisiertes Know-how.

Step 1: Die Schwachstellen-Analyse

Unsere Experten arbeiten tool-gestützt mit SAP-Standardwerkzeugen, erweitert um eigens entwickelte Sicherheitsregeln und untersuchen ABAP-Coding direkt in Ihren SAP-Systemen. Zusammen mit unseren erprobten Handlungsempfehlungen haben Sie so eine perfekte Basis für die schrittweise Behebung erkannter Risiken.

Step 2: Die Schwachstellen-Bereinigung

Wir unterstützen Sie dabei Sicherheitslücken zu schließen und Wissen zur nachhaltigen Vermeidung von Risiken in Ihrem Unternehmen aufzubauen. Dabei setzen wir auf ein erprobtes und von Wirtschaftsprüfern anerkanntes Vorgehen im Umgang mit Code-Scan-Ergebnissen.

Ihr Vorteil: Eine Reduktion des Aufwandes notwendiger Code-Anpassungen um bis zu 90%, beispielsweise durch die Einbeziehung von Kontext-Informationen. Technisch-organisatorische Maßnahmen erlauben es, die Anzahl notwendiger Änderungen noch weiter zu reduzieren.

Sie haben die Möglichkeit mit Finding-Listen beliebiger Scanner zu arbeiten und sind damit unabhängig vom zuvor eingesetzten Code-Analyse-Tool.

Unser Projektvorgehen auf einen Blick:

• Initialer Workshop: Bestandsaufnahme, Erläuterung der Prozesse, kundenspezifische Priorisierung der Risiken, Festlegung des Projekt-Scopes und der Projekt-Rollen
• Individuelle Abstimmung der Bereinigungslösung auf Ihre Schutzbedürfnisse
• Optional: Schulung Ihrer Entwickler zur langfristigen Vermeidung von Code-Risiken

Eine gute Vorbereitung dieser technischen System-Migration ist ein zentraler Erfolgsfaktor im Rahmen der Umstellung.

Sie planen aktuell Ihre S/4HANA-Migration? Wir unterstützen Sie dabei festzustellen, ob die technischen Voraussetzungen für eine Migration nach S/4HANA gegeben sind und führen eine umfassende Sicherheitsprüfung auf Ebene der Betriebsplattform SAP HANA on Linux durch. Anschließend erstellen wir einen Maßnahmenplan und begleiten Sie selbstverständlich auf dem Weg einer erfolgreichen Einführung.

Ein solches Projekt erfordert nicht nur viel Zeit, sondern auch ein hohes Maß an Erfahrung und Souveränität. Für viele IT-Abteilungen ist das allein oft nicht zu stemmen. Wir stehen Ihnen mit unserem fundierten Expertenwissen zu Seite und sorgen nicht nur für eine saubere, sondern auch für eine sichere Migration Ihrer Datenbank-Betriebsplattform auf SAP HANA.

Unser Projektvorgehen:

Zur Absicherung Ihrer SAP HANA Plattform nach den aktuellsten Security-Richtlinien empfehlen wir im ersten ein Schritt Security Audit mit einer grundlegenden Analyse der notwendigen Sicherheitseinstellungen:

• Betriebssystem (UNIX)
• Datenbank (SAP HANA-Konfiguration und SAP HANA-Berechtigungen)
• Netzwerk (Architektur und SAP-Schnittstellen)
• SAP Application Server

Alle Prüfhandlungen berücksichtigen die Sicherheitsempfehlungen nach dem DSAG-Prüfleitfaden 2.0 sowie der SAP Security Guideline. Die ermittelten Schwachstellen können unmittelbar beseitigt werden.

Abschließend sorgen differenzierte Compliance-Prüfungen mit der Pathlock Suite und besonderem Augenmerk auf Ihre Berechtigungen für eine Sicherheitsanalyse Ihres neuen Systems.

Eine Security Monitoring-Strategie, gepaart mit der Integration eines übergreifenden SIEM-Tools, macht dies möglich. Auf unserem Security Dashboard können Sie alle sicherheitsrelevanten Vorfälle Ihrer SAP-Systemlandschaft überblicken, Risiken in Echtzeit erkennen und darauf reagieren.

Gerne erarbeiten wir ein auf Ihre Systemlandschaft abgestimmtes Security Monitoring-Konzept, um eine zentrale Echtzeitüberwachung und ein umfassendes Risiko-Management zu etablieren.