Kontakt

Um das Gef├Ąhrdungspotenzial von SAP-Landschaften einsch├Ątzen zu k├Ânnen und m├Âgliche Angriffspunkte zu identifizieren, gibt es verschiedene Ma├čnahmen. Hier den ├ťberblick zu behalten, ist gar nicht so einfach. Das Angebot reicht von Schwachstellenscans ├╝ber Audits bis hin zu Penetrationstests. Welcher Ansatz jedoch der richtige ist, um Schwachstellen aufzuzeigen, h├Ąngt ganz von Ihren individuellen Anforderungen ab.

Es gibt verschiedene Ans├Ątze mit unterschiedlichen Schwerpunkten, mit denen Sie eine Aussage ├╝ber das Sicherheitsniveau eines SAP-Systems oder Ihrer SAP-Systemlandschaft treffen k├Ânnen.

Vulnerability Scan: Umfassender ├ťberblick ├╝ber bestehende Schwachstellen

Dies kann beispielsweise durch die Durchf├╝hrung von Schwachstellen-Scans – auch Vulnerability Scans oder Vulnerability Assessments genannt – erfolgen. Dabei werden die betroffenen SAP-Systeme automatisiert oder teilautomatisiert nach bekannten Schwachstellen durchsucht und die Ergebnisse in einem tabellarischen Bericht aufgelistet. Im einfachsten Fall kann das eine Auflistung der sicherheitsrelevanten Parameter eines SAP Application Servers sein, ohne diese einer Bewertung zu unterziehen. Es findet also keine ├ťberpr├╝fung statt, ob die Schwachstellen ausgenutzt werden k├Ânnen, wie es bei einem Penetrationstest der Fall w├Ąre (dazu weiter unten mehr).

Dar├╝ber hinaus kann es sich bei einigen der identifizierten Schwachstellen um sogenannte ÔÇ×False PositivesÔÇť handeln, d.h. Schwachstellen, die zwar gelistet sind, aber im aktuellen Systemkontext keine Gefahr darstellen oder systemtechnisch begr├╝ndet sind.

Regelm├Ą├čige Vulnerability Scans sind jedoch notwendig, um die Informationssicherheit generell zu gew├Ąhrleisten und sollten in periodischen Abst├Ąnden wiederholt werden. Ein Schwachstellenscan erkennt z.B. neben fehlerhafter Parametrisierung von SAP Application Servern auch Probleme wie fehlende Patches und veraltete Protokolle, Zertifikate und Dienste.

Security & Compliance Audit: Umfassende und gr├╝ndliche ├ťberpr├╝fung

Ein Security & Compliance Audit ist eine umfassende und formelle ├ťberpr├╝fung der Sicherheit von Systemen und sicherheitsrelevanten Prozessen eines Unternehmens. Ein SAP-Audit stellt somit eine umfassende und gr├╝ndliche Pr├╝fung dar. Nicht nur die physischen Attribute, wie die Sicherheit der Betriebsplattform, des Application Servers sowie der Netzwerkarchitektur, sondern auch die Sichtung und ├ťberpr├╝fung vorhandener Sicherheitskonzepte, beispielsweise zu Themen wie SAP-Berechtigungen oder dem Umgang mit Notfallusern.

Methodisch beinhaltet das Audit die Durchf├╝hrung eines Schwachstellenscans. Dar├╝ber hinaus erfolgt eine Bewertung der Ergebnisse im Kontext der jeweiligen Systemumgebung und eine Bereinigung um ÔÇ×False PositivesÔÇť. Die daraus resultierenden Handlungsempfehlungen zur weiteren Absicherung der SAP-Systeme sind wesentlich detaillierter und tiefgreifender, als dies im Bericht eines Schwachstellenscans m├Âglich ist. Die Aussagekraft eines Security & Compliance Audits hinsichtlich der Absicherung von SAP-Systemen geht demnach deutlich ├╝ber die eines reinen Schwachstellenscans hinaus, da die Ergebnisse zus├Ątzlich einer Bewertung unterzogen und im Kontext der Systemumgebung des jeweiligen Unternehmens betrachtet und in einem ausf├╝hrlichen Bericht zusammengefasst werden.

Tipp: Wir empfehlen die Durchf├╝hrung von Audits als Erstvorbereitung und nach Abschluss von H├Ąrtungsma├čnahmen sowie im Rahmen einer System- oder Plattformmigration.

Penetrationstest: Schwachstellen durch gezieltes Eindringen aufdecken

Ein Penetrationstest hingegen versucht, Schwachstellen aktiv auszunutzen. Dem weitgehend automatisierten Schwachstellenscan steht hier ein Test gegen├╝ber, der sowohl fundiertes Fachwissen als auch Werkzeuge aus verschiedenen Bereichen erfordert.

Ein Penetrationstest bedarf einer umfassenden Planung hinsichtlich des zu erreichenden Ergebnisses, der anzuwendenden Methode und der zu verwendenden Werkzeuge zur Durchf├╝hrung. Das zentrale Ziel eines Penetests ist es, unsichere Gesch├Ąftsprozesse, fehlerhafte Sicherheitseinstellungen oder andere Schwachstellen zu identifizieren, die ein Angreifer ausnutzen k├Ânnte. Beispiele f├╝r Probleme, die durch einen Penetrationstest aufgedeckt werden k├Ânnen, sind die ├ťbertragung unverschl├╝sselter Passw├Ârter, die Wiederverwendung von Standardpassw├Ârtern und vergessene Datenbanken, in denen g├╝ltige Benutzeranmeldeinformationen gespeichert sind. Pentests m├╝ssen nicht so h├Ąufig durchgef├╝hrt werden wie Schwachstellenanalysen. Wir empfehlen jedoch, sie in regelm├Ą├čigen Abst├Ąnden zu wiederholen.

Penetrationstests sollten sinnvollerweise von einem externen Anbieter und nicht von internen Mitarbeitern durchgef├╝hrt werden. So gew├Ąhrleisten Sie eine objektive Sichtweise und vermeiden Interessenkonflikte. Die Wirksamkeit dieser Art von Tests h├Ąngt stark vom Tester ab. Er sollte ├╝ber umfassende und tiefgreifende Erfahrungen im Bereich der Informationstechnologie verf├╝gen, vorzugsweise im Gesch├Ąftsbereich des Unternehmens. Die F├Ąhigkeit, abstrakte Denkmuster anzuwenden und das Verhalten von Bedrohungsakteuren zu antizipieren, sind neben dem Fokus auf Vollst├Ąndigkeit und dem Verst├Ąndnis, wie und warum die Umgebung eines Unternehmens kompromittiert werden k├Ânnte, wichtige F├Ąhigkeiten f├╝r die Durchf├╝hrung dieser Leistung.

Auf einen Blick: Vergleich von Schwachstellenscans, Audits und Penetrationstests

Vulnerability Scan, Audit oder Penetrationstest (Pathlock)

Finden Sie Schwachstellen, bevor sie Schaden anrichten!

Jeder Testansatz, vom Vulnerability Scan bis hin zu umfassenden Penetrationstests, ist f├╝r eine umfassende Sicherheitsstrategie von entscheidender Bedeutung.

Die Komplexit├Ąt von SAP-Anwendungen erschwert jedoch die konsequente Einhaltung bew├Ąhrter Sicherheitsverfahren. Die schiere Menge der generierten Logs ist zu gro├č, um manuell gescannt zu werden. Wir bieten Ihnen daher eine Reihe von automatisierten Scanning- und Threat Detection-L├Âsungen an:

Zus├Ątzlich unterst├╝tzen wir Sie mit SAP Security Consulting Services. Unsere Compliance-Experten identifizieren Schwachstellen und helfen Ihnen, Ihre SAP-Systeme mit der bestm├Âglichen Strategie abzusichern. So profitieren Sie sowohl von unseren Dienstleistungen als auch von unserer Software und erhalten alles aus einer Hand.

Wenn Sie mehr erfahren m├Âchten, kontaktieren Sie uns gerne.

Axel Giese (SAP Security Consultant, Pathlock Deutschland)

Das k├Ânnte Sie auch interessieren

SAP Security Audit Log

Inhalte