{"id":34911,"date":"2023-09-27T07:05:15","date_gmt":"2023-09-27T14:05:15","guid":{"rendered":"https:\/\/pathlock.com\/?p=34911"},"modified":"2026-03-05T10:24:43","modified_gmt":"2026-03-05T15:24:43","slug":"vulnerability-scan-audits-oder-penetrationstests-die-richtige-methode-finden","status":"publish","type":"post","link":"https:\/\/pathlock.com\/de\/vulnerability-scan-audits-oder-penetrationstests-die-richtige-methode-finden\/","title":{"rendered":"Vulnerability Scan, Audit oder Penetrationstest: Welche Methode zum Aufsp\u00fcren von Schwachstellen?"},"content":{"rendered":"\n

Um das Gef\u00e4hrdungspotenzial von SAP-Landschaften einsch\u00e4tzen zu k\u00f6nnen und m\u00f6gliche Angriffspunkte zu identifizieren, gibt es verschiedene Ma\u00dfnahmen. Hier den \u00dcberblick zu behalten, ist gar nicht so einfach. Das Angebot reicht von Schwachstellenscans \u00fcber Audits bis hin zu Penetrationstests. Welcher Ansatz jedoch der richtige ist, um Schwachstellen aufzuzeigen, h\u00e4ngt ganz von Ihren individuellen Anforderungen ab.<\/p>\n\n\n\n

Es gibt verschiedene Ans\u00e4tze mit unterschiedlichen Schwerpunkten, mit denen Sie eine Aussage \u00fcber das Sicherheitsniveau eines SAP-Systems oder Ihrer SAP-Systemlandschaft treffen k\u00f6nnen.<\/p>\n\n\n\n

Vulnerability Scan: Umfassender \u00dcberblick \u00fcber bestehende Schwachstellen<\/strong><\/strong><\/h2>\n\n\n\n

Dies kann beispielsweise durch die Durchf\u00fchrung von Schwachstellen-Scans<\/strong> – auch Vulnerability Scans<\/strong> oder Vulnerability Assessments<\/strong> genannt – erfolgen. Dabei werden die betroffenen SAP-Systeme automatisiert oder teilautomatisiert nach bekannten Schwachstellen durchsucht und die Ergebnisse in einem tabellarischen Bericht aufgelistet. Im einfachsten Fall kann das eine Auflistung der sicherheitsrelevanten Parameter eines SAP Application Servers sein, ohne diese einer Bewertung zu unterziehen. Es findet also keine \u00dcberpr\u00fcfung statt, ob die Schwachstellen ausgenutzt werden k\u00f6nnen, wie es bei einem Penetrationstest der Fall w\u00e4re (dazu weiter unten mehr).<\/p>\n\n\n\n

Dar\u00fcber hinaus kann es sich bei einigen der identifizierten Schwachstellen um sogenannte \u201eFalse Positives\u201c handeln, d.h. Schwachstellen, die zwar gelistet sind, aber im aktuellen Systemkontext keine Gefahr darstellen oder systemtechnisch begr\u00fcndet sind.<\/p>\n\n\n\n

Regelm\u00e4\u00dfige Vulnerability Scans sind jedoch notwendig, um die Informationssicherheit generell zu gew\u00e4hrleisten und sollten in periodischen Abst\u00e4nden wiederholt werden. Ein Schwachstellenscan erkennt z.B. neben fehlerhafter Parametrisierung von SAP Application Servern auch Probleme wie fehlende Patches und veraltete Protokolle, Zertifikate und Dienste.<\/p>\n\n\n\n

Security & Compliance Audit: Umfassende und gr\u00fcndliche \u00dcberpr\u00fcfung<\/strong><\/strong><\/h2>\n\n\n\n

Ein Security & Compliance Audit<\/strong> ist eine umfassende und formelle \u00dcberpr\u00fcfung der Sicherheit von Systemen und sicherheitsrelevanten Prozessen eines Unternehmens. Ein SAP-Audit stellt somit eine umfassende und gr\u00fcndliche Pr\u00fcfung dar. Nicht nur die physischen Attribute, wie die Sicherheit der Betriebsplattform, des Application Servers sowie der Netzwerkarchitektur, sondern auch die Sichtung und \u00dcberpr\u00fcfung vorhandener Sicherheitskonzepte, beispielsweise zu Themen wie SAP-Berechtigungen oder dem Umgang mit Notfallusern.<\/p>\n\n\n\n

Methodisch beinhaltet das Audit die Durchf\u00fchrung eines Schwachstellenscans. Dar\u00fcber hinaus erfolgt eine Bewertung der Ergebnisse im Kontext der jeweiligen Systemumgebung und eine Bereinigung um \u201eFalse Positives\u201c. Die daraus resultierenden Handlungsempfehlungen zur weiteren Absicherung der SAP-Systeme sind wesentlich detaillierter und tiefgreifender, als dies im Bericht eines Schwachstellenscans m\u00f6glich ist. Die Aussagekraft eines Security & Compliance Audits hinsichtlich der Absicherung von SAP-Systemen geht demnach deutlich \u00fcber die eines reinen Schwachstellenscans hinaus, da die Ergebnisse zus\u00e4tzlich einer Bewertung unterzogen und im Kontext der Systemumgebung des jeweiligen Unternehmens betrachtet und in einem ausf\u00fchrlichen Bericht zusammengefasst werden.<\/p>\n\n\n\n

Tipp: Wir empfehlen die Durchf\u00fchrung von Audits als Erstvorbereitung und nach Abschluss von H\u00e4rtungsma\u00dfnahmen sowie im Rahmen einer System- oder Plattformmigration.<\/p>\n\n\n\n

Penetrationstest: Schwachstellen durch gezieltes Eindringen aufdecken<\/strong><\/strong><\/h2>\n\n\n\n

Ein Penetrationstest<\/strong> hingegen versucht, Schwachstellen aktiv auszunutzen. Dem weitgehend automatisierten Schwachstellenscan steht hier ein Test gegen\u00fcber, der sowohl fundiertes Fachwissen als auch Werkzeuge aus verschiedenen Bereichen erfordert.<\/p>\n\n\n\n

Ein Penetrationstest bedarf einer umfassenden Planung hinsichtlich des zu erreichenden Ergebnisses, der anzuwendenden Methode und der zu verwendenden Werkzeuge zur Durchf\u00fchrung. Das zentrale Ziel eines Penetests ist es, unsichere Gesch\u00e4ftsprozesse, fehlerhafte Sicherheitseinstellungen oder andere Schwachstellen zu identifizieren, die ein Angreifer ausnutzen k\u00f6nnte. Beispiele f\u00fcr Probleme, die durch einen Penetrationstest aufgedeckt werden k\u00f6nnen, sind die \u00dcbertragung unverschl\u00fcsselter Passw\u00f6rter, die Wiederverwendung von Standardpassw\u00f6rtern und vergessene Datenbanken, in denen g\u00fcltige Benutzeranmeldeinformationen gespeichert sind. Pentests m\u00fcssen nicht so h\u00e4ufig durchgef\u00fchrt werden wie Schwachstellenanalysen. Wir empfehlen jedoch, sie in regelm\u00e4\u00dfigen Abst\u00e4nden zu wiederholen.<\/p>\n\n\n\n

Penetrationstests sollten sinnvollerweise von einem externen Anbieter und nicht von internen Mitarbeitern durchgef\u00fchrt werden. So gew\u00e4hrleisten Sie eine objektive Sichtweise und vermeiden Interessenkonflikte. Die Wirksamkeit dieser Art von Tests h\u00e4ngt stark vom Tester ab. Er sollte \u00fcber umfassende und tiefgreifende Erfahrungen im Bereich der Informationstechnologie verf\u00fcgen, vorzugsweise im Gesch\u00e4ftsbereich des Unternehmens. Die F\u00e4higkeit, abstrakte Denkmuster anzuwenden und das Verhalten von Bedrohungsakteuren zu antizipieren, sind neben dem Fokus auf Vollst\u00e4ndigkeit und dem Verst\u00e4ndnis, wie und warum die Umgebung eines Unternehmens kompromittiert werden k\u00f6nnte, wichtige F\u00e4higkeiten f\u00fcr die Durchf\u00fchrung dieser Leistung.<\/p>\n\n\n\n

Auf einen Blick: Vergleich von Schwachstellenscans, Audits und Penetrationstests<\/strong><\/h2>\n\n\n\n
\"Vulnerability<\/figure>\n\n\n\n

Finden Sie Schwachstellen, bevor sie Schaden anrichten!<\/strong><\/h2>\n\n\n\n

Jeder Testansatz, vom Vulnerability Scan bis hin zu umfassenden Penetrationstests, ist f\u00fcr eine umfassende Sicherheitsstrategie von entscheidender Bedeutung.<\/p>\n\n\n\n

Die Komplexit\u00e4t von SAP-Anwendungen erschwert jedoch die konsequente Einhaltung bew\u00e4hrter Sicherheitsverfahren. Die schiere Menge der generierten Logs ist zu gro\u00df, um manuell gescannt zu werden. Wir bieten Ihnen daher eine Reihe von automatisierten Scanning- und Threat Detection-L\u00f6sungen an:<\/p>\n\n\n\n