Audit oder Penetrationstest? So finden Sie Ihre Schwachstellen bevor es weh tut!

SAST BLOG: Audit oder Penetrationstest?Um zu beantworten welcher Security & Compliance Check für Sie der richtige ist, sollten wir zunächst berücksichtigen, dass sich der Begriff „Schwachstellen“ auf ganz unterschiedliche Ebenen Ihrer Systemlandschaft beziehen kann und damit auch auf diverse Angriffspunkte.

Von den systemtechnischen Ebenen (z.B. Betriebssystem- und Netzwerksicherheit), über die zugrundeliegende Datenbank inkl. der aktuellen Parametrisierung Ihrer SAP-Systeme, bis hin zu den betriebs- und applikationsnotwendigen Berechtigungen mit evtl. Funktionstrennungs-Konflikten.

Daher lautet die erste Frage: Wie sicher sind Sie, Ihre Schwachstellen richtig einzuschätzen?

Das Security & Compliance Audit:
Die perfekte Bestandsaufnahme für sichere SAP-Systeme.

Unsere Audits helfen Ihnen, das tatsächliche Gefährdungspotenzial Ihrer SAP-Landschaft zu beurteilen und sich so ein umfassendes Bild über sämtliche Security Level zu verschaffen – von der Infrastruktur, über Ihre SAP-Systemparameter bis hin zur Prüfung Ihrer Berechtigungen. Dabei analysieren wir SoD-Konflikte (Segregation of duties) ebenso wie, ob sich Dritte ohne User-ID an Ihren Systemen anmelden oder niedrig berechtigte User ihre Privilegien erweitern können.

Im Rahmen einer anstehenden Migration auf SAP HANA oder S/4HANA ist ein Audit daher auch die ideale Lösung, um Ihre Systeme bereits im Vorwege abzusichern und alle notwendigen Sicherheitsvorkehrungen vorzunehmen.

Auf Basis der Ergebnisse eines solchen „passiven“ Reviews der zugrundeliegenden SAP-Systeme lassen sich anschließend ganz einfach Maßnahmenkataloge und Handlungsempfehlungen für Sie ableiten, die in konkreten Maßnahmen zur Härtung Ihrer Systeme münden.

Unsere Security & Compliance Audits auf einen Blick:
–  Vollständige Transparenz des tatsächlichen Gefährdungspotenzials Ihrer System

–  Basierend auf den SAP-Security Guidelines, BSI-Empfehlungen und angelehnt an DIN ISO 27001
–  Alle Ebenen Ihrer SAP-Landschaft werden einbezogen inkl. Auswertung Ihrer Berechtigungs-, Notfall-User- und Betriebskonzepte
–  Wiederverwendbare Konzepte für künftige Implementierungen
– 
Systematische Analysen durch den Einsatz unserer zertifizierte GRC-Software „SAST-Suite“
–  Ergebnispräsentation mit Grad der Abweichung Ihrer Systeme vom Soll-Zustand

Unsere Penetrationstests:
Höchster Stresstest für Ihre SAP-Systemlandschaft.

Ob externer Hackerangriff aus dem Internet oder Manipulationen durch interne Mitarbeiter – in unseren Pentests agieren wir aus Sicht der Angreifer z.B. unter Ausnutzung netzwerkseitiger Schwachstellen oder unter Verwendung von Berechtigungslücken und decken so auch die letzten Schwachstellen Ihrer SAP-Systeme auf.

Durch diese „aktiven“ Angriffsszenarien lassen sich wichtige Aussagen über das aktuelle Sicherheitslevel Ihres SAP-Systems treffen. Unsere Vorgehensweise und Ergebnisse münden für Sie dabei ebenfalls in einem Bericht mit konkreten Handlungsempfehlungen zur Abstellung der durch die System-Penetration ermittelten Risiken.

Unsere Penetrationstests auf einen Blick:
–  Vollständige Transparenz über die Empfindlichkeit Ihrer Systeme gegenüber Angriffen
– 
Aufdecken der Schwachstellen in Ihren SAP-Systemen und -Berechtigungen
– 
Durchführung realistischer Angriffsmuster wie durch externe Hacker oder interne Manipulationen (Black- und Whitebox-Tests) und Offenlegung der Zugriffswege
– 
Angriffstest basierend auf den aktuellsten BSI-Empfehlungen und unseren vielfach bewährten Best Practice-Szenarien
– 
Abschlusspräsentation mit Dokumentation unserer Prüfhandlungen, Ergebnissen unserer Angriffssimulationen und individuellen Handlungsempfehlungen für Sie
– 
Follow-up Workshop zur Vorstellung der gefundenen Schwachstellen und Erläuterung der konkreten Risiken für Ihr Unternehmen

Fazit: Security & Compliance Audit vs. Pentest

Im Unterschied zu einem Penetration-Test ist ein Security & Compliance Audit deutlich tiefgehender. Auf Basis unserer passiven Analyse und mit Hilfe der Unterstützung durch die SAST SUITE bietet ein Audit eine merklich breitere Analysebasis.

Steht bei Ihnen dagegen die tatsächliche und auch exemplarisch belegbare Ausnutzung konkreter Sicherheitslücken im Vordergrund – aus Sicht eines potentiellen Angreifers – so bietet ein Penetrationstest für Sie die bessere Grundlage.

Oder wünschen Sie sich zunächst wirklich ausschließlich eine Bestandsaufnahme der absolut schwerwiegendsten Sicherheitslücken für eines Ihrer SAP-Systeme?
Dann empfehle ich Ihnen unseren Security-Quick-Audit. Hierbei prüfen wir die relevanten Sicherheitsebenen eines Ihrer SAP-Systeme und bewerten anschließend die kritischsten Top-10-Findings für Sie. Ideal für Unternehmen, die beginnen, sich mit dem Thema „SAP Security & Compliance“ näher zu beschäftigen und Hilfe bei der Priorisierung der anstehenden Aufgaben benötigen.

Egal ob Sie sich zu den „Einsteigern“ oder „Profis“ zählen, wir helfen Ihnen gerne, den für Sie perfekten Weg zu wirklich sicheren SAP-Systemen zu finden.

SONY DSC
Axel Giese

Head of Security Consulting bei AKQUINET

Natürlich verändern sich Bedrohungsbilder immer wieder und neue, sicherheitsrelevante Faktoren entstehen – mit unserer SAST SUITE oder unseren SAST MANAGED SERVICES bleiben Ihre SAP-Systeme daher auch nach einem Audit oder Pentest rundum bestens geschützt. Sprechen Sie uns an: knowhow@akquinet.de