Audit oder Penetrationstest? So finden Sie Ihre Schwachstellen bevor es weh tut!

SAST BLOG: Audit oder Penetrationstest?Um zu beantworten welcher Security & Compliance Check für Sie der richtige ist, sollten wir zunächst berücksichtigen, dass sich der Begriff „Schwachstellen“ auf ganz unterschiedliche Ebenen Ihrer Systemlandschaft beziehen kann und damit auch auf diverse Angriffspunkte.

Von den systemtechnischen Ebenen (z.B. Betriebssystem- und Netzwerksicherheit), über die zugrundeliegende Datenbank inkl. der aktuellen Parametrisierung Ihrer SAP-Systeme, bis hin zu den betriebs- und applikationsnotwendigen Berechtigungen mit evtl. Funktionstrennungs-Konflikten.

Daher lautet die erste Frage: Wie sicher sind Sie, Ihre Schwachstellen richtig einzuschätzen?

Weiterlesen

WITH HEADER LINE – nicht nur obsolet, sondern auch gefährlich.

SAST BLOG: WITH HEADER LINESchon seit vielen SAP-Versionen ist der Zusatz „WITH HEADER LINE“ eigentlich überflüssig. Denn diese Anweisung deklariert nicht nur interne Tabellen, sondern auch ein weiteres Datenobjekt: die Kopfzeile.

Viele Hinweistexte sensibilisieren daher dafür, dass die Benutzung dieser Anweisung zu verschiedenen inhaltlichen Problemen führt. Unter anderem ist aufgrund der Namensgleichheit nicht direkt ersichtlich, ob man gerade auf einer Tabelle oder einer Kopfzeile arbeitet.

Wovor in den Hinweisen in der Regel jedoch nicht gewarnt wird ist, dass diese Art der Programmierung auch Sicherheitsprobleme für Ihre SAP-Systeme mit sich bringt.

Weiterlesen

Schaffen SAP Security Policies mehr Sicherheit? Meistens nicht…

SAST BLOG: SAP Security PoliciesSicher ist Ihnen bekannt, dass Sie in SAP-Systemen ab dem Release 7.40 Sp8 Security Policies verwenden können, um Ihre Sicherheitsparameter, abweichend von den Systemprofilwerten, benutzerabhängig zu definieren.

Aber wissen Sie auch, dass Sie hierdurch ungewollt sichere Werte, wie Anmeldebeschränkung und Kennwortkomplexität, abschwächen können? Unser Praxis-Tipp zeigt Ihnen, wie Sie das wirkungsvoll verhindern.

Weiterlesen

Sie haben die Wahl: SAP Security and Compliance – make or buy?

SAST Managed SevicesDas Thema IT-Security ist auf Platz 1 der Markttrends*. Doch komplexe IT-Landschaften wirksam abzusichern stellt viele Unternehmen vor nicht unerhebliche Herausforderungen: es fehlt häufig an ausgebildetem IT-Personal und erst recht am notwendigen Security Knowhow.

Im Interview schildert Gunar Funke, Leiter Services SAP-Security bei AKQUINET seine Erfahrungen und stellt Lösungsmöglichkeiten vor.

 

Weiterlesen

Ungeschützte SAP-Schnittstellen sind attraktive Ziele für Angreifer

SAST BLOG: Ungeschützte SAP-SchnittstellenImmer komplexere IT-Umgebungen erschweren die optimale Absicherung Ihrer SAP-Systeme.

Oftmals werden in SAP-Landschaften nicht alle Schnittstellen berücksichtigt und bieten daher ungeschätzt ein attraktives Ziel für Angreifer. Und unsere Erfahrungen aus zahlreichen SAP-Security Audits und Penetrationstests gegen SAP-Systeme zeigen immer wieder, dass in nahezu jedem System ungeschützte SAP-Schnittstellen existieren, die Angreifern dann auch den direkten Zugriff auf einzelne SAP-Systeme ermöglichen können.

So behalten Sie den Überblick:

Weiterlesen