SAP Security 2018: Zwischen Plattformsicherheit, Berechtigungsmanagement und S/4 HANA-Migration

SAST_HANA_S4HFür ein Fazit zur SAP-Sicherheit im Jahre 2018 ist es sicherlich noch zu früh. Andererseits ist der Herbst auch immer die Saison für Veranstaltungen, wie den DSAG Jahreskongress in Leipzig. Eben auf solchen Konferenzen und Messen lässt sich sehr genau abschätzen, welche Themen die SAP-Kunden beschäftigen. Insofern kann durchaus schon jetzt ein Gradmesser erstellt werden, welche Security-Themen im SAP-Umfeld wichtig sind. Weiterlesen

Hängen Sie an Ihren ABAP-Sicherheitslücken oder können die weg?

SAST Code Security AdvisorQuasi jedes Unternehmen individualisiert seine SAP-Systeme mit Eigenentwicklungen und schafft damit nicht selten versehentlich auch enorme Sicherheitslücken. Insbesondere vergessenes Coding, obsolet geworden durch Weiterentwicklungen der SAP oder nach nur kurzzeitigem Bedarf nicht gelöscht, liefert zusätzliche Angriffsflächen.

Analysen von AKQUINET zeigen, dass bis zu 90 % des ABAP-Codes nicht mehr genutzt werden. Denn diese wurden oft nur für einmalige Situationen geschrieben, seit dem nie angepasst und bieten so perfekte Hintertüren für Hacker oder Manipulationen.

Weiterlesen

Code Injection durch logische Datenbanken

SAST Code Security AdvisorLogische Datenbanken haben sich einmal großer Beliebtheit erfreut. Schließlich konnte man relativ leicht eine komplexe Selektion darstellen und musste dafür nicht aufwendige Reports schreiben. Auch die Art der dynamischen Selektion war bei Anwendern beliebt, sodass Entwickler immer wieder darauf zurückgriffen. Mit der Version 7.50 erklärte die SAP logische Datenbanken nun für obsolet – mit der Folge, dass keine neuen logischen Datenbanken mehr angelegt werden sollen, aber die alten wie gehabt weiterfunktionieren. Das zieht aber auch ein Sicherheitsproblem nach sich, welches alle Reporte betreffen kann.

Weiterlesen

Audit oder Penetrationstest? So finden Sie Ihre Schwachstellen bevor es weh tut!

SAST BLOG: Audit oder Penetrationstest?Um zu beantworten welcher Security & Compliance Check für Sie der richtige ist, sollten wir zunächst berücksichtigen, dass sich der Begriff „Schwachstellen“ auf ganz unterschiedliche Ebenen Ihrer Systemlandschaft beziehen kann und damit auch auf diverse Angriffspunkte.

Von den systemtechnischen Ebenen (z.B. Betriebssystem- und Netzwerksicherheit), über die zugrundeliegende Datenbank inkl. der aktuellen Parametrisierung Ihrer SAP-Systeme, bis hin zu den betriebs- und applikationsnotwendigen Berechtigungen mit evtl. Funktionstrennungs-Konflikten.

Daher lautet die erste Frage: Wie sicher sind Sie, Ihre Schwachstellen richtig einzuschätzen?

Weiterlesen

WITH HEADER LINE – nicht nur obsolet, sondern auch gefährlich.

SAST BLOG: WITH HEADER LINESchon seit vielen SAP-Versionen ist der Zusatz „WITH HEADER LINE“ eigentlich überflüssig. Denn diese Anweisung deklariert nicht nur interne Tabellen, sondern auch ein weiteres Datenobjekt: die Kopfzeile.

Viele Hinweistexte sensibilisieren daher dafür, dass die Benutzung dieser Anweisung zu verschiedenen inhaltlichen Problemen führt. Unter anderem ist aufgrund der Namensgleichheit nicht direkt ersichtlich, ob man gerade auf einer Tabelle oder einer Kopfzeile arbeitet.

Wovor in den Hinweisen in der Regel jedoch nicht gewarnt wird ist, dass diese Art der Programmierung auch Sicherheitsprobleme für Ihre SAP-Systeme mit sich bringt.

Weiterlesen

Schaffen SAP Security Policies mehr Sicherheit? Meistens nicht…

SAST BLOG: SAP Security PoliciesSicher ist Ihnen bekannt, dass Sie in SAP-Systemen ab dem Release 7.40 Sp8 Security Policies verwenden können, um Ihre Sicherheitsparameter, abweichend von den Systemprofilwerten, benutzerabhängig zu definieren.

Aber wissen Sie auch, dass Sie hierdurch ungewollt sichere Werte, wie Anmeldebeschränkung und Kennwortkomplexität, abschwächen können? Unser Praxis-Tipp zeigt Ihnen, wie Sie das wirkungsvoll verhindern.

Weiterlesen