Wie migriert man SAP Custom Code schnell nach S/4HANA?

Expert Talk: S/4HANA (powered by it-onlinemagazin)Laut des kürzlich erschienenen DSAG-Investitionsreports planen in den nächsten Jahren bis zu 80 Prozent der Unternehmen, ihre SAP-Systeme auf S/4HANA umzustellen. Ein sportliches Unterfangen, das ist sicher. Um den internen Aufwand zu minimieren, empfiehlt sich daher, bereits vor der Migration Altlasten loszuwerden, die beispielsweise in Form von ABAP-Eigenentwicklungen daherkommen.

Weiterlesen

Schritt für Schritt: So sichern und härten Sie Ihr SAP Gateway

SAST Interface Management (SAST SUITE)Das Gateway ist als zentrale Kommunikationskomponente eines SAP-Systems ein attraktives Ziel für Hackerangriffe – und somit besonders schützenswert. Ist das Gateway nicht ausreichend gesichert, hat ein Angreifer leichtes Spiel. Jedoch werden System-Schnittstellen bei der Absicherung von IT-Systemen oftmals nicht berücksichtigt. Im Fall einer Cyberattacke ermöglicht man den Angreifern so den direkten Zugriff auf die sensiblen SAP-Systeme.

Weiterlesen

SAP Security 2018: Zwischen Plattformsicherheit, Berechtigungsmanagement und S/4 HANA-Migration

SAST_HANA_S4HFür ein Fazit zur SAP-Sicherheit im Jahre 2018 ist es sicherlich noch zu früh. Andererseits ist der Herbst auch immer die Saison für Veranstaltungen, wie den DSAG Jahreskongress in Leipzig. Eben auf solchen Konferenzen und Messen lässt sich sehr genau abschätzen, welche Themen die SAP-Kunden beschäftigen. Insofern kann durchaus schon jetzt ein Gradmesser erstellt werden, welche Security-Themen im SAP-Umfeld wichtig sind. Weiterlesen

Hängen Sie an Ihren ABAP-Sicherheitslücken oder können die weg?

SAST Code Security AdvisorQuasi jedes Unternehmen individualisiert seine SAP-Systeme mit Eigenentwicklungen und schafft damit nicht selten versehentlich auch enorme Sicherheitslücken. Insbesondere vergessenes Coding, obsolet geworden durch Weiterentwicklungen der SAP oder nach nur kurzzeitigem Bedarf nicht gelöscht, liefert zusätzliche Angriffsflächen.

Analysen von AKQUINET zeigen, dass bis zu 90 % des ABAP-Codes nicht mehr genutzt werden. Denn diese wurden oft nur für einmalige Situationen geschrieben, seit dem nie angepasst und bieten so perfekte Hintertüren für Hacker oder Manipulationen.

Weiterlesen

Code Injection durch logische Datenbanken

SAST Code Security AdvisorLogische Datenbanken haben sich einmal großer Beliebtheit erfreut. Schließlich konnte man relativ leicht eine komplexe Selektion darstellen und musste dafür nicht aufwendige Reports schreiben. Auch die Art der dynamischen Selektion war bei Anwendern beliebt, sodass Entwickler immer wieder darauf zurückgriffen. Mit der Version 7.50 erklärte die SAP logische Datenbanken nun für obsolet – mit der Folge, dass keine neuen logischen Datenbanken mehr angelegt werden sollen, aber die alten wie gehabt weiterfunktionieren. Das zieht aber auch ein Sicherheitsproblem nach sich, welches alle Reporte betreffen kann.

Weiterlesen

Audit oder Penetrationstest? So finden Sie Ihre Schwachstellen bevor es weh tut!

SAST BLOG: Audit oder Penetrationstest?Um zu beantworten welcher Security & Compliance Check für Sie der richtige ist, sollten wir zunächst berücksichtigen, dass sich der Begriff „Schwachstellen“ auf ganz unterschiedliche Ebenen Ihrer Systemlandschaft beziehen kann und damit auch auf diverse Angriffspunkte.

Von den systemtechnischen Ebenen (z.B. Betriebssystem- und Netzwerksicherheit), über die zugrundeliegende Datenbank inkl. der aktuellen Parametrisierung Ihrer SAP-Systeme, bis hin zu den betriebs- und applikationsnotwendigen Berechtigungen mit evtl. Funktionstrennungs-Konflikten.

Daher lautet die erste Frage: Wie sicher sind Sie, Ihre Schwachstellen richtig einzuschätzen?

Weiterlesen

WITH HEADER LINE – nicht nur obsolet, sondern auch gefährlich.

SAST BLOG: WITH HEADER LINESchon seit vielen SAP-Versionen ist der Zusatz „WITH HEADER LINE“ eigentlich überflüssig. Denn diese Anweisung deklariert nicht nur interne Tabellen, sondern auch ein weiteres Datenobjekt: die Kopfzeile.

Viele Hinweistexte sensibilisieren daher dafür, dass die Benutzung dieser Anweisung zu verschiedenen inhaltlichen Problemen führt. Unter anderem ist aufgrund der Namensgleichheit nicht direkt ersichtlich, ob man gerade auf einer Tabelle oder einer Kopfzeile arbeitet.

Wovor in den Hinweisen in der Regel jedoch nicht gewarnt wird ist, dass diese Art der Programmierung auch Sicherheitsprobleme für Ihre SAP-Systeme mit sich bringt.

Weiterlesen