SAP SECURITY

SAP Security Checkup, Audit & Strategie

Im SAP Security Checkup nehmen wir Ihre SAP Systeme genau unter die Lupe und betrachten ganzheitlich die SAP-Installation und -Laufzeitumgebung, die Datenbank, das Betriebssystem und den Solution Manager. Zusätzlich überprüfen wir Ihre kundeneigenen Programme auf Security-relevantes Optimierungspotential. Im Anschluss wird Ihnen transparent dargelegt, wo Handlungsbedarf besteht, welche Lösungsansätze es gibt und mit welchen Aufwänden zu rechnen ist.

Ist Ihre SAP Systemlandschaft so sicher wie sie sein könnte?

  • Ihre SAP gestützten Daten sind Ihr wichtigstes Gut und das Kapital der Firma und ein Diebstahl oder Missbrauch hätte katastrophale Auswirkungen?
  • Ihre Geschäftsprozesse laufen über verschiedene Systeme und Schnittstellen und Sie möchten sicher gehen, dass hier eine sichere Kommunikation stattfindet?
  • Sie möchten Ihre SAP Systemlandschaft gegen Angriffe von Innen und Außen härten?
  • Sie hätten gerne einen Einblick in die Security-relevanten Aktivitäten und Änderungen am System?
  • Ihnen ist es wichtig, zu wissen, mit welchen Mitteln Sie die Schwachstellen in Ihrer SAP Systemlandschaft absichern können?

Ausgangssituation

SAP Systemlandschaften sind komplexe Installationen in den unterschiedlichsten Ausprägungen mit erhöhter Anforderung an die Konfiguration, Parametrisierung und Beachtung von Sicherheits-Aspekten. Falsche oder nicht ausgeführte Konfigurationsschritte führen unweigerlich zu einem Security Problem und im schlimmsten Fall zu Datendiebstahl oder Sabotage der Systeme.

Konzept

Sie beauftragen den Checkup oder Audit plus Strategieworkshop bei uns und wir schicken einen SAP-Berater und/oder Entwickler zu Ihnen (oder auf Wunsch auch Remote), um Ihre Systemlandschaft zu analysieren.

Im Anschluss erhalten sie einen Ergebnisbericht mit empfohlenen bzw. dringend notwendigen Maßnahmen nach dem Ampelprinzip. Die Systemübersicht zeigt auf einen Blick, wo Handlungsbedarf innerhalb der Systemlandschaft besteht. Im Handlungsempfehlungsbericht sind dann im Detail die notwendigen Maßnahmen und die Aufwände aufgeschlüsselt, sodass sie direkt nach Prioritäten planen können.

SAP Security Grundlagen- und Strategie Workshop: Der Optimale Einstieg

  • Schaffung eines gemeinsamen Verständnisses und Klärung von Begrifflichkeiten
  • Definition von Datensicherheit und Datenschutz
  • Was sind unsere Ziele?
  • Netzwerk, Betriebssystem, Datenbank (DDOS, Exploits, SQL Injects, Buffer Overflows)
  • Berechtigungen (Rollen, Profile, usw.)
  • Organisatorisches (Kennwortrichtlinie, Schulung der Mitarbeiter, usw.)
  • Verschlüsselung (SSL Verschlüsselung, SNC Verschlüsselung)
  • Externe Verbindungen (Gateway, WebDispatcher, Cloud Connector, RFC Verbindungen, ICM, usw.)
  • Kernel (Sicherheitslücken ermöglichen das erlangen von höheren Rechten)
  • Solution Manager (Verbindungen nach außen und innen, Agenten auf den Satellitensystemen – wie kann der Solution Manager beim Identifizieren von Sicherheitslücken helfen)
  • SSO (SAPCrypto, SPNego, Tickets, Anbindung an AD, usw.)
  • Z-Programme
  • Besondere Aspekte bei Anbindung von Mobile Apps
  • Anbindung On Premise zur (SAP) Cloud, SAP Cloud Connector oder WebDispatcher?

SAP Checkup: Kernthemen

SAP Lösung

  • Ist Ihre Software auf dem aktuellen Release und Patchlevel Stand? Support Package Stacks erscheinen vierteljährig und sollten aus Stabilitäts- und Sicherheitsgründen regelmäßig und zeitnah eingespielt werden. HR/HCM Systeme müssen immer aktuell sein.
  • Ist der SAP-Kernel aktuell? Ein Austausch ist Pflicht und auch bei älteren Systemen wird nur noch der aktuellste Kernel unterstützt, da dieser maßgeblichen Einfluss auf Security und Performance hat.
  • Gibt es User mit kritischen Berechtigungen oder schwachen Passwörtern?
  • Gibt es eine Kennwortrichtlinie und sind die Passwort-Regeln gemäß Best Practice oder Vorgabe der Wirtschaftsprüfer parametrisiert?
  • Ist die Verschlüsselung in allen relevanten Bereichen (z. B. RFC, SAP GUI, ICM/ICF) aktiv und im Einsatz und werden die aktuellsten Verschlüsselungs-Bibliotheken genutzt, z. B. SAPCryptolib?
  • Ist die abgesicherte Gateway Kommunikation aktiviert und konfiguriert?
  • Sind alle RFC Verbindungen tatsächlich noch in Benutzung und ist ein Zugriff auf Systeme durch hinterlegte Passwörter möglich?
  • Wird SingleSignOn genutzt und ist der Zugriff auf die Benutzerstammdaten (AD, UME) verschlüsselt?
  • Wird das Security-Audit-Log zur Analyse von kritischen Ereignissen im SAP genutzt?

Externe Komponenten

  • Ist der WebDispatcher im Einsatz und sicher konfiguriert (Release, Regeln und Verschlüsselung)?
  • Ist der SAP Cloud Connector im Einsatz (Release und Verschlüsselung)?
  • Ist der SAP Router im Einsatz und sicher konfiguriert (Release, Regeln, Verschlüsselung)?
  • Gibt es ein separates Netweaver Gateway Hub System?
  • Werden weitere Reverse Proxies genutzt (Release und Regeln)?
  • Ist ein Mobile Device Management im Einsatz?
  • Werden SAP Content- und Cache-Server genutzt und findet eine Verschlüsselung der Kommunikation statt?

Datenbank

  • Ist die Datenbank auf dem aktuellen Release- und Patchlevel? Hier sind meist sehr viele Security Fixes enthalten.
  • Es existieren zu jedem Datenbank Release SAP Hinweise mit empfohlenen Datenbank Parametern, die einzustellen sind. Unter anderem sind hier Parameter für die Sicherheit der Datenbank zu setzen
  • Wird eine interne Tabellenverschlüsselung genutzt, um den Zugriff auf sensible Daten auch per SQL Statements, z. B. durch DB-Admins zu verhindern?
  • Gibt es ein Tracking von auffälligen DB-Transaktionen?

Solution Manager

  • Überprüfung von Security Notes für die angeschlossenen Satelliten-Systeme
  • Überprüfung des Early Watch Alerts für die angeschlossenen Satelliten
  • Security Optimization Check für selektierte angeschlossene Systeme
  • Analyse des Solutions Managers selber als größtes Sicherheitsrisikobehaftetes System innerhalb einer SAP-Systemlandschaft, z. B. durch falsch konfigurierte Trusted-RFC Verbindungen mit Passwort Hinterlegung
    oder Benutzer mit weitreichenden Berechtigungen zum Zugriff auf sensible Daten in angeschlossenen Systemen
    Überprüfung auf Patchlevel und ausstehendes Delta-Customizing in der SOLMAN_SETUP

Securityanalyse von Eigenentwicklungen

  • Analyse der Kundenprogramme (Z*/Y*) entweder über Vorgabe des Kunden oder per eigenständiger Selektion über das Custom Code Management des Solution Managers. Hier erarbeiten wir eine Detailanalyse mit Auswertung der Security Risiken. Mittels Code-Inspector werden die Programme gescannt und Security-Issues aufgedeckt bzw. Optimierungspotentiale erarbeitet.

Infrastruktur und Netzwerk

  • Überprüfung der Systemlogs, SAP Anwendungsprotokolle und DB Checks auf Hinweise zu Security-Problemen
  • Optionale tiefgehende Analyse der Infrastruktur (Netzwerk, Hardware) bei stichhaltigen Anhaltspunkten
  • Optional umfängliche Härtung von Systemlandschaften durch den Einsatz von Firewalls, Thread- und Intrusion Detection und Anti-Virus Szenarien

HANA

  • Zusätzliche HANA spezifische Checks, die speziell beim Einsatz der InMemory Plattform zu berücksichtigen sind, u. a. :
  • Encryption Key Management
  • DB Benutzer und Rollen
  • Auditing
  • File-System und Betriebssysteme
  • Netzwerk
  • Datenbank Konfiguration
  • Multi-Tenant Security

Übersicht des Security Audits: Was wird geprüft?

SAP Netweaver ABAP

  • SAP Release und Wartungsende
  • Kernel Release und Wartungsende
  • Übersicht der kritischen Berechtigungen im System sowie Standardbenutzer und Standardkennwörter
  • Review des SAP Berechtigungskonzeptes
  • Prüfung der Kennwortrichtlinie
  • Überprüfung der Systemänderbarkeit
  • Check der Systemparameter inkl. Absicherung Transportwesen
  • Verschlüsselung der externen Kommunikation
  • Externe Schnittstellen und SAP Gateway
  • Konfiguration des ICM (Webserver)
  • Prüfung des Message Server
  • Frontend/Client Komponenten
  • Authentifizierung und Benutzerverwaltung
  • Audit und Logging
  • Request Security
  • Batch Verarbeitung
  • Segregation of Duties und Segregation of Data
  • Virenscan mit SAP VSE
  • Anonymisierung der Systemdaten in nicht produktiven Umgebungen
  • Anbindung an Solution Manager und Monitoring Agenten
  • Identifizierung relevanter Security Notes
  • Unified Connectivity
  • Prüfung der Enterprise Thread Detection bzw. SIEM Lösung
  • Read Access Logging
  • Prüfung der Early Watch Alerts
  • Externe Komponenten (Optional, nicht inkl.)
    • WebDispatcher
    • SAP Cloud Connector
    • SAPRouter
    • Netweaver Gateway Hub System
    • Reverse Proxy
    • Mobile Device Management
    • SAP Content Server
  • Kundenprogramme (Codeanalyse [Optional])

SAP Netweaver JAVA

  • Verschlüsselung aller Zugriffe
  • Überprüfung der Standarduser und Berechtigungen
  • Audit und Systemlogging
  • Share Security

Datenbank

  • Datenbank Release und Wartungsende
  • Sicherheitsrelevante Security Parameter
  • Standardbenutzer und Logins
  • Datenbankabhängige Prüfungen

Betriebssystem

  • Zugriffsschutz
  • Dateisystem Sicherheit
  • Hardening der Remote Dienste
  • Standarduser und Logins
  • Security der Windows Domain
  • Konfiguration der Firewall und der SAP Ports
  • Transport Share Hardening und Konfiguration

SAP Code Analyse

  • In der SAP Code Analyse werden Kundenprogramme und ggf. Drittanbietersoftware auf Schwachstellen geprüft. Es wird sichergestellt, dass die Programme entsprechend der SAP Best Practices erstellt wurden und keine Sicherheitslücken enthalten.
  • Analyse des Codes durch erfahrene Entwickler
  • Prüfung durch das ABAP Test Cockpit
  • Analyse der Programme via Code Inspector
  • Vermeiden von Berechtigungslücken und Code Injections