SAP-Systeme unter Kontrolle: weniger Aufwand, 
mehr Sicherheit 
Softwaregestützte Validierung und automatisierte Optimieru...
Virtual Forge: Wer wir sind
Üb er Virtual Forge Experten für SAP Sicherheit und Qualität 
5 2001 Gegründet als Beratungshaus 2007 Strategische Ausrich...
Products for SAP Security, Compliance and Quality. Worldwide.
SAP als Angriffsziel
SAP als Angriffsziel? Mehr als 248,500 Unternehmen nutzen SAP SAP Kunden … … befördern Menschen > 1.1 Millionen Passagiere...
Direct UIs 
External Systems 
SAP ABAP™ System 
SAP als Angriffsziel 1997 – die guten alten Zeiten 
9
SAP als Angriffsziel 2002 – mehr Komplexität 
10 
Direct UIs 
External Systems 
Indirect UIs 
SAP ABAP™ System
SAP als Angriffsziel 2007 – und mehr … 
11 
Direct UIs 
Indirect UIs 
External Systems 
SAP ABAP™ System
SAP als Angriffsziel Seit 2011 – und mehr … 
12 
Indirect UIs 
External Systems 
Direct UIs 
SAP ABAP™ System
Fakten und Zahlen
14 
*Online Systeme inklusiv SAP Systeme 
Grafik: Thünemann/Schinzel 
Fakten und Zahlen 
Auswertung Internet Zensus 
Mein ...
Manche Dienste sind per Default aktiv* 
15 
Zahlen und Fakten 
Hacker‘s best friend: Suchmaschinen SAP Systeme sind oft üb...
Zu wenig, zu langsam! 
Hackers kennen die 
gepatchen Sicherheits- lücken 
16 
Zahlen und Fakten 
SAP verbessert die Sicher...
CodeProfiler ABAPTM-Qualitäts-Benchmark 
17 
Durchschnittliche Anzahl von Findings pro Scan 
Total Findings Critical Findi...
Top 5: Sicherheitslücken und Hintertüren 
Die häufigsten Arten von Sicherheit / Compliance-Themen in eigenen Programmen. 
...
Top 5: Performance Killer 
Top 5 häufigsten Arten von Performance-Problemen in kundeneigenen Programmen. 
Type of vulnerab...
Top 10: kritische Konfigurationsfehler 
Auswahl typischer Probleme 
Category 
Selected results of critical findings 
Stand...
21 
Fakten und Zahlen 
Fazit Sicherheitsprobleme gibt es faktisch schon immer, allerdings waren die SAP Systeme früher stä...
Live Hacking 
https://www.youtube.com/channel/UCxr8P5rNL32IQVnUYrdkZhQ
Lösungswege für SAP Sicherheit & Qualität
Cyber-Angriffe, Spionage, Systemausfälle: Unternehmensrisiken durch kundenspezifische Anpassungen. 
Risiken bei SAP-Sicher...
Wir reduzieren Unternehmensrisiken und schützen Ihre gesamte SAP-Landschaft. 
Lösungen für SAP-Sicherheit, -Compliance und...
Validierung und Optimierung der Systemsicherheit
SYSTEMPROFILER 
Mehrere hundert Seiten Sicherheitsrichtlinien – geprüft in wenigen Minuten 
Zentrale Konfiguration und Ü...
Unsere Erfahrung zeigt: 
Custom configuration 
SystemProfiler erkennt und korrigiert Fehler in SAP- Systemkonfigurationen ...
Sicherheits- und Compliance-Risiken: signifikant reduziert Schutz vor Cyber-Angriffen, Spionage und Systemausfällen Abdeck...
SystemProfiler in a nut shell. 
Konsistente Validierung 
Vollständige Transparenz 
Volle Skalierbarkeit 
Effektive Einspar...
Zusätzliche Plattformunterstützung: Prüfungen für SAP NetWeaver JAVA SAP Zertifizierung Prüfung von betriebssystemspezifis...
Der 3-Phasen-Prozess 
Unsere Lösungsansatz folgt einem einfachen Prinzip: Assess – Safeguard – Optimize. 
Assess: Wir eval...
Wir verbessern Schritt für Schritt den Zustand Ihres gesamten SAP-Systems. 
Der Engagement-Prozess 
Schritt 
Zeit 
Was wir...
Wir gewährleisten höchste Sicherheits-, Compliance- und Qualitätsstandards für SAP-Systeme führender Unternehmen. 
Erfolgs...
Auf Basis umfangreicher Erfahrungen bieten wir hocheffiziente, automatisierte Produkte nach unabhängigem Standard. 
Expert...
Ein lohnendes Investment
SAP Konfigurationssicherheit und - qualität Positiver Effekt bezüglich Korrekturkosten 
41 
Sicherheit und Qualität der Sy...
SAP Sicherheit und Qualität 
Positiver Effekt bezüglich Korrekturkosten 
42 
Fehler 
Zeit 
Start der ‚Stay clean‘ Initiati...
ROI Beispiel: SystemProfiler Aufwand für 10 Systeme 
43 Manueller Aufwand für Prüfung auf Sicherheit und Qualität: 246 Man...
Haben Sie Fragen oder Anmerkungen? Danke für Ihre Aufmerksamkeit 
44 
Dr. Markus Schumacher 
markus.schumacher@virtualforg...
Kostenfreies Webinar: SAP-Systeme unter Kontrolle: weniger Aufwand, mehr Sicherheit
Kostenfreies Webinar: SAP-Systeme unter Kontrolle: weniger Aufwand, mehr Sicherheit
Nächste SlideShare
Wird geladen in …5
×

Kostenfreies Webinar: SAP-Systeme unter Kontrolle: weniger Aufwand, mehr Sicherheit

469 Aufrufe

Veröffentlicht am

Jede Installation von SAP zieht eine Konfiguration nach sich, bei der über 3000 Parameter zu berücksichtigen sind. Diese müssen im laufenden Betrieb immer wieder nachgehalten werden, was einen hohen Pflegeaufwand nach sich zieht und aus diesem Grund oft vernachlässigt wird. Hierdurch entstehen gefährliche Sicherheitslücken und Performanceprobleme, die es Angreifern ermöglichen, vollen Zugriff auf Ihre Geschäftsdaten zu erhalten.

Im Webinar unseres Partners, der Virtual Forge GmbH, erfahren Sie, wie Ihnen der „SystemProfiler“ hilft, mehrere hundert Seiten DSAG-Sicherheitsrichtlinien in nur wenigen Minuten automatisiert zu prüfen und wie Sie Ihre Systemlandschaften zentral konfigurieren können.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
469
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
11
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Kostenfreies Webinar: SAP-Systeme unter Kontrolle: weniger Aufwand, mehr Sicherheit

  1. 1. SAP-Systeme unter Kontrolle: weniger Aufwand, mehr Sicherheit Softwaregestützte Validierung und automatisierte Optimierung der Sicherheit sind unabdingbar! Dr. Markus Schumacher & Patrick Boch © 2014, Virtual Forge GmbH. Alle Rechte vorbehalten.
  2. 2. Virtual Forge: Wer wir sind
  3. 3. Üb er Virtual Forge Experten für SAP Sicherheit und Qualität 5 2001 Gegründet als Beratungshaus 2007 Strategische Ausrichtung als Produktanbieter 2008 Release des Produkts “CodeProfiler” 2013 Release des Produkts “SystemProfiler” Patentierte Daten- und Kontrollflussanalyse für ABAP™ Gartner Aufnahme in “Magic Quadrant for Application Security Testing”, 2013 Virtual Forge als “Leading Vendor for ABAP™ Security“ “Cool Vendor in the SAP Ecosytem”, 2011
  4. 4. Products for SAP Security, Compliance and Quality. Worldwide.
  5. 5. SAP als Angriffsziel
  6. 6. SAP als Angriffsziel? Mehr als 248,500 Unternehmen nutzen SAP SAP Kunden … … befördern Menschen > 1.1 Millionen Passagiere pro Tag … stellen Konsumgüter her > 65% aller Fernsehgeräte … sorgen für unsere Mobilität > 77,000 Autos pro Tag … unterhalten uns > 52% aller Filme … und 72% der weltweiten Bierproduktion hängt von SAP ab
  7. 7. Direct UIs External Systems SAP ABAP™ System SAP als Angriffsziel 1997 – die guten alten Zeiten 9
  8. 8. SAP als Angriffsziel 2002 – mehr Komplexität 10 Direct UIs External Systems Indirect UIs SAP ABAP™ System
  9. 9. SAP als Angriffsziel 2007 – und mehr … 11 Direct UIs Indirect UIs External Systems SAP ABAP™ System
  10. 10. SAP als Angriffsziel Seit 2011 – und mehr … 12 Indirect UIs External Systems Direct UIs SAP ABAP™ System
  11. 11. Fakten und Zahlen
  12. 12. 14 *Online Systeme inklusiv SAP Systeme Grafik: Thünemann/Schinzel Fakten und Zahlen Auswertung Internet Zensus Mein SAP-System ist sicher! Sicher?
  13. 13. Manche Dienste sind per Default aktiv* 15 Zahlen und Fakten Hacker‘s best friend: Suchmaschinen SAP Systeme sind oft über das Internet erreichbar Dienste können missbräuchlich genutzt werden Unberechtigter Zugang möglich Zitate aus den offiziellen SAP Security Guides
  14. 14. Zu wenig, zu langsam! Hackers kennen die gepatchen Sicherheits- lücken 16 Zahlen und Fakten SAP verbessert die Sicherheit kontinuierlich Sicherheitslücken im Standard werden korrigiert SAP Security Patch Day Schnelle Umsetzung der Patches ist sehr wichtig!
  15. 15. CodeProfiler ABAPTM-Qualitäts-Benchmark 17 Durchschnittliche Anzahl von Findings pro Scan Total Findings Critical Findings 50 % Wahrscheinlichkeit einer kritischen ABAP Command Injection 100 % Wahrscheinlichkeit fehlender und falscher Berechtigungsprüfungen 88 % Wahrscheinlichkeit eines kritischen Directory Traversals Anonymisierte Analyse von 171 Kundensystemen / Ø 2,20 Mio. Lines of Code pro Scan (Stand: Mai 2014) Gesamtmenge der gescannten Kundeneigenen Programmzeilen 377 Mio. ~ 1 kritische Sicherheitslücke pro 1.000 Zeilen ABAP™-Code Security 5.924 1970 Compliance 1.669 309 Performance 16.457 2687 Maintainability 14.632 1409 Robustness 15.423 5272 DLP 8 3
  16. 16. Top 5: Sicherheitslücken und Hintertüren Die häufigsten Arten von Sicherheit / Compliance-Themen in eigenen Programmen. Type of vulnerability Wahrscheinlichkeit * Vorkommen ** Authorization Flaw 100 % 1,097 Directory Traversal 89 % 313 Direct Database Modification 83 % 39 Cross-Client Access 80 % 117 Open SQL Injection 67 % 16 * Die Wahrscheinlichkeit gibt an, wie häufig mindestens ein Fehler dieser Art in einem System gefunden wird. ** Vorkommen spiegeln die absolute Zahl der kritischen Fehler pro System im Durchschnitt wieder.
  17. 17. Top 5: Performance Killer Top 5 häufigsten Arten von Performance-Problemen in kundeneigenen Programmen. Type of vulnerability Effect Probability * Occurrences ** Inefficient memory operation AS 100 % 2,110 Nested loop AS 99 % 542 Inefficient usage of DB Index DB 98 % 1,695 WAIT command (5+ seconds) AS 90 % 47 DB Buffer bypass DB 80 % 1,483 * Effekt zeigt, welche Systeme am stärksten betroffen sind: Application Server (AS) oder Datenbank (DB). ** Die Wahrscheinlichkeit gibt an, wie häufig mindestens ein Fehler dieser Art in einem System gefunden wird. *** Vorkommen spiegeln die absolute Zahl der kritischer Fehler pro System im Durchschnitt wieder.
  18. 18. Top 10: kritische Konfigurationsfehler Auswahl typischer Probleme Category Selected results of critical findings Standard Users SAP Standard Users with Trivial Passwords Deactivation of the automic login user SAP* Existence, Lock and authorizations of the SAP* standard user User Management Number of records in user tables with password hash values in field BCODE Password Policy Maximum period for which an initial password remains valid if it is not used Authorizations *Several Violations, as some Users have SAP_ALL* Communications Security RFC access control - reginfo & secinfo Active critical ICF services Web AS Security Send login ticket only via HTTPS Business Continuity Check on fully qualified RFC connections
  19. 19. 21 Fakten und Zahlen Fazit Sicherheitsprobleme gibt es faktisch schon immer, allerdings waren die SAP Systeme früher stärker abgeschottet Heute werden immer mehr SAP Systeme vernetzt und via Cloud, Webservice, Mobile, etc. extern verfügbar gemacht SAP Know-How von (Wirtschafts-)Spionen und Hackern wächst kontinuierlich Die Komplexität nimmt ständig zu … und damit die Anforderungen an Sicherheit und Qualität
  20. 20. Live Hacking https://www.youtube.com/channel/UCxr8P5rNL32IQVnUYrdkZhQ
  21. 21. Lösungswege für SAP Sicherheit & Qualität
  22. 22. Cyber-Angriffe, Spionage, Systemausfälle: Unternehmensrisiken durch kundenspezifische Anpassungen. Risiken bei SAP-Sicherheit, -Compliance und -Qualität SAP-Anwendungen •Autorisierung •Transport Management •Patches •Business Continuity •Anwendungs- Performance SAP-Konfiguration •Autorisierung •SAP Operating & Database System •Web-Sicherheit •Kommunikations- Kanäle •Logging / Forensik SAP-Coding •Bewertung •Entwicklung •Architektur •Code-Qualität •Tests •Anwendung … kann zu Unternehmensrisiken führen: Cyber-Angriffe ⌀ 7,2 Mio. USD Kosten pro Fall Spionage 5% Umsatzverlust p.a. pro typisches Unternehmen Systemausfälle ⌀ 14 Std. p.a. pro Fall und Unternehmen Quelle: Cost of Cyber Crime Study (Poneomon Institute, 2013), Global Fraud Study (ACFE, 2014), The Avoidable Cost of Downtime (CA Technologies, 2010) Jede individuelle Anpassung … Veränderung der Konfiguration Custom Coding Erweiterte Funktion des SAP-Standards
  23. 23. Wir reduzieren Unternehmensrisiken und schützen Ihre gesamte SAP-Landschaft. Lösungen für SAP-Sicherheit, -Compliance und -Qualität Individuelle Systemeinstellung •Veränderung der Konfiguration Custom Coding •Anpassung oder Erweiterung des SAP-Systems … führt zu: Sicherheit vor unerlaubtem Zugang und anderen Störungen Anpassung an Compliance und weitere Anforderungen Performance Boost für Ihr gesamtes SAP-System Weniger Probleme, weniger Kosten! Fehler finden und korrigieren … Virtual Forge SAP-Audit per Mausklick Automatische Minimierung von Unternehmensrisiken
  24. 24. Validierung und Optimierung der Systemsicherheit
  25. 25. SYSTEMPROFILER Mehrere hundert Seiten Sicherheitsrichtlinien – geprüft in wenigen Minuten Zentrale Konfiguration und Überwachung komplexer Landschaften Prüfbericht jederzeit – auf Knopfdruck Wir decken die SAP-Risikofelder Sicherheit, Compliance und Qualität vollständig ab.
  26. 26. Unsere Erfahrung zeigt: Custom configuration SystemProfiler erkennt und korrigiert Fehler in SAP- Systemkonfigurationen und vermeidet eine Wiederholung 95% der SAP-Systeme sind anfällig für Angriffe und die Anzahl der mit dem Internet verbunden SAP- Systeme nimmt zu. Das bedeutet für Sie: Ein Angreifer kann vollen Zugriff auf alle Geschäftsdaten erhalten, wenn nur eine dieser Schwachstellen enthalten ist. Das bedeutet für Sie: Manuelle Konfiguration führt zu hohen Betriebskosten. Wenn nur eine wichtige Einstellung übersehen wird, führt dies zu schweren Sicherheits- oder Qualitätsproblemen. Mit dynamischen Systemen mitzuhalten ist umständlich und die Konfiguration eine ständige Herausforderung
  27. 27. Sicherheits- und Compliance-Risiken: signifikant reduziert Schutz vor Cyber-Angriffen, Spionage und Systemausfällen Abdeckung vieler Sicherheitsstandards und -richtlinien Minimaler Aufwand: bis zu 90 % Aufwandseinsparungen Reduziert operativen Aufwand durch zentralisierte Architektur Kontinuierliche Überwachung der gesamten Systemlandschaft Umfassendes Reporting für vollständige Transparenz gegenüber Management, Revision und Wirtschaftsprüfern Reduzierte Komplexität: einfach gesamte SAP-Systemlandschaften verwalten Flexible Konfigurationsrichtlinien Voll skalierbar, auch für große Systemlandschaften Proaktiver Ansatz und automatisierte Korrekturen Außergewöhnlich hoher Performancegewinn gegenüber Standard-Tools Umfassender Schutz: vollständig gesicherte Systemkonfigurationen Integriertes Fachwissen gewährleistet umfassende Abdeckung aller sicherheitsrelevanten Einstellungen Über 250 vordefinierte und –konfigurierte Prüfungen Das bedeutet für Sie ...
  28. 28. SystemProfiler in a nut shell. Konsistente Validierung Vollständige Transparenz Volle Skalierbarkeit Effektive Einsparungen Umfassende Prüfungsinhalte werden mitgeliefert, basierend auf etablierten Standards, anpassbare und erweiterbare Zentrale Architektur, kontinuierliche Validierung und umfassende Berichterstattung Flexible Definition von Konfigurationsrichtlinien für die gesamte Systemlandschaft Proaktiver Ansatz inklusive wirksamer, automatischer Korrekturen
  29. 29. Zusätzliche Plattformunterstützung: Prüfungen für SAP NetWeaver JAVA SAP Zertifizierung Prüfung von betriebssystemspezifischen Einstellungen Neue Testfälle: insgesamt über 250 Prüfungen für SAP Sicherheit und Qualität Verbesserte Performance: extreme Geschwindigkeitssteigerung besonders bei großen Systemlandschaften Erweiterter Finding Manager mit vielen zusätzlichen Funktionalitäten Verbesserte Verwaltung von Richtlinien sowie von Positiv- und Negativlisten Erweiterung des Frameworks für zusätzliche Szenarien SystemProfiler: neu in Version 2.0
  30. 30. Der 3-Phasen-Prozess Unsere Lösungsansatz folgt einem einfachen Prinzip: Assess – Safeguard – Optimize. Assess: Wir evaluieren den Status Ihres Systems mittels einer initialen Risikobewertung. Safeguard: Wir schützen SAP-Landschaften durch Risikoidentifikation, automatische Korrektur und Implementierung von präventiven Maßnahmen. Optimize: Wir räumen SAP-Landschaften auf und befreien sie von schädlichen Altlasten. Security, Compliance & Quality 1. Assess 2. Safeguard 3. Optimize
  31. 31. Wir verbessern Schritt für Schritt den Zustand Ihres gesamten SAP-Systems. Der Engagement-Prozess Schritt Zeit Was wir für Sie tun Was Sie davon haben 1 Risiko- bewertung 1. Tag •Scan des Custom Coding und der Konfigurationseinstellungen eines SAP-Systems •Identifikation und Priorisierung von Risiken Volle Transparenz: •Management Summary mit ausgewählten Findings •Wissen, was zu tun ist 2 Launch- Projekt Productive Pilot (3 Monate) •Identifizierung aller Fehler und automatische Korrektur zweier Fehlertypen als Konzeptbeweis •Manuelle Korrektur der 5 Hauptrisiken (Time & Material) •Unbegrenzte Nutzung der Software für Projektdauer •Roll-Out-Konzept für mehrere SAP-Systeme Scoping zur Durchführung: •Verständnis der Auswirkungen •Roadmap für den Roll-Out •Bewertungsmetriken für ROI/TCO-Kalkulation •Optimiertes SAP-System 3a Inhouse- Operation Fortlaufend •Erweiterung zu einer Lizenzvereinbarung •Roll-Out für weitere SAP-Systeme Durchführung: •Proaktive Sicherheit & Qualität •Sicheres Coding und sichere Systeme •Geschulte Mitarbeiter 3b Managed Operation Fortlaufend •Erweiterung zu einer Managed-Service-Vereinbarung •Roll-Out für weitere SAP-Systeme
  32. 32. Wir gewährleisten höchste Sicherheits-, Compliance- und Qualitätsstandards für SAP-Systeme führender Unternehmen. Erfolgsgeschichten [ „CodeProfiler lässt sich einfach in alle Entwicklungsprozesse integrieren (...) und minimiert das Risiko für schadhaften Code. Seit wir das Tool einsetzen, sind die Entwickler achtsamer geworden und liefern bessere Qualität.“ ] Stephan Sachs, Manager Applikationssicherheit, Linde [ „Eine Kernanforderung des Projekts war es, jede Woche mehrere Milliarden Zeilen Code zu scannen (...) Gemeinsam mit Virtual Forge ist CIT CA damit in diesem Segment eine wirklich einzigartige Lösung gelungen.“ ] Michael Brauer, Leiter Corporate Automation, Corporate IT, Siemens [ „Durch den Einsatz des Virtual Forge CodeProfiler und die enge Zusammenarbeit mit Virtual Forge konnten wir die Sicherheit im Unternehmen verbessern und gleichzeitig die Qualität unserer Anwendungen steigern.” ] Ralph Salomon, Vice President IT Security & Risk Office, SAP
  33. 33. Auf Basis umfangreicher Erfahrungen bieten wir hocheffiziente, automatisierte Produkte nach unabhängigem Standard. Expertise & Erfahrung •Wir sind die Experten im Bereich SAP-Sicherheit •Track Record seit 2006: >170 Kunden, >1.400 Kundenprojekte, >2.000 Produktinstallationen •50% Mitarbeiter im Bereich Research & Development Effizienz •2011 erhielten wir von Gartner die Auszeichnung „Cool Vendor in the SAP ecosystem“ •2014 wurden wir erneut in den Gartner Magic Quadrant for Application Security Testing (AST) berufen Effektivität •Hochautomatisierte Lösungen per Mausklick zur Risikoidentifizierung und Fehlerkorrektur •Aufwandsreduktion für Risikoidentifizierung um bis zu 95%, für Fehlerkorrektur um bis zu 70% (im Vergleich zu manueller Prüfung) Unabhängigkeit •Aktives Mitglied der DSAG and ASUG Chapters und unterstützend bei der Erstellung von Best- Practice-Dokumentationen •Kooperation mit SAP- Kunden und Auditoren weltweit zur Etablierung eines Ecosystems und unabhängigen SAP- Standards
  34. 34. Ein lohnendes Investment
  35. 35. SAP Konfigurationssicherheit und - qualität Positiver Effekt bezüglich Korrekturkosten 41 Sicherheit und Qualität der Systemkonfiguration Zeit Wenige, isolierte Systeme Komplexe Systemlandschaft, externe Anwendungen Configuration Drift
  36. 36. SAP Sicherheit und Qualität Positiver Effekt bezüglich Korrekturkosten 42 Fehler Zeit Start der ‚Stay clean‘ Initiative ‚Clean-up’ Phase Start der Anpassungen Start der ‚Get clean‘ Initiative ‚Get clean‘ Phase
  37. 37. ROI Beispiel: SystemProfiler Aufwand für 10 Systeme 43 Manueller Aufwand für Prüfung auf Sicherheit und Qualität: 246 Manntage für die Korrektur gefundener Schwachstellen: 26 Manntage Gesamtkosten: 136.000 € Aufwand mit SystemProfiler für Prüfung auf Sicherheit und Qualität: 7 Manntage für die Korrektur gefundener Schwachstellen: 4 Manntage Ersparnis, inkl. Lizenz: >60%
  38. 38. Haben Sie Fragen oder Anmerkungen? Danke für Ihre Aufmerksamkeit 44 Dr. Markus Schumacher markus.schumacher@virtualforge.com Blog Whitepapers Twitter

×