Prof. Dr. Sachar Paulus! 
Ungebetene Gäste: Warum lieben Hacker aus 
aller Welt unsere SAP Landschaften?!
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Zum Referenten! 
! Professor für IT-Si...
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Agenda! 
! Compliance-Anforderungen an...
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Compliance-Anforderungen an SAP! 
! Qu...
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Hacker und SAP-Systeme! 
! Wie Hacker ...
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
SAP und die Cloud! 
! SAP in der Cloud...
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Der Software-Lifecycle! 
! Wo wird an ...
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Gründe! 
! Fakt: SAP Sicherheit ist im...
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Empfehlungen Top-Down! 
! Verantwortli...
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Organisatorische Empfehlungen! 
! Zusa...
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Spezifische Empfehlungen! 
! Berechtig...
Nächste SlideShare
Wird geladen in …5
×

Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?

862 Aufrufe

Veröffentlicht am

Prof. Dr. Sachar Paulus von der Hochschule Mannheim über Sicherheitsanforderungen an SAP Systeme und die Herausforderungen beim Schutz kritischer SAP-Infrastrukturen.

Empfehlungen für die Entwicklungen einer optimalen Sicherheitsstrategie im SAP-Umfeld.

Vortrag vom Virtual Forge Infotag Stuttgart im September 2014.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
862
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
6
Aktionen
Geteilt
0
Downloads
7
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?

  1. 1. Prof. Dr. Sachar Paulus! Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?!
  2. 2. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Zum Referenten! ! Professor für IT-Sicherheit an der Hochschule Mannheim! ! Davor Studiendekan Masterstudiengang „Security Management“ an der FH Brandenburg …! ! … und Forschungsprofessor durch EU-FP7-Projekt „OPTET“: nachweisbar, vertrauenswürdige Internet-Dienste! ! Freiberuflicher Berater! ! SAP-Security, sichere Software-Entwicklung, Informationssicherheits-Management- Systeme! ! Erfahrungen! ! 8 Jahre bei SAP (Director Product Management Security, Chief Security Officer)! ! Davor 4 Jahre im Mittelstand als Berater und Projektmanager!
  3. 3. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Agenda! ! Compliance-Anforderungen an SAP! ! Hacker und SAP-Systeme! ! SAP und die Cloud! ! Der Software-Lifecycle! ! Mögliche Gründe! ! Empfehlungen!
  4. 4. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Compliance-Anforderungen an SAP! ! Quellen: ! ! MA Risk, GoBS, IDW PS 330, KonTraG, …! ! Sarbanes-Oxley, FDA CFR, PCI DSS, …! ! Inhalte:! ! Kritische Berechtigungen! ! Kritische Berechtigungskombinationen ! ! Verschlüsselung, sichere Speicherung! ! Digitale Signatur! Funktionale Anforderungen! Nachträgliche Lösung! Wenig Abstimmung !
  5. 5. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Hacker und SAP-Systeme! ! Wie Hacker SAP sehen! ! Sehr kompliziert, viel Know-How erforderlich, proprietär! ! Aber: wenn interessant, dann kein Problem! JUST DO IT! ! Seit HANA ist das Interesse deutlich gestiegen! ! Einfallstore! ! Insider, Social Engineering, etc.! ! Web-Schnittstellen ausnutzen (z.B. SQL-Injection)! ! SAP-spezifische Angriffe (Bsp: RFC, Trusted Systems)! ! Trojaner, Würmer! Nicht-funktionale Anforderungen! Oft systemimmanent! Erfordert Abstimmung mit IT-Sec !
  6. 6. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! SAP und die Cloud! ! SAP in der Cloud betreiben! ! Public Cloud: werden die gesetzlichen Anforderungen (z.B. Datenschutz) erfüllt? In welcher Gerichtsbarkeit liegen die Daten? Wer darf gesetzlich dort dran?! ! Public Cloud: sind die Risiken größer? Kommt darauf an, gegen wen man sich schützen möchte/muss! ! Any Cloud: vertrauen Sie Ihrem Dienstleister?! ! SAP Cloud Services nutzen! ! Das Angebot ist inzwischen recht groß…! ! …aber meist eine andere technologische Basis (Standard-Web-Technologien)! ! ==> es gelten die „normalen“ Web-Anwendungs-Risiken!
  7. 7. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Der Software-Lifecycle! ! Wo wird an Sicherheit gearbeitet?! ! Anforderungsmanagement ! ! Architektur (= meist vorgegeben durch SAP)! ! Coding (speziell Customizing)! ! Inbetriebnahme! ! Wartung! In JEDER Phase ist Sicherheit wichtig.! Ein Fehlen in einer Phase kann die! restlichen Maßnahmen überflüssig machen.! ! Fakt: in ALLEN Phasen fehlt es an Verständnis und Kompetenz!! ! Beispiel 1: Anforderungen nicht bekannt! ! Beispiel 2: SAP Security Notes werden nicht eingespielt!
  8. 8. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Gründe! ! Fakt: SAP Sicherheit ist immer noch der „klassischen“ IT- und Informationssicherheit hinterher! ! Mögliche Gründe:! ! Abkapselung des SAP-Betriebs ! ! Oft rein funktionale Sicht auf Sicherheit, keine „Qualitäts“-Sicht! ! Die Botschaft „Firewalls sind nutzlos“ ist bisher nicht verstanden (= mangelnde Awareness)! ! Es passiert zu wenig (bzw. man bekommt es nicht durch Presse usw. mit, oder der Anwender bemerkt den Angriff nicht)! ! Es ist niemand verantwortlich! ! „Der Hersteller ist schuld“! ! Berechtigungsmanagement ist so teuer und aufwändig, da bleibt keine Zeit für anderes!
  9. 9. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Empfehlungen Top-Down! ! Verantwortlichen für SAP-Sicherheit benennen! ! Das Thema braucht einen Namen und ein Gesicht! ! Entwickeln einer Sicherheitsstrategie für SAP! ! Welches Risiko bin ich selbst bereit zu tragen? Welches der SAP-Betrieb? Welches die IT?! ! Entwickeln einer Sicherheitsarchitektur für SAP! ! Welche Maßnahmen und Zusatzlösungen möchte ich? Was kann auch vom SAP Standard übernommen werden? Wo ist mein Schwerpunkt? Wie spielen diese Lösungen zusammen? ! ! Explizite Aufnahme der Sicherheitsanforderungen! ! Nur wenn diese dokumentiert und in ihrer Bedeutung gewichtet sind, werden sie auch bewusst umgesetzt! ! Strategie und Architektur sollten dokumentiert und beschlossen werden!
  10. 10. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Organisatorische Empfehlungen! ! Zusammenarbeit mit Informationssicherheit (CISO)! ! Auflösen der „SAP-Mauer“, die Kollegen zu Komplizen machen! ! Vergleich der Risiken bringt oft Ernüchterung, aber auch Unterstützung! ! Zusammenarbeit mit Qualitätssicherung! ! Sicherheit als Qualitätsziel etablieren und über den QS-Prozess verankern! ! Integration der Sicherheitstests und -prüfungen in den Bestellprozess! ! Was für Desktop-Software gilt, sollte auch für SAP-Add-Ons und Zusatzsoftware gelten!
  11. 11. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Spezifische Empfehlungen! ! Berechtigungen! ! Wichtiger als das „richtige“ Tool ist die saubere, organisatorische Vorbereitung: wer muss was entscheiden können? ! ! Eine saubere Strukturierung ermöglicht oft ein deutlich einfacheres Berechtigungskonzept! ! Web-Sicherheit von SAP! ! Die (neuen) Web-Schnittstellen sind ein Einfallstor für Hacker und verdienen besondere Beobachtung, speziell HANA! ! Gerade dort ist eine Lösung durch Dritt-Produkte (a la „Application Level Firewall“) oft nur bedingt hilfreich! ! SAP Spezifisches! ! Begreifen Sie SAP als „kritische Infrastruktur“: SAP-spezifische Protokolle einschränken!! ! Sicheres Coding in ABAP ist essenziell!!

×