SlideShare ist ein Scribd-Unternehmen logo
Prof. Dr. Sachar Paulus! 
Ungebetene Gäste: Warum lieben Hacker aus 
aller Welt unsere SAP Landschaften?!
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Zum Referenten! 
! Professor für IT-Sicherheit an der Hochschule Mannheim! 
! Davor Studiendekan Masterstudiengang „Security Management“ an der FH 
Brandenburg …! 
! … und Forschungsprofessor durch EU-FP7-Projekt „OPTET“: nachweisbar, 
vertrauenswürdige Internet-Dienste! 
! Freiberuflicher Berater! 
! SAP-Security, sichere Software-Entwicklung, Informationssicherheits-Management- 
Systeme! 
! Erfahrungen! 
! 8 Jahre bei SAP (Director Product Management Security, Chief Security Officer)! 
! Davor 4 Jahre im Mittelstand als Berater und Projektmanager!
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Agenda! 
! Compliance-Anforderungen an SAP! 
! Hacker und SAP-Systeme! 
! SAP und die Cloud! 
! Der Software-Lifecycle! 
! Mögliche Gründe! 
! Empfehlungen!
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Compliance-Anforderungen an SAP! 
! Quellen: ! 
! MA Risk, GoBS, IDW PS 330, KonTraG, …! 
! Sarbanes-Oxley, FDA CFR, PCI DSS, …! 
! Inhalte:! 
! Kritische Berechtigungen! 
! Kritische Berechtigungskombinationen ! 
! Verschlüsselung, sichere Speicherung! 
! Digitale Signatur! 
Funktionale Anforderungen! 
Nachträgliche Lösung! 
Wenig Abstimmung !
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Hacker und SAP-Systeme! 
! Wie Hacker SAP sehen! 
! Sehr kompliziert, viel Know-How erforderlich, proprietär! 
! Aber: wenn interessant, dann kein Problem! JUST DO IT! 
! Seit HANA ist das Interesse deutlich gestiegen! 
! Einfallstore! 
! Insider, Social Engineering, etc.! 
! Web-Schnittstellen ausnutzen (z.B. SQL-Injection)! 
! SAP-spezifische Angriffe (Bsp: RFC, Trusted Systems)! 
! Trojaner, Würmer! 
Nicht-funktionale Anforderungen! 
Oft systemimmanent! 
Erfordert Abstimmung mit IT-Sec !
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
SAP und die Cloud! 
! SAP in der Cloud betreiben! 
! Public Cloud: werden die gesetzlichen Anforderungen (z.B. Datenschutz) 
erfüllt? In welcher Gerichtsbarkeit liegen die Daten? Wer darf gesetzlich dort 
dran?! 
! Public Cloud: sind die Risiken größer? Kommt darauf an, gegen wen man sich 
schützen möchte/muss! 
! Any Cloud: vertrauen Sie Ihrem Dienstleister?! 
! SAP Cloud Services nutzen! 
! Das Angebot ist inzwischen recht groß…! 
! …aber meist eine andere technologische Basis (Standard-Web-Technologien)! 
! ==> es gelten die „normalen“ Web-Anwendungs-Risiken!
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Der Software-Lifecycle! 
! Wo wird an Sicherheit gearbeitet?! 
! Anforderungsmanagement ! 
! Architektur (= meist vorgegeben durch SAP)! 
! Coding (speziell Customizing)! 
! Inbetriebnahme! 
! Wartung! 
In JEDER Phase ist Sicherheit wichtig.! 
Ein Fehlen in einer Phase kann die! 
restlichen Maßnahmen überflüssig machen.! 
! Fakt: in ALLEN Phasen fehlt es an Verständnis und Kompetenz!! 
! Beispiel 1: Anforderungen nicht bekannt! 
! Beispiel 2: SAP Security Notes werden nicht eingespielt!
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Gründe! 
! Fakt: SAP Sicherheit ist immer noch der „klassischen“ IT- und 
Informationssicherheit hinterher! 
! Mögliche Gründe:! 
! Abkapselung des SAP-Betriebs ! 
! Oft rein funktionale Sicht auf Sicherheit, keine „Qualitäts“-Sicht! 
! Die Botschaft „Firewalls sind nutzlos“ ist bisher nicht verstanden (= mangelnde 
Awareness)! 
! Es passiert zu wenig (bzw. man bekommt es nicht durch Presse usw. mit, oder der 
Anwender bemerkt den Angriff nicht)! 
! Es ist niemand verantwortlich! 
! „Der Hersteller ist schuld“! 
! Berechtigungsmanagement ist so teuer und aufwändig, da bleibt keine Zeit für 
anderes!
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Empfehlungen Top-Down! 
! Verantwortlichen für SAP-Sicherheit benennen! 
! Das Thema braucht einen Namen und ein Gesicht! 
! Entwickeln einer Sicherheitsstrategie für SAP! 
! Welches Risiko bin ich selbst bereit zu tragen? Welches der SAP-Betrieb? Welches die 
IT?! 
! Entwickeln einer Sicherheitsarchitektur für SAP! 
! Welche Maßnahmen und Zusatzlösungen möchte ich? Was kann auch vom SAP Standard 
übernommen werden? Wo ist mein Schwerpunkt? Wie spielen diese Lösungen 
zusammen? ! 
! Explizite Aufnahme der Sicherheitsanforderungen! 
! Nur wenn diese dokumentiert und in ihrer Bedeutung gewichtet sind, werden sie auch 
bewusst umgesetzt! 
! Strategie und Architektur sollten dokumentiert und beschlossen werden!
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Organisatorische Empfehlungen! 
! Zusammenarbeit mit Informationssicherheit (CISO)! 
! Auflösen der „SAP-Mauer“, die Kollegen zu Komplizen machen! 
! Vergleich der Risiken bringt oft Ernüchterung, aber auch Unterstützung! 
! Zusammenarbeit mit Qualitätssicherung! 
! Sicherheit als Qualitätsziel etablieren und über den QS-Prozess verankern! 
! Integration der Sicherheitstests und -prüfungen in den 
Bestellprozess! 
! Was für Desktop-Software gilt, sollte auch für SAP-Add-Ons und 
Zusatzsoftware gelten!
Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! 
Spezifische Empfehlungen! 
! Berechtigungen! 
! Wichtiger als das „richtige“ Tool ist die saubere, organisatorische Vorbereitung: wer 
muss was entscheiden können? ! 
! Eine saubere Strukturierung ermöglicht oft ein deutlich einfacheres 
Berechtigungskonzept! 
! Web-Sicherheit von SAP! 
! Die (neuen) Web-Schnittstellen sind ein Einfallstor für Hacker und verdienen besondere 
Beobachtung, speziell HANA! 
! Gerade dort ist eine Lösung durch Dritt-Produkte (a la „Application Level Firewall“) oft 
nur bedingt hilfreich! 
! SAP Spezifisches! 
! Begreifen Sie SAP als „kritische Infrastruktur“: SAP-spezifische Protokolle einschränken!! 
! Sicheres Coding in ABAP ist essenziell!!

Weitere ähnliche Inhalte

Andere mochten auch

ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
Virtual Forge
 
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Virtual Forge
 
Develop Stable, High-Performance Applications for SAP HANA
Develop Stable, High-Performance Applications for SAP HANADevelop Stable, High-Performance Applications for SAP HANA
Develop Stable, High-Performance Applications for SAP HANA
Virtual Forge
 
Application Security Management with ThreadFix
Application Security Management with ThreadFixApplication Security Management with ThreadFix
Application Security Management with ThreadFix
Virtual Forge
 
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Virtual Forge
 
How the U.S. Department of Defense Secures Its Custom ABAP Code
How the U.S. Department of Defense Secures Its Custom ABAP CodeHow the U.S. Department of Defense Secures Its Custom ABAP Code
How the U.S. Department of Defense Secures Its Custom ABAP Code
Virtual Forge
 
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Virtual Forge
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Virtual Forge
 
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
Virtual Forge
 
SAP HANA Security: New Technology, New Risks
SAP HANA Security: New Technology, New RisksSAP HANA Security: New Technology, New Risks
SAP HANA Security: New Technology, New Risks
Virtual Forge
 

Andere mochten auch (10)

ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
 
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
 
Develop Stable, High-Performance Applications for SAP HANA
Develop Stable, High-Performance Applications for SAP HANADevelop Stable, High-Performance Applications for SAP HANA
Develop Stable, High-Performance Applications for SAP HANA
 
Application Security Management with ThreadFix
Application Security Management with ThreadFixApplication Security Management with ThreadFix
Application Security Management with ThreadFix
 
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
 
How the U.S. Department of Defense Secures Its Custom ABAP Code
How the U.S. Department of Defense Secures Its Custom ABAP CodeHow the U.S. Department of Defense Secures Its Custom ABAP Code
How the U.S. Department of Defense Secures Its Custom ABAP Code
 
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
 
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
 
SAP HANA Security: New Technology, New Risks
SAP HANA Security: New Technology, New RisksSAP HANA Security: New Technology, New Risks
SAP HANA Security: New Technology, New Risks
 

Ähnlich wie Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?

SAP Trends 2014 - die Entscheider kennen sollten
SAP Trends 2014 - die Entscheider kennen solltenSAP Trends 2014 - die Entscheider kennen sollten
SAP Trends 2014 - die Entscheider kennen sollten
IT-Onlinemagazin
 
Dev Day 2019: Stephan Birnbaum – Die Glaskugel hat ausgedient, wir machen Sof...
Dev Day 2019: Stephan Birnbaum – Die Glaskugel hat ausgedient, wir machen Sof...Dev Day 2019: Stephan Birnbaum – Die Glaskugel hat ausgedient, wir machen Sof...
Dev Day 2019: Stephan Birnbaum – Die Glaskugel hat ausgedient, wir machen Sof...
DevDay Dresden
 
Informatics%20 Broschuere Sap[1]
Informatics%20 Broschuere Sap[1]Informatics%20 Broschuere Sap[1]
Informatics%20 Broschuere Sap[1]
a_peter
 
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Learning Factory
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
Carsten Cordes
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG Softwaretechnik
Roland M
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Carsten Muetzlitz
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
Harald Erb
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
Carsten Cordes
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
Carsten Muetzlitz
 
2009 - Basta!: Agiles requirements engineering
2009 - Basta!: Agiles requirements engineering2009 - Basta!: Agiles requirements engineering
2009 - Basta!: Agiles requirements engineering
Daniel Fisher
 
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
 SAP Bedrohungserkennung als Cloud Lösung - SAP ETD SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
IBsolution GmbH
 
In sekundenschnelle alles wichtige aus 100.000 Dokumenten
In sekundenschnelle alles wichtige   aus 100.000 DokumentenIn sekundenschnelle alles wichtige   aus 100.000 Dokumenten
In sekundenschnelle alles wichtige aus 100.000 Dokumenten
Theum AG
 
Dokumentation in agilen Projekten - WebMontag Edition
Dokumentation in agilen Projekten - WebMontag EditionDokumentation in agilen Projekten - WebMontag Edition
Dokumentation in agilen Projekten - WebMontag Edition
Simon Krackrügge
 
Agiles Projekt-und Portfoliomanagement – mehr als nur agile Projekte
Agiles Projekt-und Portfoliomanagement – mehr als nur agile ProjekteAgiles Projekt-und Portfoliomanagement – mehr als nur agile Projekte
Agiles Projekt-und Portfoliomanagement – mehr als nur agile Projekte
Ayelt Komus
 
Cloud Computing - auch für Geschäftsanwendungen - Peter Jaeschke
Cloud Computing - auch für Geschäftsanwendungen - Peter JaeschkeCloud Computing - auch für Geschäftsanwendungen - Peter Jaeschke
Cloud Computing - auch für Geschäftsanwendungen - Peter Jaeschke
IPM-FHS
 
Nefos: Nefos Mobile iPad App
Nefos: Nefos Mobile iPad AppNefos: Nefos Mobile iPad App
Nefos: Nefos Mobile iPad App
Salesforce Deutschland
 
Kongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdfKongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdf
argvis GmbH
 
Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)
Agenda Europe 2035
 

Ähnlich wie Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften? (20)

SAP Trends 2014 - die Entscheider kennen sollten
SAP Trends 2014 - die Entscheider kennen solltenSAP Trends 2014 - die Entscheider kennen sollten
SAP Trends 2014 - die Entscheider kennen sollten
 
Dev Day 2019: Stephan Birnbaum – Die Glaskugel hat ausgedient, wir machen Sof...
Dev Day 2019: Stephan Birnbaum – Die Glaskugel hat ausgedient, wir machen Sof...Dev Day 2019: Stephan Birnbaum – Die Glaskugel hat ausgedient, wir machen Sof...
Dev Day 2019: Stephan Birnbaum – Die Glaskugel hat ausgedient, wir machen Sof...
 
Informatics%20 Broschuere Sap[1]
Informatics%20 Broschuere Sap[1]Informatics%20 Broschuere Sap[1]
Informatics%20 Broschuere Sap[1]
 
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
Wie Lean ist eigentlich ihre IT – Kundenwert und Verschwendung in der Informa...
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
AG Softwaretechnik
AG SoftwaretechnikAG Softwaretechnik
AG Softwaretechnik
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
2009 - Basta!: Agiles requirements engineering
2009 - Basta!: Agiles requirements engineering2009 - Basta!: Agiles requirements engineering
2009 - Basta!: Agiles requirements engineering
 
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
 SAP Bedrohungserkennung als Cloud Lösung - SAP ETD SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
 
In sekundenschnelle alles wichtige aus 100.000 Dokumenten
In sekundenschnelle alles wichtige   aus 100.000 DokumentenIn sekundenschnelle alles wichtige   aus 100.000 Dokumenten
In sekundenschnelle alles wichtige aus 100.000 Dokumenten
 
Dokumentation in agilen Projekten - WebMontag Edition
Dokumentation in agilen Projekten - WebMontag EditionDokumentation in agilen Projekten - WebMontag Edition
Dokumentation in agilen Projekten - WebMontag Edition
 
Agiles Projekt-und Portfoliomanagement – mehr als nur agile Projekte
Agiles Projekt-und Portfoliomanagement – mehr als nur agile ProjekteAgiles Projekt-und Portfoliomanagement – mehr als nur agile Projekte
Agiles Projekt-und Portfoliomanagement – mehr als nur agile Projekte
 
Cloud Computing - auch für Geschäftsanwendungen - Peter Jaeschke
Cloud Computing - auch für Geschäftsanwendungen - Peter JaeschkeCloud Computing - auch für Geschäftsanwendungen - Peter Jaeschke
Cloud Computing - auch für Geschäftsanwendungen - Peter Jaeschke
 
Nefos: Nefos Mobile iPad App
Nefos: Nefos Mobile iPad AppNefos: Nefos Mobile iPad App
Nefos: Nefos Mobile iPad App
 
Lean Collaboration
Lean CollaborationLean Collaboration
Lean Collaboration
 
Kongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdfKongress Instandhaltung mit SAP 2022.pdf
Kongress Instandhaltung mit SAP 2022.pdf
 
Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)
 

Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?

  • 1. Prof. Dr. Sachar Paulus! Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?!
  • 2. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Zum Referenten! ! Professor für IT-Sicherheit an der Hochschule Mannheim! ! Davor Studiendekan Masterstudiengang „Security Management“ an der FH Brandenburg …! ! … und Forschungsprofessor durch EU-FP7-Projekt „OPTET“: nachweisbar, vertrauenswürdige Internet-Dienste! ! Freiberuflicher Berater! ! SAP-Security, sichere Software-Entwicklung, Informationssicherheits-Management- Systeme! ! Erfahrungen! ! 8 Jahre bei SAP (Director Product Management Security, Chief Security Officer)! ! Davor 4 Jahre im Mittelstand als Berater und Projektmanager!
  • 3. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Agenda! ! Compliance-Anforderungen an SAP! ! Hacker und SAP-Systeme! ! SAP und die Cloud! ! Der Software-Lifecycle! ! Mögliche Gründe! ! Empfehlungen!
  • 4. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Compliance-Anforderungen an SAP! ! Quellen: ! ! MA Risk, GoBS, IDW PS 330, KonTraG, …! ! Sarbanes-Oxley, FDA CFR, PCI DSS, …! ! Inhalte:! ! Kritische Berechtigungen! ! Kritische Berechtigungskombinationen ! ! Verschlüsselung, sichere Speicherung! ! Digitale Signatur! Funktionale Anforderungen! Nachträgliche Lösung! Wenig Abstimmung !
  • 5. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Hacker und SAP-Systeme! ! Wie Hacker SAP sehen! ! Sehr kompliziert, viel Know-How erforderlich, proprietär! ! Aber: wenn interessant, dann kein Problem! JUST DO IT! ! Seit HANA ist das Interesse deutlich gestiegen! ! Einfallstore! ! Insider, Social Engineering, etc.! ! Web-Schnittstellen ausnutzen (z.B. SQL-Injection)! ! SAP-spezifische Angriffe (Bsp: RFC, Trusted Systems)! ! Trojaner, Würmer! Nicht-funktionale Anforderungen! Oft systemimmanent! Erfordert Abstimmung mit IT-Sec !
  • 6. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! SAP und die Cloud! ! SAP in der Cloud betreiben! ! Public Cloud: werden die gesetzlichen Anforderungen (z.B. Datenschutz) erfüllt? In welcher Gerichtsbarkeit liegen die Daten? Wer darf gesetzlich dort dran?! ! Public Cloud: sind die Risiken größer? Kommt darauf an, gegen wen man sich schützen möchte/muss! ! Any Cloud: vertrauen Sie Ihrem Dienstleister?! ! SAP Cloud Services nutzen! ! Das Angebot ist inzwischen recht groß…! ! …aber meist eine andere technologische Basis (Standard-Web-Technologien)! ! ==> es gelten die „normalen“ Web-Anwendungs-Risiken!
  • 7. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Der Software-Lifecycle! ! Wo wird an Sicherheit gearbeitet?! ! Anforderungsmanagement ! ! Architektur (= meist vorgegeben durch SAP)! ! Coding (speziell Customizing)! ! Inbetriebnahme! ! Wartung! In JEDER Phase ist Sicherheit wichtig.! Ein Fehlen in einer Phase kann die! restlichen Maßnahmen überflüssig machen.! ! Fakt: in ALLEN Phasen fehlt es an Verständnis und Kompetenz!! ! Beispiel 1: Anforderungen nicht bekannt! ! Beispiel 2: SAP Security Notes werden nicht eingespielt!
  • 8. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Gründe! ! Fakt: SAP Sicherheit ist immer noch der „klassischen“ IT- und Informationssicherheit hinterher! ! Mögliche Gründe:! ! Abkapselung des SAP-Betriebs ! ! Oft rein funktionale Sicht auf Sicherheit, keine „Qualitäts“-Sicht! ! Die Botschaft „Firewalls sind nutzlos“ ist bisher nicht verstanden (= mangelnde Awareness)! ! Es passiert zu wenig (bzw. man bekommt es nicht durch Presse usw. mit, oder der Anwender bemerkt den Angriff nicht)! ! Es ist niemand verantwortlich! ! „Der Hersteller ist schuld“! ! Berechtigungsmanagement ist so teuer und aufwändig, da bleibt keine Zeit für anderes!
  • 9. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Empfehlungen Top-Down! ! Verantwortlichen für SAP-Sicherheit benennen! ! Das Thema braucht einen Namen und ein Gesicht! ! Entwickeln einer Sicherheitsstrategie für SAP! ! Welches Risiko bin ich selbst bereit zu tragen? Welches der SAP-Betrieb? Welches die IT?! ! Entwickeln einer Sicherheitsarchitektur für SAP! ! Welche Maßnahmen und Zusatzlösungen möchte ich? Was kann auch vom SAP Standard übernommen werden? Wo ist mein Schwerpunkt? Wie spielen diese Lösungen zusammen? ! ! Explizite Aufnahme der Sicherheitsanforderungen! ! Nur wenn diese dokumentiert und in ihrer Bedeutung gewichtet sind, werden sie auch bewusst umgesetzt! ! Strategie und Architektur sollten dokumentiert und beschlossen werden!
  • 10. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Organisatorische Empfehlungen! ! Zusammenarbeit mit Informationssicherheit (CISO)! ! Auflösen der „SAP-Mauer“, die Kollegen zu Komplizen machen! ! Vergleich der Risiken bringt oft Ernüchterung, aber auch Unterstützung! ! Zusammenarbeit mit Qualitätssicherung! ! Sicherheit als Qualitätsziel etablieren und über den QS-Prozess verankern! ! Integration der Sicherheitstests und -prüfungen in den Bestellprozess! ! Was für Desktop-Software gilt, sollte auch für SAP-Add-Ons und Zusatzsoftware gelten!
  • 11. Hacker lieben SAP-Landschaften - Prof. Dr. Sachar Paulus - © paulus.consult 2014 ! Spezifische Empfehlungen! ! Berechtigungen! ! Wichtiger als das „richtige“ Tool ist die saubere, organisatorische Vorbereitung: wer muss was entscheiden können? ! ! Eine saubere Strukturierung ermöglicht oft ein deutlich einfacheres Berechtigungskonzept! ! Web-Sicherheit von SAP! ! Die (neuen) Web-Schnittstellen sind ein Einfallstor für Hacker und verdienen besondere Beobachtung, speziell HANA! ! Gerade dort ist eine Lösung durch Dritt-Produkte (a la „Application Level Firewall“) oft nur bedingt hilfreich! ! SAP Spezifisches! ! Begreifen Sie SAP als „kritische Infrastruktur“: SAP-spezifische Protokolle einschränken!! ! Sicheres Coding in ABAP ist essenziell!!