diamond_full diamond diamond_half diamond_euro search-icon menu chat-icon close-icon envelope-icon smartphone-call-icon

SAP Security Assessment

Was ist ein SAP Security Assessment?

SAP-Systeme sind kritische Unternehmensressourcen, die essenzielle Prozesse, Finanzoperationen und vertrauliche Unternehmensdaten verwalten. Diese Systeme werden aufgrund ihrer zentralen Bedeutung für die Steuerung von Geschäftsprozessen und Finanztransaktionen häufig zum Ziel von Cyberangriffen. Sicherheitsverletzungen in SAP-Umgebungen können erhebliche Konsequenzen nach sich ziehen, darunter Datenverlust, finanzielle Schäden, Betriebsstörungen und Compliance-Verstöße. Der Schutz dieser geschäftskritischen Systeme erfordert einen umfassenden Sicherheitsbewertungsansatz.

Ein SAP Security Assessment durch SCHUTZWERK bietet Ihnen eine detaillierte Analyse Ihrer gesamten SAP-Landschaft aus der Perspektive eines Angreifers. Unsere Experten identifizieren kritische Schwachstellen im SAP-System, in den Berechtigungskonzepten und im benutzerdefinierten Code, bevor Angreifer diese ausnutzen können.

placeholder for background/organization-chart.jpg

Ziel

Identifikation von Schwachstellen in SAP-Systemen und Risikobewertung für spezifische Bedrohungsszenarien

Fragestellung

Wie sicher ist Ihr SAP-System? Welchen Schaden können externe Angreifer und böswillige Benutzer im schlimmsten Fall anrichten?

Scope

SAP-Systeme einschließlich ihrer Schnittstellen, Konfigurationen, Berechtigungen und angebundenen Systeme

SAP Security Assessment Prozess: Methodik & Vorgehen

Unser SAP Security Assessment folgt einer strukturierten Methodik zur gründlichen Evaluierung Ihrer SAP-Landschaft. Der Prozess beginnt mit einer umfassenden Scope-Definition, um festzulegen, welche Systeme und Anwendungen untersucht werden. Mit einem White-Box-Ansatz arbeiten unsere Sicherheitsexperten eng mit Ihrem SAP-Basis-Team, Anwendungsentwicklern und Sicherheitsüberwachungsteams zusammen, um ein tiefgreifendes Verständnis Ihrer SAP-Architektur zu erlangen.

Während der Bewertung untersuchen unsere Spezialisten zunächst Systemkonfigurationen, Profilparameter und Sicherheitseinstellungen und vergleichen diese mit den SAP-Sicherheitsgrundlinien-Empfehlungen. Anschließend analysieren wir kritische Berechtigungen, Schwachstellen im benutzerdefinierten Code und Anwendungssicherheitsrisiken. Wir identifizieren potenzielle Angriffsvektoren in Ihrer gesamten SAP-Landschaft sowohl aus der Perspektive externer Angreifer als auch interner böswilliger Benutzer.

Da SAP-Systeme geschäftskritisch sind, treffen wir besondere Vorsichtsmaßnahmen während der Tests. Schwachstellen werden manuell verifiziert, wobei potenziell risikoreiche Exploits zuerst in isolierten Umgebungen getestet werden, bevor sie in Qualitätssicherungssystemen bestätigt werden, ohne negative Auswirkungen auf Ihre Produktionsumgebung.

Grundsätzlich erfolgt das Assessment mit dem Ansatz einer möglichst umfassenden Prüfung. Abhängig von der Art der Anwendung bzw. des Systems und der relevanten Bedrohungen ist jedoch auch ein risikobasierter Ansatz möglich (vergleichbar mit einem Penetrationstest ). Dabei wird der Fokus auf besonders sicherheitskritische bzw. gefährdete Bereiche gerichtet, wobei sich der Prüfungsumfang aus dem im Vorfeld vereinbarten Zeitbudget ergibt.

In Bezug auf SAP-Sicherheit halten wir uns an die Richtlinien internationaler Organisationen wie der DSAG (Deutsche SAP-Anwendergruppe) und den Sicherheitsempfehlungen von SAP selbst.

Kernkomponenten eines SCHUTZWERK SAP Security Assessment

Der SAP Penetrationstest umfasst ein breites Spektrum an Aspekten, um eine umfassende Sicherheitsanalyse Ihrer SAP-Landschaft und einzelnen Systemen zu gewährleisten. Diese umfassen:

Systemhärtung & Konfigurationsanalyse

  • Bewertung der SAP Systemkonfiguration (Profilparameter, Gateway Dienste etc.) anhand offizieller SAP Security Baseline-Vorlagen
  • Überprüfung der Datenbankkonfigurationssicherheit für SAP HANA oder andere Datenbankplattformen
  • Evaluierung von Netzwerksicherheitsmaßnahmen, -segmentierung und Zugriffskontrollen für SAP-Systeme
  • Analyse der SAP-Kernel-Sicherheitseinstellungen und kritischer Systemparameter

Authentifizierung & Berechtigungssicherheit

  • Überprüfung der Benutzerverwaltungspraktiken und Passwortrichtlinien-Implementierungen
  • Tiefgehende Analyse der Rollen- und Berechtigungskonzepte mit Fokus auf kritische Kombinationen
  • Detaillierte Bewertung privilegierter Zugriffsrechte, die zu einer Rechteausweitung führen könnten
  • Bewertung von Notfallbenutzern und der Verwaltung technischer Benutzer
  • Erkennung übermäßiger Berechtigungsmuster in der gesamten SAP-Landschaft

Schnittstellensicherheit & Integrationstests

  • Analyse von RFC-Verbindungen und deren Sicherheitskonfigurationen
  • Bewertung der Webservice-Sicherheit und API-Schutzmechanismen
  • Evaluierung von Vertrauensbeziehungen zwischen Systemen und korrekten Authentifizierungsimplementierungen
  • Überprüfung der Integrationspunkte mit Drittanbietersystemen und potenzieller Sicherheitslücken

Sicherheit von benutzerdefiniertem Code

  • Custom-Code Review mit Schwerpunkt auf Berechtigungsprüfungen und kritischen Funktionen
  • UI5/Fiori-Anwendungssicherheitsbewertung einschließlich clientseitiger Kontrollen
  • Erkennung von SQL-Injection-Schwachstellen und anderen Sicherheitsproblemen auf Codeebene
  • Überprüfung der benutzerdefinierten Entwicklungsprozesse auf Sicherheitsintegration

Sicherheitsüberwachung & Angriffserkennung

  • Bewertung der Wirksamkeit von SAP Enterprise Threat Detection (ETD)
  • Analyse der FRUN-Überwachungsfunktionen und Alarmkonfigurationen
  • Überprüfung der Erkennungsfähigkeiten gegenüber gängigen Angriffsmustern
  • Analyse der sicherheitsrelevanten Audit-Protokollierung und Aufbewahrungsrichtlinien

Praktische Tests & Validierung

  • Kontrollierte Ausnutzung identifizierter Schwachstellen in isolierten Umgebungen
  • Verifizierung von Angriffsvektoren mit minimalem Risiko für Produktionssysteme
  • Versuche zur Rechteausweitung, um reale Auswirkungen zu demonstrieren
  • Bewertung von Umgehungstechniken gegen Sicherheitsüberwachungssysteme

In Zusammenarbeit mit Ihrem SAP-Basis Team, SAP Berechtigungs Team, Anwendungsentwicklern und Sicherheitspersonal stellen wir sicher, dass die Bewertung Ihre spezifischen Anforderungen berücksichtigt. Alle Ergebnisse erhalten praktische Risikobewertungen und umsetzbare Empfehlungen, die auf Ihre Umgebung zugeschnitten sind.

SAP Security Assessment Ergebnisse & Liefergegenstände

Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:

  • Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
  • Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
  • Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
  • Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
  • Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
  • Beschreibung von Maßnahmen zur Behebung der Schwachstellen
  • Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.

SAP Security Assessment und relevante Regulierungen & Standards

SAP-Systeme unterliegen aufgrund ihrer geschäftskritischen Natur und der verarbeiteten sensiblen Daten zahlreichen regulatorischen Anforderungen. Ein professionelles SAP Security Assessment hilft Ihnen, diese Compliance-Anforderungen zu erfüllen:

  • ISO 27001 - Für die Zertifizierung nach diesem international anerkannten Standard für Informationssicherheit ist die Bewertung kritischer Unternehmenssysteme wie SAP erforderlich. Ein regelmäßiges SAP Security Assessment unterstützt die Umsetzung der Kontrollen A.8.8 (Handhabung von technischen Schwachstellen) und A.8.29 (Sicherheitsprüfung bei Entwicklung und Abnahme) und liefert wichtige Nachweise für Ihr Informationssicherheits-Managementsystem (ISMS).

  • DSGVO (Datenschutz-Grundverordnung) - Da SAP-Systeme häufig personenbezogene Daten verarbeiten, hilft ein SAP Security Assessment, die Integrität und Vertraulichkeit dieser Daten gemäß Artikel 5 und 32 der DSGVO zu gewährleisten.

  • TISAX (Trusted Information Security Assessment Exchange) - In der Automobilbranche ist die Sicherheit von SAP-Systemen, die oft als zentrale ERP-Systeme dienen, besonders wichtig. Ein SAP Security Assessment erfüllt die TISAX-Anforderungen für die Absicherung geschäftskritischer Anwendungen.

  • GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) - Da SAP-Systeme in Deutschland oft steuer- und bilanzrelevante Daten verwalten, unterstützt ein SAP Security Assessment die Anforderungen der GoBD an die Datensicherheit und Unveränderbarkeit dieser Informationen.

  • DORA (Digital Operational Resilience Act) - Diese EU-Verordnung für den Finanzsektor führt Anforderungen für das IKT-Risikomanagement ein, zu denen auch Sicherheitstests für kritische Systeme wie SAP gehören. SAP Security Assessments helfen Finanzinstituten, die DORA-Anforderungen zu erfüllen, indem sie Schwachstellen in geschäftskritischen SAP-Systemen identifizieren, die Finanzdaten verarbeiten, und so die betriebliche Resilienz und Risikomanagementziele unterstützen.

Verwandte SCHUTZWERK Leistungen

Um Ihre SAP-Umgebung umfassend abzusichern, empfehlen wir ergänzend zu einem SAP Security Assessment folgende Leistungen:

  • Penetrationstests zur umfassenden Prüfung der IT-Infrastruktur, in der Ihre SAP-Systeme betrieben werden

Wie dürfen wir Ihnen helfen?

Rufen Sie uns an oder vereinbaren Sie direkt einen Termin

+49 731 977 191 - 0 Termin vereinbaren
Kostenfreies Erstgespräch