Virtual Forge GmbH

Virtual Forge GmbH

Speyerer Strasse 6
69115 Heidelberg
Tel.: +49 6221 868 90-0
Fax: +49 6221 868 90-101
E-Mail: [email protected]
Web: www.virtualforge.com

Virtual Forge ist ein unabh.ngiger Anbieter von Sicherheits-, Compliance- und Qualitätslösungen für SAP.-Systeme und -Anwendungen. Unsere Kunden sind weltweit führende Unternehmen aus den Branchen Automobil, Banken und Versicherungen, Chemie und Pharmazie, High-Tech und Elektronik, Media und Unterhaltung, Konsumgüter, Handel, .l- und Gas sowie Versorger. Mit unseren Lösungen können Kunden Risiken minimieren, die durch eigene Anpassungen und Konfigurationen verursacht werden können. Weitere Informationen erhalten Sie unter www.virtualforge.com


Autoren

Thomas Kastner, Virtual Forge (1 Artikel)

Oleksandr Panchenko, Virtual Forge (1 Artikel)


Alle E-3 Artikel der Autoren:




1

Die Krux mit den SAP-Schnittstellen

Ungeschützte SAP-Schnittstellen öffnen Hackern Tür und Tor. Das wissen viele Unternehmen – verfügen aber bis heute über keine ausreichenden Sicherheitsmaßnahmen. Erforderlich sind Lösungen, mit denen die Schnittstellen flächendeckend analysiert und überwacht werden können.

SAP-Systemumgebungen wachsen und verändern sich ständig. Dies liegt an allgemeinen Marktentwicklungen, wie der Globalisierung, die zu immer komplexeren Geschäftsprozessen führt. Unternehmen expandieren, fusionieren und kaufen andere Gesellschaften zu. Hinzu kommen neue Digitalisierungstrends, zum Beispiel Cloud Computing und Industrie 4.0, die eine zunehmend starke IT-Vernetzung erfordern. Im Laufe der Jahre sind dadurch vielerorts heterogene Systemlandschaften mit bis zu mehreren Tausend Datenschnittstellen entstanden, die die SAP-Anwendungen miteinander, aber auch mit Non-SAP-Systemen verbinden. Neben den bekannten Schnittstellen gibt es etliche, die den Systemverantwortlichen gar nicht als solche bewusst sind, etwa unbefugte Downloads von Listen über den SAP GUI, direkte Zugriffe auf die Datenbank oder die Kommunikation mit externen Systemen. Schlupfloch für Datendiebe Sind diese Schnittstellen veraltet, falsch konfiguriert oder unzureichend geschützt, bieten sie […]

2

Begrenzter Zugriff für Basisbetreuer

Wer seine SAP-Daten vor Missbrauch schützen will, muss auch die Zugriffsrechte für die SAP-Basisadministratoren beschränken. Sicherheitstests bei Kunden belegen gravierende Schwachstellen in diesem Bereich.

Mit DBACockpit und DB02 stehen den SAP-Basismitarbeitern zwei zentrale Transaktionen zur Verfügung, mit denen sie die SAP-Datenbanken überwachen, steuern, konfigurieren und verwalten können. Zahlreiche Basisfunktionen lassen sich darüber ausführen, zum Beispiel die Überprüfung von Systemstatus und Betriebsarten, Tabellenerweiterungen oder die Indexpflege und -aktualisierung von Tabellen. Zudem enthalten beide Transaktionen den SQL Command Editor, der über sogenannte Open-SQL-Befehle den unmittelbaren Zugriff auf funktionale Tabellen erlaubt. Damit können Anwender auch an geschäftskritische Informationen gelangen, wie Personal- und Finanzbuchhaltungsdaten oder auch Passwort-Hashes. Security Patches für SQL Command Editor dringend beachten SAP hat für den SQL Command Editor zahlreiche Sicherheits-Patches ausgeliefert. Diese Sicherheits-Patches sind unbedingt zu beachten und einzuspielen. Um den Zugriff auf die SAP-Daten zu regulieren, hat SAP zudem eine neue Berechtigung ausgeliefert […]