Schrödingers SAP Sicherheit – Best-of SAP Basis & Security | Juli 2020

Autor: Tobias Harmes | 31. Juli 2020

#podcast, #story

Im Juli hat eine Sicherheitslücke für SAP AS Java für einiges Aufsehen gesorgt. Neben unseren Best-of-Inhalten des Monats Juli erkläre ich daher, warum viele SAP-Systeme gleichzeitig lebendig und tot sind. Und lasse mir dabei von Schrödingers Katze helfen.

…zum Anschauen

…zum Hören

Editorial: Schrödingers SAP Sicherheit

Der SAP Security-Patchday diesen Monat hat es in sich. Alle aktuellen SAP Produkte, die auch den SAP Java-Applikationsserver verwenden, sind von einer schweren Sicherheitslücke betroffen. Dazu gehören das SAP Portal, der Solution Manager, SAP Process Orchestration/Integration, aber auch Systeme mit Java-Anbindung wie CRM, SRM, SCM und BI. Die Sicherheitslücke ist über das Netzwerk ausnutzbar und ermöglicht den vollen Administrations-Zugang zu diesen Systemen und damit auch den Zugriff auf alle Daten. Und ein Demo-Exploit für die Lücke ist auch öffentlich verfügbar. Ein fataler Zustand für eine so wichtige Unternehmensanwendung. Jeder sollte umgehend sicherstellen, dass der passende Sicherheits-Patch bereits installiert ist.

Jetzt sind entdeckte Sicherheitslücken nichts Besonderes. Gut, dass es den SAP Patchday gibt und gut, dass es sogar einen Workaround gibt, damit man Zeit gewinnt für das Update. Doch was ist mit dem Prozess, der solche Ereignisse dann behandelt? Der Umgang mit Patches und Berechtigungen in vielen SAP-Systemen lässt mich eher an Schrödingers Katze denken.

Schrödingers Katze

Das war ein Gedankenexperiment, in dem der Physiker Erwin Schrödinger ein einigermaßen verständliches Bild für das Verhalten der Quantenmechanik gesucht hat. In einem geschlossenen Kasten sitzen eine Katze und ein instabiler Atomkern, der innerhalb einer bestimmten Zeitspanne zerfällt. Der Zerfall wird von einem Geigerzähler gemessen und löst die Freisetzung von Giftgas aus, welches die Katze tötet. Weil man bei geschlossener Kiste nun von außen nicht weiß, ob schon etwas passiert ist, kann man von außen auf die Box blicken und sagen, dass die Katze gleichzeitig lebt und tot ist. Ein berühmtes Bild für die Sowohl-als-auch-Zustände in der Quantenmechanik.

Sowohl-als-auch SAP

Und genau diesen Sowohl-als-auch-Zustand haben viele SAP-Systeme. Sie sind gleichzeitig am Leben und auch tot. Es bedarf nur den einfachen Zerfall eines Atomkerns (der Angriff), und das ganze System ist tot – oder wird in Geiselhaft genommen. Wer dann die Kiste (das eigene SAP-System) nicht kontrolliert, kann leider tatsächlich ohne Gegenbeweis sagen: wieso, lebt doch noch?

Die Kiste öffnen

Meine Kollegen und ich sind regelmäßig frustriert, weil wir zu spät dazu geholt werden. Es ist schon etwas gestohlen worden, es ist schon etwas zerstört worden. Und dann geht es um Schadensbegrenzung und Einbruchsschutz vor Wiederholungstätern.

Deshalb bieten wir unmittelbar zwei Dinge an:

  1. Wir machen am 13.08.2020 nochmal ein Webinar zum Thema Absichern von ERP Systemen, bei dem es im Anschluss auch die Möglichkeit für ein vertiefendes Expertengespräch gibt.
  2. Wir bieten bis Ende August einen kostenlosen Remote Check an, mit dem man sich mit einem SAP-zertifizierten Tool einer Prüfung auf Sicherheitsprobleme im SAP-System unterziehen kann.

Hoffentlich können wir so ohne Verletzungen einige Experimente beenden. Ich würde mich freuen!

Herzliche Grüße
Tobias Harmes

PS: Wenn Sie mögen, vernetzen Sie sich mit mir in den sozialen Netzwerken. Ich würde mich freuen.

Zuletzt auf Instagram

 

Sieh dir diesen Beitrag auf Instagram an

 

Das nächste Mal beiße ich! 🐶 #sap #sapadmin #sapbasis #dogsofinstagram

Ein Beitrag geteilt von RZ10.de (@rz10_de) am

Meine nächsten Events

Live-Webinar: SAP besser absichern und berechtigen
Mein Kollege Luca Cremer und ich geben am 13.08.2020 ab 13 Uhr ein Live-Webinar. In diesem Webinar erfahren Sie, wie Sie Ihr SAP System absichern und die Berechtigungen aktuell und sicher halten. Seien Sie gerne dabei!
Mehr Informationen zum Webinar

Überblick der neuen Inhalte auf RZ10.de | Juli 2020

Bereinigung von RFC-Schnittstellen
RFC-Schnittstellen werden bei Audits immer wieder als potenzielles Sicherheitsrisiko entlarvt. Angreifer könnten über die Schnittstellen an sensible Daten im SAP-System kommen. Unternehmen sollten daher regelmäßig die RFC-Schnittstellen bereinigen und optimieren. Welche Wege und Tools sich dafür eigenen, erfahren Sie in diesem Beitrag.
Artikel lesen

Sicherheitslücke SAP AS JAVA, Fiori-Nutzung messen, neue RZ10.de E-Books | RZ10 live vom 29.07.2020
Die SAP Basis & Security Themen der Woche vom 29.07.2020: Sicherheitslücke SAP AS JAVA, Wie kann man die Fiori-Nutzung messen, neue RZ10.de E-Books und natürlich eure Fragen an RZ10 🙂
Artikel lesen | Video ansehen

2-Faktor-Authentifizierung: So wichtig wie nie
Aus dem privaten Umgang mit PayPal, Amazon oder der eigenen Hausbank ist 2-Faktor-Authentifizierung nur schwer wegzudenken. Doch auch für Ihr SAP-System sollte dieses sicherere Login-Verfahren bereits eingerichtet sein. Denn die aktuelle Krise macht es Angreifern nur noch einfacher die Passwort-Hürde zu durchbrechen.
Artikel lesen

E-Book: Fachartikel SAP Basis & Security – Ausgabe 2020
Sie verfolgen interessiert alle Blogbeiträge zum Thema SAP Basis & Security und nutzen gerne unsere Erfahrungen und Hilfestellungen zur Problemlösung? Wir haben ausgewählte Beiträge von RZ10.de aus dem Jahr 2019 und 2020 in unsere neue Ausgabe des E-Books “Fachartikel SAP Basis & Security” zum kostenlosen Download zusammengestellt. Über 900 Seiten geballtes Praxis-Wissen.
Artikel lesen

Wie Sie Ihr Team im Home-Office optimal organisieren können
Durch die Covid-19-Pandemie ist der Anteil der Arbeitnehmer im Home-Office stark angestiegen. Einige Unternehmen haben bereits geäußert, dass sie die Möglichkeit des Home-Office dauerhaft anbieten möchten. Das führt zu Veränderungen der bisherigen Team-Organisation, da sich bekannte Strukturen verändern.
Artikel lesen

Machine-Learning-Ansätze für mehr Sicherheit in Ihrem Unternehmen
Die meisten sicherheitskritischen Verstöße erfolgen durch Missbrauch oder Übernahme von Zugriffsberechtigungen. Mit Methoden des Machine Learning können Sie an dieser Stelle ansetzen. Die folgenden fünf Punkte zeigen, wie auf maschinellem Lernen basierende Ansätze helfen können, Ihr Unternehmen sicherer zu gestalten.
Artikel lesen

3 wichtige Tipps für den IT-Grundschutz im SAP-System
Im Großteil der SAP-Systeme unserer Kunden finden sich Eigenentwicklungen wieder. Selbstentwickelte ABAP-Programme stehen dabei meist in Verbindung mit Anpassungen der Geschäftsprozesse an das jeweilige Unternehmen. Das Problem hierbei ist, dass den Kunden oftmals die Gefahren, welche dabei entstehen können, nicht bekannt sind. In diesem Blogbeitrag erläutert mein Kollege Marcel Schumacher Ihnen die drei häufigsten Gefährdungen in Bezug auf den IT-Grundschutz im SAP-System.
Artikel lesen

E-Book: SAP Basis zum kostenlosen Download – Ausgabe 2020
Seit 2011 bieten wir Know-How und Dienstleistungen auf rz10.de zum Thema SAP Basis an. Als Dankeschön für unsere Leser und Kunden haben wir auch dieses Jahr ausgewählte Fachbeiträge zum Thema SAP Basis als aktualisiertes E-Book zum kostenlosen Download bereitgestellt.
Artikel lesen

SAP Security Patch Day: Schwachstellen in SAP NetWeaver AS JAVA [Exploit verfügbar]
Der SAP Security Patch Day im Juli liefert eine Security Note mit dem Topscore 10 von 10. Dabei führt der SAP NetWeaver AS JAVA keine Authentifizierungsprüfung durch. Einem Angreifer wird somit ermöglicht, volle Kontrolle über das SAP Java-System zu erhalten. Update: Ein Beispiel-Exploit ist verfübar.
Artikel lesen

Homeoffice und COVID-19: Der Supergau für Ihre IT-Sicherheit?
Der Ausbruch von COVID-19 machte Homeoffice zu einem der führenden Arbeitskonzepte des Landes. Dieser rasante und teilweise unkontrollierte Anstieg hat jedoch diverse Schwierigkeiten und Gefahren in Sachen System- und Datensicherheit offen gelegt. Denn um ihre Arbeitsfähigkeit zu erhalten, wurden Mitarbeiter ohne weitere Einschränkungen, Anweisungen oder Sicherheitsvorkehrungen aus dem Büro in ihr Zuhause entlassen.
Artikel lesen

E-Book: SAP Cloud Services zum kostenlosen Download
Als Dankeschön für unsere treuen Leserinnen und Leser haben wir ein neues E-Book zum Thema SAP Cloud Services zum kostenlosen Download bereitgestellt. Damit gibt es die Erfahrungen und Hilfestellungen unserer Experten-Autoren zum Thema SAP Cloud Services zum praktischen Offline-Download.
Artikel lesen

SAP-Fiori: Überarbeitete Kataloge in Rollen aktualisieren
Sobald in SAP Fiori ein Kachelkatalog angepasst wird, müssen auch die zugehörigen Rollen aktualisiert werden. Wie Sie das Rollenmenü mit SAP Standardmitteln am besten abgleichen, erfahren Sie in diesem Blogbeitrag.
Artikel lesen

Welche SAP-Version habe ich?
Wenn es neue Hinweise oder Support Packages von der SAP gibt, möchte man manchmal in Erfahrung bringen, ob diese auch zum eigenen System passen. Und dafür sollte man die SAP-Version parat haben. Im Beitrag habe ich eine kurze Anleitung erstellt, mit der Sie in wenigen Klicks herausfinden, auf welchem Versionsstand Ihr SAP Systems ist.
Artikel lesen

SAP GRC in der Cloud – SAP Cloud Identity Access Governance
Sie nutzen SAP Governance Risk & Compliance (SAP GRC) Access Control zur Überwachung von Risiken in ihren SAP-Systemen? Als On-Premise-Lösung ist SAP GRC Access Control nicht in der Lage, die Cloud-Lösungen der SAP, wie SAP Cloud Platform oder SAP SuccessFactors zu überwachen. Um dort Zugriffsrisiken zu erkennen, bietet SAP den Service Cloud Identity Access Governance (SAP IAG) an.
Artikel lesen

SAP Cloud Identity kompakt(er),Q&A zur SAP Überwachung, SAP Learning Hub für Studenten | RZ10 live vom 01.07.2020
Die SAP Basis & Security Themen der Woche vom 01.07.2020: SAP Cloud Identity kompakt(er),Q&A zur SAP Überwachung, SAP Learning Hub für Studenten, Lesetipps und eure Fragen an RZ10 🙂
Artikel lesen| Video ansehen

Neues aus unserem Know-How-Bereich

SAP Web IDE
Die Entwicklung von mobilen Applikationen und Cloud-basierten Anwendungen wird im SAP-Umfeld immer wichtiger. SAP selbst bietet hierzu die Entwicklungsumgebung SAP Web IDE an. Mit dem Tool lässt sich die Entwicklung und Erweiterung von SAP-Fiori- und SAPUI5-Apps umsetzen.
Artikel lesen

Business Technology Platform
Die Business Technology Platform von SAP ist ein integriertes Angebot, das vier Technologieportfolios umfasst. Den Anwendern sollen dadurch flexible Möglichkeiten unterbreitet werden – sie können verschiedene SAP-Technologien auswählen, um ein Verständnis in die Daten und Prozesse der Anwendungen zu bekommen. Die Services der Technologieportfolios sollen Unternehmen ermöglichen, ihre Daten in Geschäftswert bzw. geschäftlichen Nutzen umzuwandeln.
Artikel lesen

Das war unser Best-of Juli. Schön, dass Sie es bis hierhin geschafft haben. Oder scrollen Sie erst mal unverbindlich? Nicht schlimm. Wenn Sie mögen gibt es mein monatliches Editorial auch bequem per Mail: Best-of SAP Basis & Security abonnieren


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support