Best-of März 2019 | RZ10.de SAP Basis & Security | 29.03.2019
Autor: Tobias Harmes | 29. März 2019
Wir schreiben den 29.03.2019. Neben unserem Best-of der SAP Basis & Security-Inhalten aus dem März 2019 beschäftige ich mich mit der Frage, ob Greta Thunberg ein Vorbild sein kann für all die ungehörten SAP Security Propheten in einem Unternehmen.
Es ist ganz schön viel passiert im März. Also politisch. Der sogenannte Upload-Filter wurde im EU-Parlament angenommen. Hier haben alle Demonstrationen letztlich nicht mehr geholfen. Heise Online hatte dazu auch den meiner Meinung nach passenden Slogan abgelichtet: „Lasst euch das Internet doch wenigstens kurz erklären bevor ihr es kaputt macht!“.
Überhaupt – man geht wieder demonstrieren. Tausende von Schülerinnen und Schüler nehmen sich ein Beispiel an Greta Thunberg und treten für den Klimaschutz ein.
Hier hat eine junge Schwedin eine weltweite Bewegung in Gang gesetzt. Auf einem der Plakate habe ich gelesen: „It’s time for a change when children act as leaders and leaders act like children.” Das hat mich beeindruckt.
Bringt mich auf mein Lieblingsthema SAP Security. In meinen Vorträgen bekomme ich regelmäßig gespiegelt, dass man ja im Punkt Systemstabilität und Security gerne mehr machen würde – es gibt dafür aber kein Budget. Stattdessen wird die Devise rausgegeben: „Fachbereichsprojekte haben Vorrang!“ Wartungsfenster für Security Patches und Support Packages Stacks? Nicht bewilligt. „Lasst euch das SAP doch wenigstens kurz erklären bevor ihr es kaputt macht!“ möchte ich auch dem einen oder anderen Entscheider zurufen. Sind die Entscheider denn dumm? Nein, sind sie natürlich nicht. Sie handeln nach bestem Wissen und Gewissen. Sie priorisieren, sie budgetieren und treffen eine Entscheidung. Und die lautet leider oft: „zu teuer“ oder (wieder einmal) „machen wir nächstes Jahr“.
Das bedeutet doch: es ist noch nicht angekommen, was auf dem Spiel steht. Das Risiko ist noch nicht klar geworden, der aktuelle Zustand des Systems so verständlich wie ein Raketenantrieb für einen Lungenarzt. Kann man da nichts machen? Ich glaube doch. Zum Beispiel indem in dem Sie anfangen Plakate zu malen. Nein, das ist keine Anstiftung zum Aufstand. Na ja, vielleicht doch ein bisschen. Wann haben Sie das letzte Mal anderen etwas über Security im SAP beigebracht? Wann war die letzte Infoveranstaltung von Ihnen für interne Mitarbeiter zum Thema Security Awareness? Wann haben Sie System-Protokolle auf Unregelmäßigkeiten analysiert und gesagt: „hier wurden Daten manipuliert“? Vielleicht sogar: „hier wurden wir schon bestohlen“? Können Sie Ihrem Geschäftsführer im Fahrstuhl auf der Fahrt nach unten erklären, warum SAP_ALL Mist ist? Gehen Sie voran in Ihrem Unternehmen. Wenn Sie besonders mutig sind, können Sie sogar mit den Kollegen von der Revision gemeinsam beim nächsten Kaffee am passenden Elevator Pitch feilen. Bleiben Sie nicht stehen – es ist ja schließlich auch Ihr Arbeitsplatz. Make the world Greta again! 🙂
Viel Spaß mit den Inhalten aus dem März.
PS: Wenn Sie Inspiration für das Thema Security Awareness suchen, treffen Sie uns doch bei der SAP Security Group in Düsseldorf. Dort veranstalten wir einen Workshop zu diesem Thema.
PPS: Wenn Sie diesem Thema so gar nichts abgewinnen können, seien Sie mir bitte nicht böse. Wenn Sie es doch sind, schicken Sie mir bitte eine Mail und sagen Sie mir Ihre Meinung.
PPPS: In jedem Fall habe ich einen Podcast-Tipp: Herr Grönemeyer, warum werden Sie von den Deutschen so geliebt?. Die Fröhlichkeit von Herbert Grönemeyer ist einfach ansteckend – genau das Richtige bei dem Wetter und mit 5 Stunden 14 Minuten Länge auch schon fast ein Hörbuch.
Die nächsten Events
Treffen Sie uns bei der SAP Security Group in Düsseldorf vom 09.-10.05.2019
Als Einzelkämpfer ein SAP System abzusichern ist heutzutage kaum möglich. Im Mai gibt es glücklicherweise wieder die Gelegenheit sich zum Thema SAP Security mit anderen Unternehmen auszutauschen. Unser Partner Xiting lädt ein zum 5. Treffen der SAP Security Group (SSG) – und wir sind aktiv dabei.
Jetzt kostenlosen Platz sichern (Weiterleitung zum Anmelde-Formular auf xiting.ch)
Artikel lesen
Überblick der neuen Inhalte auf RZ10.de März 2019
Große Spool-Aufträge und Listen in eine Datei exportieren
Wenn eine sehr große Liste oder Tabelle aus dem System heruntergeladen werden soll, dann ist das bei mehr als 1000 Seiten kaum mehr über die üblichen „Liste sichern als…“-Wege möglich. Über den Umweg eines Spool-Auftrags gelingt es doch.
Artikel lesen
Wie bleibt man up2date im Bereich SAP Basis und Security?
Mit meiner Kollegin Sophie Piumelli spreche ich darüber, wie ich im Bereich SAP Basis & Security und auch im Allgemeinen Schritt halte mit den Weiterentwicklungen und neuen Themen. Was sind Wissensquellen und Strategien für „frischen“ Input?
Artikel lesen | Video ansehen
Sicherheitsupdate schließt Lücken in PuTTY, Filezilla und WinSCP
Der unter Windows verbreitete SSH-Client PuTTY weist mehrere Sicherheitslücken auf. Ein Sicherheitsupdate von PuTTY 0.71 behebt daher alle potenziellen Sicherheitslücken. Auch Filezilla und WinSCP bekommen ein Sicherheitsupdate.
Artikel lesen
SAP Solution Manager 7.2 Demo-System kostenlos nutzen
Für den Know-How-Transfer bietet SAP eine frei-zugängliche Demo-Landschaft für den SAP Solution Manager an. Damit kann der SAP Solution Manager kostenlos ausprobiert werden.
Artikel lesen
Dann leiten Sie unseren Newsletter gerne weiter. Wir freuen uns über Ihre Empfehlung!
Anmelden unter: https://rz10.de/newsletter/
Security Audit Log auswerten und verstehen
Das Security Audit Log stellt im SAP Standard eine wichtige Möglichkeit dar, auffälliges Nutzer- oder Systemverhalten aufzudecken und so Missbrauch oder Fehler zu erkennen. Um die Funktionalität nutzen zu können muss das Security Audit Log (SAL) ausgewertet und verstanden werden. In diesem Beitrag möchte ich Ihnen die Auswertung und Interpretation des SAL näherbringen.
Artikel lesen
Splunk als übergreifendes SIEM Tool auch für SAP
Splunk kann als SIEM-Tool Informationen über Nutzeraktivitäten, Maschinenverhalten und Sicherheitsgefährdungen korrelieren, auswerten und visualisieren. Dadurch können Angriffe auf die IT schnell erkannt und Gegenmaßnahmen ergriffen werden – auch in Verbindung mit SAP.
Artikel lesen
Kernel Parameter für das SAP Security Audit Log (SAL) – Vorsicht vor Inkonsistenzen
Seit dem Releasestand SAP ERP 6.0 EHP 7 hat sich in Sachen „Security Audit Log“ (SAL) Grundlegendes geändert. Mit den dynamischen Kernel-Parametern sind neue Möglichkeiten hinzugekommen, die auch Auswirkungen auf das bekannte Customizing haben – und die Sie kennen sollten.
Artikel lesen
SAP Support-Backbone Update – rechtzeitig Solution Manager aktualisieren und umstellen
Der SAP Support Backbone ist die zentrale Infrastruktur für den technischen Support von SAP für ihre Kunden. Dieser Support Backbone ist erneuert worden und der alte Zugang wird nun abgeschaltet. Wichtig daher für alle: Vor Januar 2020 auf den neuen Backbone umstellen. Und das geht nur mit der aktuellen Version des Solution Manager 7.2.
Artikel lesen
SAP Berechtigungen – Die Wichtigkeit eines guten Berechtigungskonzepts
Die vorausschauende Beschäftigung mit SAP Berechtigungen bzw. SAP Security sichert Ihren Unternehmenserfolg. Doch warum wird meistens erst gehandelt, wenn es eigentlich zu spät ist?
Artikel lesen
SAP Benutzerverwaltung on-premise und cloud – worauf achten?
Nicht erst seit, aber spätestens mit der Einführung von Cloud Services bekommt das Thema IDM und Benutzerverwaltung im SAP einen neuen Höhenflug. Jonas Krüger und ich sprechen über Kriterien und Erfahrungen bei der Auswahl von Identity Management Lösungen und welche Fragen mit auf die Liste an die Hersteller sollten.
Artikel lesen | Video ansehen
FireFighter, Emergency-User & Co. – Software für ein SAP Notfallbenutzerkonzept
Es ist nicht zu vermeiden: manchmal muss die SAP-Administration trotz aller Sorgfalt unter Umgehung des Transportwesens direkt auf das Produktivsystemen mit den rechnungslegungsrelevanten Daten zugreifen. Um hier revisionssicher zu agieren benötigt es ein Konzept und am Besten auch eine Software, die entsprechende Leitplanken bietet.
Artikel lesen
Tipp: Kurs SAP Cloud Platform Essentials – Update Q2/2019
Ab April beginnt die neue, komplett überarbeitete Version des Online-Kurses SAP Cloud Platform Essentials auf openSAP. Die SAP Cloud Platform ist aus Sicht von SAP die digitale Plattform innerhalb des Intelligent Enterprise. Wer hier Wissen aufbauen will, kann sich ab sofort auf openSAP kostenlos in den Kurs einschreiben.
Artikel lesen
Schiefstände durch Transporte beheben
In diesem Blog-Beitrag zeige ich Ihnen, wie Sie Schiefstände und Inkonsistenzen in Ihrer Systemlandschaft analysieren und beheben können.
Artikel lesen
SAP Pentest Favoriten: Angriff via Code Injection
Eine Code Injection ist einer der Haupt-Sicherheits-Risiken von Anwendungen, die Eingaben von Usern weiterverarbeitet. Und deshalb ist es auch ein wichtiges, wenngleich oft verborgendes Problem bei SAP ABAP Programmen. Bei SAP-Penetration-Tests (kurz Pentest) sollte daher mindestens eine ABAP Code Analyse durchgeführt werden, um typische Angriffspunkte für Code Injections in der Programmierung aufzudecken.
Artikel lesen
Grundlegendes über SAP Workprozesse
In einem SAP System auf Basis eines ABAP Application Server gibt es verschiedene Workprozesse. Diese erfüllen ihre eigenen, unterschiedlichen Funktionen. In diesem Blogbeitrag lernen Sie die verschiedenen Typen an Workprozessen kennen und deren Unterscheidung in der Transaktion SM50.
Artikel lesen
Kostenloses E-Book SAP Basis – das RZ10.de Kompendium Auflage 2019
Seit 2011 bieten wir Know-How und Dienstleistungen auf rz10.de zum Thema SAP Basis an. Als Dankeschön für Ihre Treue liebe Leser und Kunden haben wir ausgewählte Fachbeiträge zum Thema SAP Basis als aktualisiertes E-Book zum kostenlosen Download bereitgestellt.
Artikel lesen
Expert Session mit Tobias Harmes
Eine Expert Session ist eine interaktive Websession, in der Sie Ihre Fragen live und direkt stellen können. Durch dieses Format kann ich Fragen beantworten oder sogar Probleme lösen, die wir sonst nur im Rahmen von größeren Beratungsaufträgen und mit mehr Vorlaufzeit realisieren können.
Mehr Infos
Neues aus unserem Know-How-Bereich
Die SAP Cloud Platform hilft dabei Cloud-native Technologien zu nutzen und On-Premise-Software zu erweitern. Die Cloud-basierte Plattform benötigt Sicherheitsmaßnahmen auf der Seite des Softwareanbieters (SAP) und der Seite der Benutzer der Plattform. Die SAP Cloud Platform bietet dabei Maßnahmen, um die Sicherheit und den Datenschutz der Cloud und des Benutzers zu gewährleisten.
Artikel lesen
SAP Cloud Platform ist ein Platform as a Service Angebot der SAP und stellt Dienste für die Entwicklung, Integration und das Anwenden von modernen Cloud-Anwendungen und kundenindividueller Erweiterung von Cloud- und On-Premise Landschaften zur Verfügung.
Artikel lesen
Das SAP Cloud Platform Portal dient dazu, Websites für Endbenutzer aufzubauen und Zugriffe auf Geschäftsinhalte für den internen und externen Einsatz anzubieten.
Artikel lesen
SAP ERP 6.0 – Enhancement Package 8 (EHP 8)
Das SAP ERP 6.0 Enhancement Package 8 (EHP 8) ist das neueste Erweiterungspaket, das Innovationen für installierte SAP ERP Systeme bereitstellt und eine Grundlage für den Übergang zu S/4HANA schafft.
Artikel lesen
Meine persönliche Lieblinks für März 2019
Wie du Rollen und Berechtigungen im SAP-System analysierst
Welcher SAP-Benutzer darf eigentlich worauf zugreifen? Worin unterscheiden sich zwei ähnliche Rollen?
Lesen auf doktorerp.de
SAP HCM 2023 – wie geht es weiter?
Verlagere ich meine HCM-Lösung in die Cloud (SuccessFactors) oder bleibe ich On-Premise? Weil nicht alle SAP-Kunden in die Cloud wollen oder können, hatte SAP Anfang 2018 eine SAP HCM On-Premise-Variante für S/4HANA angekündigt, die ab 2023 verfügbar sein soll.
Lesen auf it-onlinemagazin.de
SM30 – diese Optionen verstecken sich hinter dieser SAP-Transaktion.
Die Pflegemöglichkeiten von Tabellen basieren im SAP-System vielfach – insbesondere im Customizing – auf sogenannte Pflegeviews. Ein Beispiel solcher Pflegeviews ist die V_T184 – Positionstypenzuordnung.
Lesen auf thinkdoforward.com
Customer name ranges for SAP objects
Ein Blick auf die Kundennamensbereiche im SAP und wie man „böse“ Codes identifizieren kann.
Lesen auf daniel-berlin.de
Berechtigungen für Batch-Verarbeitung im SAP NetWeaver und S/4HANA-Umfeld
Batch-Verarbeitung und Berechtigungen ist für viele Unternehmen immer noch eine offene Flanke. Der Artikel nimmt die relevante Batch-Verarbeitungen und Berechtigungsobjekte sehr schön unter die Lupe.
Lesen auf securityblog.akquinet.de
Beitrag
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
…auf YouTube
Auf dem Laufenden bleiben
XING | LINKEDIN
FACEBOOK | TWITTER