Best-of SAP Basis & Security | Mai 2019
Autor: Tobias Harmes | 29. Mai 2019
Wir haben Ende Mai 2019. Wir haben einige interessante Beiträge zu unserem Best-of der SAP Basis & Security-Inhalte für den Mai zusammengetragen – dazu später mehr. Zunächst möchte ich über "Die Zerstörung der CDU" sprechen. Und was Unternehmen davon vielleicht lernen können...
Der mir vorher unbekannte YouTuber Rezo hat mit seinem Video “Die Zerstörung der CDU” einen viralen Treffer gelandet. Polemisch und pointiert zweifelt er Position und Kompetenz der CDU und anderer Parteien bei diversen Themen an. Die Antwort der Volkspartei CDU: nach langem Hin und Her (Video-Antwort erst ja, dann nein) fünf Tage später: ein 11-seitiges PDF. Ein PDF. Ja, das ist wohl bei den Erstwählen nicht so gut angekommen. Einen vergleichbaren Effekt könnte ich vermutlich erzielen, wenn ich auf einer Bewerbermesse potenziellen IT-Mitarbeitern für den Bereich SAP die Vorzüge der SAP GUI erkläre. Unter SAP Release 4.6D.
Jetzt kann man zum Inhalt des Rezo-Videos stehen wie man will. Aber auf jeden Fall zeigt es sich, dass selbst eine täglich im Rampenlicht stehende Volkspartei wie die CDU nicht bereit ist für einen Angriff aus dem digitalen Raum. Und deshalb finde ich, dass es ein Lehrbeispiel ist für das, was bei vielen Mittelständlern und Konzernen bei einem Datenschutzvorfall passiert. Man schwankt zwischen Kämpfen, Fliehen und Totstellen. Bis dann das kommt, was man immer gemacht hat: Ein PDF rausschicken. („Wir hätten auch Fax gehabt!“).
In allen Unternehmen gibt es Notrufnummern. In allen Unternehmen gibt es Feuerschutzübungen. Ersthelferausbildung. Backup- und Recoverystrategien bei einem Brand im eigenen Rechenzentrum. Aber eine Krypto-Wurm-Attacke auf die eigene Infrastruktur oder Datendiebstahl von eigenen Mitarbeitern – keine einzige Zeile Konzept, geschweige denn Training. Und das obwohl auch deutsche Firmen wie Beiersdorf und Deutsche Bahn 2017 die IT-Infrastruktur inklusive des Telefonnetzes verloren haben und tagelang um Kontrolle kämpfen mussten. Tja, liegt vielleicht daran, dass es die Unternehmen heute immer noch gibt. Vielleicht auch, weil man gut versichert war. Dass das nicht unbedingt schützt, musste unlängst Mondelēz erfahren. Etwas gemein ist da sicherlich, wenn man mal laut über eine andere Art der Gegenfinanzierung zu Cyberschäden nachdenkt: zum Beispiel die verseuchten Laptops zu versteigern.
Zum Glück zeigen auch einige Firmen, wie man es besser macht. Das Security Awareness Programm von Henkel zum Beispiel. Hier wird nicht nur der Nutzen für das Unternehmen, sondern auch der Nutzen für den jeweiligen Mitarbeiter im Blick gehalten. Liebe Kolleginnen und Kollegen bei Henkel, ich würde das gerne auch mal probieren ?.
Übrigens: Die DSAG hat einen ausgewählten Kreis von Mitgliedern erneut zum Thema SAP-Sicherheit befragt und nun die Ergebnisse veröffentlicht. 170 Teilnehmer haben teilgenommen. Bei der Frage nach „Wünschen Sie sich mehr ‚Security by default‘ seitens der SAP“ antworteten knapp 84% mit ja. Was steckt da drin? Bequemlichkeit? Ja, selbst wenn, warum denn nicht? Ist es zu viel verlangt, dass der Hersteller einer komplexen Softwarearchitektur mehr Hilfestellung jenseits von Security Guides gibt? Ich denke nicht. Denn ansonsten wird es immer wieder 10KBLAZE-Situationen geben, bei denen Admins eiskalt auf ein vielleicht altes – aber manchmal halt trotzdem noch nicht repariertes Security-Problem unsanft aufmerksam gemacht werden.
Ich wünsche Ihnen genügend Zeit, sich gegen den Angriff aus dem digitalen Raum zu wappnen – und einen guten Start in den Juni.
Herzliche Grüße
Ihr Tobias Harmes
Jetzt erst einmal viel Spaß mit den Inhalten aus dem Mai:
Die nächsten Events
Treffen Sie uns beim Networking Brunch SAP Berechtigungen
am 19.06.2019 in Frankfurt am Main
Wir veranstalten am 19.06.2019 in Frankfurt am Main einen Networking Brunch zum Thema SAP Berechtigungen. Einen Vormittag lang gibt es die Gelegenheit, sich beim Brunchen mit Gleichgesinnten auszutauschen. Ich würde mich sehr freuen, Sie dort zu sehen!
Jetzt einen Platz sichern
Artikel lesen
Überblick der neuen Inhalte auf RZ10.de Mai 2019
Das WOTAN Monitoring ermöglicht IT-Verantwortlichen und Administratoren eine Überwachung von allen laufenden SAP Systeme in Echtzeit. Ich habe mit Philipp Ghirardini von der Firma Wotan Monitoring GH-Informatik über die Funktionsweise und die Vorteile des WOTAN Monitorings gesprochen.
Artikel lesen
Das SAP_ALL Profil ist die umfangreichste Berechtigung in einem SAP-System. Deshalb sollte sie eigentlich auch kein Benutzer haben. Aber wenn sie doch gebraucht wird, dann sollte sie bitte auch funktionieren. Wie eine Regenerierung sowohl manuell als auch automatisch funktioniert, erfahren Sie in diesem Beitrag..
Artikel lesen
„Die Anderen haben keine Ahnung von SAP Security“ – Vortrag auf der SAP Security Group 2019
Auf der SAP Security Group 2019 habe ich über eine der größten Herausforderungen im IT-Bereich gesprochen: den Know-How Aufbau und Wissenstransfer. Wie wir miteinander und voneinander lernen können? Die Antwort: zeigen, erzählen und vernetzen!
Artikel lesen
Dann leiten Sie unseren Newsletter gerne weiter. Wir freuen uns über Ihre Empfehlung!
Anmelden unter: https://rz10.de/newsletter/
E-Book: SAP Solution Manager zum kostenlosen Download – Ausgabe 2019
Als Dankeschön für unsere treuen Leserinnen und Leser haben wir nach 2017 nun erneut alle Fachbeiträge zum Thema SAP Solution Manager als neues E-Book zum kostenlosen Download bereitgestellt. Damit gibt es die Erfahrungen und Hilfestellungen unserer Experten-Autoren zum Thema SAP Solution Manager zum praktischen Offline-Download.
Artikel lesen
Kommentar zum 10KBLAZE Exploit: SAP Admin = Mensch
Der Umgang mit dem SAP Exploit namens 10KBLAZE (seit Heartbleed braucht man immer coole Namen) löst die eine oder andere Verunsicherung aus. Der von Herstellern angeschriebene CEO ruft den CIO her und der bestellt seine SAP Admins ein: wer hat hier geschlafen? Doch den SAP Admins die Schuld zu geben ist zu einfach.
Artikel lesen
Massensperren von Usern mit SECPOL
Bei komplexen Updates oder Wartungen in SAP-Systemen kann es notwendig sein, dass eine große Anzahl an Usern kurzfristig gesperrt werden muss. Wie das mit der Nutzung der Security Policy funktionieren kann, erklärt dieser Beitrag.
Artikel lesen
10KBLAZE Exploits: Erhöhtes Risiko für ungesicherte SAP Systeme
Sicherheitsexperten warnen vor Risiken bei unzureichend abgesicherten SAP-Installationen, die durch den Exploit Baukasten namens 10KBLAZE leicht ausgenutzt werden können. Laut Schätzungen können 9 von 10 SAP Systemen betroffen sein.
Artikel lesen
Stirbt die SAP Basis an der Cloud?
Was kann man als Administrator für SAP Basis tun, um das SAP System hinsichtlich Cloud-Lösungen zukunftssicher und effizient auszubauen? Gibt es überhaupt noch eine Aufgabe in Zukunft? Ich denke schon. Für viele allerdings anders als bisher.
Artikel lesen
Upgrade auf EHP 8 inklusive Unicode Migration
Ein Upgrade auf EHP 8 für SAP ERP 6.0 bildet eine effiziente Grundlage für den Übergang zu SAP S/4HANA. EHP 8 ist allerdings auch das erste Enhancement Package, das keine Unterstützung für Non-Unicode-Systeme anbietet. Um das eigene SAP-System zukunftssicher auszubauen, sollte über ein Upgrade nachgedacht werden.
Zum Angebot
Expert Session mit Tobias Harmes
Eine Expert Session ist eine interaktive Websession, in der Sie Ihre Fragen live und direkt stellen können. Durch dieses Format kann ich Fragen beantworten oder sogar Probleme lösen, die wir sonst nur im Rahmen von größeren Beratungsaufträgen und mit mehr Vorlaufzeit realisieren können.
Mehr Infos
Neues aus unserem Know-How-Bereich
SAP Test Data Migration Server (TDMS)
Der SAP Test Data Migration Server (TDMS) kann Ihnen helfen, kleine, einfach zu wartende Nicht-Produktionsumgebungen mit konsistenten, relevanten Auszügen aus Geschäftsdaten zu erstellen, Infrastruktur- und Wartungskosten zu minimieren und gleichzeitig die Effektivität und Genauigkeit Ihrer Entwicklungs-, Test- und Trainingsaktivitäten zu maximieren.
Artikel lesen
SAP wird mit einer Handvoll Reporting-Dienstprogramme ausgeliefert, darunter die query-basierten Reporting-Dienstprogramme SAP Query und Ad Hoc Query (InfoSet Query). Es gibt auch ein Dienstprogramm namens SAP QuickViewer (Transaktionscode SQVI), das für die schnelle Datenbeschaffung zur Verfügung steht.
Artikel lesen
Ein Penetrationtest (Pen-Test) ist ein simulierter Angriff auf das Netzwerk, SAP-System oder andere potenziell anfällige Bereiche des SAP-Systems. Das Unternehmen setzt beim Pentest einen Sicherheitsexperten als potenziellen Hacker ein. Dieser simuliert tatsächliche Angriffsszenarien und erkennt die Sicherheits-Schwachstellen im System.
Artikel lesen
SAP Single Sign-On (SSO) ist ein Softwareprodukt von SAP und ermöglicht Benutzern mit einem einzigen Log-In einen zentralen Zugriff auf alle vernetzten Systeme des SSO. Wenn der User sich zentral durch SSO angemeldet hat, ist es also bei der Verwendung anderer Portale oder Systeme nicht mehr notwendig ein weiteres Passwort zu verwenden.
Artikel lesen
Meine persönliche Lieblinks für Mai 2019
10KBLAZE and SAP (From an administrative point)
Welche Schritte kann man – nach der Veröffentlichung des 10KBLAZE-Artikels von Onapsis – unternehmen, um den Schutz der SAP Systeme zu gewährleisten?
Lesen auf blogs.sap.com
Say “Prost” to Productivity With Ruum by SAP
Ein neuer Ansatz für die Zusammenarbeit bringt eines der traditionellsten Getränke der Welt ins 21. Jahrhundert.
Lesen auf news.sap.com
Wie SAP das Problem der „indirekten Nutzung“ beseitigen will
Nach gut einem Jahr ist die Kundenresonanz auf SAPs Lizenzlösung für den indirekten Zugriff „Digital Access“ überschaubar. Nun versucht der Softwarehersteller die Anwender mit einem Adoption Program und finanziellen Vorteilen für das Lizenzmodell zu ködern.
Lesen auf computerwoche.de
Beitrag
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
…auf YouTube
Auf dem Laufenden bleiben
XING | LINKEDIN
FACEBOOK | TWITTER