RZ10 live @home – SAP Basis & Security vom 15.04.2020

Autor: Tobias Harmes | 15. April 2020

24 | #rz10update, #story

SAP Basis & Security Themen der Woche: SAP Security Patch Day, Die häufigsten Fragen zum Berechtigungskonzept, Capture the Flag u.v.m. - Zu Gast bei Tobias Harmes im Zoom-Hangout: Luca Cremer, Fachbereichsleiter bei mindsquare für SAP Security.

Livestream auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Gast: Luca Cremer / Fachbereichsleiter bei mindsquare für SAP Security

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

Feedback? harmes@rz10.de

Die Themen

SAP Security Patch Day

Der Security Patch Day von SAP findet jeden zweiten Dienstag im Monat statt. Dort stellt SAP wichtige Security-Updates vor. Außerdem gibt es ein Scoring, welches anzeigt, wie gefährlich die Sicherheitslücke hinter dem jeweiligen Patch ist. Im März und April gab es einige Patches, die den Solution Manager betreffen  und insgesamt fünf Patches mit der höchsten Priorität – ein Blick hierein lohnt sich also: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=544214202

Capture the Flag

Den Begriff Capture the Flag kennen einige vielleicht aus dem Gaming-Umfeld. Die SAP selbst nutzt das zu Trainingszwecken, um spielerisch Systeme zu hacken. Bei Capture the Flag werden Systeme zu spielerischen Zwecken aufgesetzt, mit dem Ziel diese anschließend zu hacken. Dabei wird sogar eine Art Flagge im System versteckt, die der Gewinner “erreichen” muss. Ich wünsche mir das auch speziell für SAP. Wer Lust hat, daran mitzuarbeiten kann sich gerne melden: info@rz10.de

Häufige Fragen zu SAP Berechtigungen

Wann ist die Revision eigentlich mal zufrieden?

Das kommt drauf an. Natürlich haben die Revisionen (egal ob extern oder intern) unterschiedliche Anforderungen je nach Branche des Unternehmens. Eine Bank wird beispielsweise eine höhere Compliance-Anforderung haben als eine Molkerei. Trotzdem ist es so, dass die Revision Findings meldet, diese behoben werden und beim nächsten Audit wieder neue Findings auftreten. Das wirkt wie eine nie enden wollender Prozess, doch kann man hier durchaus proaktiver handeln. Wir empfehlen: in den Dialog mit den Revisoren gehen und daran arbeiten, wie man sich verbessern kann. Security Checks können hierbei auch helfen, diese zeigen Probleme auf, die anschließend behoben werden können und die Revision wird beruhigt.

Für wen ist eigentlich das SAP-Berechtigungskonzept?

Das SAP-Berechtigungskonzept ist ein übergeordnetes Regelwerk und definiert, wie in einem Unternehmen die Berechtigungsadministration aussieht. Das ist in erster Linie für die Mitarbeiter selbst wichtig, insbesondere für die Administratoren, die auch damit arbeiten. Auch wenn externe Dienstleister beauftragt werden, erhalten diese mit dem Berechtigungskonzept einen Überblick und können nach diesen Vorgaben arbeiten. Außerdem kann das Berechtigungskonzept vorgelegt werden, falls mal jemand beim Admin mit: “Ich brauche mal SAP_ALL” ankommt. Diese Bitte kann man dann mit dem Verweis auf das Regelwerk ablehnen, da es dort schwarz auf weiß steht. Außerdem ist es auch für die Revisoren wichtig. Die sehen das gerne, wenn das Unternehmen ein definiertes Regelwerk vorweisen kann.

Wie kann man den Aufwand im SAP-Security-Umfeld minimieren?

Zuerst sollte man schauen, was die Punkte sind, die viel Arbeit machen. Denn die Ursache kann verschiedener Natur sein. Gibt es beispielsweise viel Aufwand durch das Zurücksetzen von Passwörtern? Da lohnt sich ein Blick auf die Passwortrichtlinien oder es empfiehlt sich das Einrichten eines Passwort-Self-Services. Wenn es viele Berechtigungsanfragen gibt, lohnt sich der Blick auf das Rollenkonzept – ist das noch passend? Generell rentiert es sich, bestimmte Workflows mit Tools zu automatisieren.

Ihr habt auch eine Frage? Gerne in die Kommentare, via RZ10 Fragen oder live im Chat bei YouTube.

Alle Videos und alle Streams auch auf unserem YouTube-Kanal.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice