Security Patch Day, IT Sicherheitsgesetz 2.0, Doku automatisieren | RZ10 Update vom 12.05.2021

…auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

…als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

Feedback? harmes@rz10.de

…zum Lesen

Security Patch Day im Mai

Am 12. Mai war wieder Security Patch Day. Diesmal wurden sechs Security Hinweise thematisiert, wovon fünf Updates sind. Drei dieser Updates sind Bestandteil der Hot News und ebenfalls aus vorherigen Patch Days bekannt. Des Weiteren wurde auf eine neue Sicherheitslücke aufmerksam gemacht.

• Die erste Hot News Benachrichtigung betrifft das anhaltende Problem mit dem SAP Business Client bei Google Chromium, keine Besonderheiten. 2622660 Security updates for the browser control Google Chromium delivered with SAP Business Client
• Das zweite Hot News ist auch ein Update und betrifft SAP Commerce. Hier sind scheinbar keine Veränderungen zu sehen, da der Diff keine Unterschiede angezeigt hat. 3040210 \[CVE-2021-27602\] Remote Code Execution vulnerability in Source Rules of SAP Commerce
• Das dritte Hot News betrifft das Update in SAP BW/4HANA, wobei neue Patch Stände hinzugekommen sind. 2999854 \[CVE-2021-21466\] Code Injection in SAP Business Warehouse and SAP BW/4HANA
• Neu dazugekommen, aber mit einem geringeren Score ist die Sicherheitslücke mit dem Code Injection Vulnerability in SAP NetWeaver AS ABAP. Für Benutzter, die noch NetWeaver 7.00 bis 7.31 im Einsatz haben, ist dieser Hinweis relevant, da ein Report gelöscht wurde. Mit dem Report RDDPUTJR haben der Benutzter nun die Möglichkeit ohne weitreichende Berechtigungen, Schadcode zu injizieren oder Daten abzuräumen. 3046610 \[CVE-2021-27611\] Code Injection vulnerability in SAP NetWeaver AS ABAP

IT-Sicherheitsgesetz 2.0 passiert Bundesrat

Das IT-Sicherheitsgesetz betrifft Unternehmen und Organisationen, die als Betreiber kritischer Infrastrukturen gewertet werden und somit für das öffentliche Leben von hoher Relevanz sind. Im Rahmen des IT-Sicherheitsgesetzes 2.0 werden für KRITIS-Betreiber die Pflichten im Bereich der IT Sicherheit verschärft.

Zu diesen Pflichten gehört die Implementierung von Systemen zur Angriffserkennung. Da das Anschalten des Security Audit Logs nun nicht mehr genügt, werden Intrusion Systems (IDS) und spezielle Security Information Event Management (SIEM)-Lösungen eingesetzt, um sowohl den Datenverkehr als auch Protokolle auf Angriffe zu prüfen.

Weiterhin soll die Ausarbeitung von Reaktionsplänen mithilfe von Desaster-Recovery-Szenarien im Fall einer massiven Versorgungsstörung ein möglichst effektives Instandsetzen der Arbeitsfähigkeit gewährleisten. Diesbezüglich ist ein regelmäßiger Nachweis erforderlich, welcher beispielsweise mit einer entsprechenden ISO-Zertifizierung erfolgen kann.

Dokumentation automatisieren mit Mermaid

Mit Mermaid können Diagramme und Flowcharts aus einem Text erstellt werden, ohne, dass die Dokumentation mithilfe eines Grafikprogrammes auf dem aktuellen Stand gehalten werden muss. Mermaid ist komplett textgesteuert. Somit können Dokumentationen automatisch via Script geupdatet werden. Neben einem Browser Editor gibt es auch eine Vielzahl an Plugins.

Folglich erweist sich Mermaid in großen Betriebsumgebungen als besonders hilfreich, da die Entwickler möglichst viel Zeit in die Programme investieren sollen. Jedoch entsteht ohne eine Dokumentation Chaos, sodass keiner die Programme betreiben kann.

Webinar-Empfehlungen in eigener Sache

Im Mai finden folgende RZ10-Webinare zu den Themen Berechtigungen, S/4HANA und Solution Manager statt, zu denen Sie sich noch anmelden können. Die Teilnahme ist wie immer kostenlos:

• SAP S/4HANA – Was Sie beim Thema Berechtigungen beachten sollten am 19.05.2021
• Hysterisch gewachsene Berechtigungen loswerden am 20.05.2021
• Solution Manager für Transport & Release Management am 27.05.2021

Wie immer gibt es weitere Tipps und Hinweise auf unserer Website, in unseren anderen Webinaren oder auf unserem YouTube-Kanal. Außerdem freue ich mich auch über Feedback per Mail an harmes@rz10.de.