SAP Security Patch Day, Sicherer Zugriff auf Fiori, Weihnachtsgewinnspiel | RZ10 Update – November 2021
Autor: Tobias Harmes | 11. November 2021
Im RZ10 Update spreche ich über aktuelle Themen und News in der Welt von SAP Basis & Security. Die Themen vom November 2021: Der SAP Security Patch Day, sicherer Zugriff auf Fiori und unser Weihnachtsgewinnspiel.
…auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Feedback? harmes@rz10.de
…zum Lesen
Security Patch Day im November
Am 09.11.2021 war, wie an jedem zweiten Dienstag im Monat, wieder der SAP Security Patch Day. Dabei wurden fünf Security Hinweise veröffentlicht, von denen ein Patch in der höchsten Stufe “HotNews” mit einem Score von 9/10 bewertet wurde.
Hier handelt es sich um den Hinweis 3099776 [CVE-2021-40501] Missing Authorization check in ABAP Platform Kernel, also um eine fehlende Berechtigungsprüfung. Konkret verbirgt sich dahinter, dass der SAP Kernel bestimmte Berechtigungsprüfungen wie z.B. die Prüfung auf den Transaktionscode bei Trusted-Verbindungen vom Typ RFC und HTTP unter gewissen Bedingungen nicht durchführt.
Trusted-Verbindungen sind gerade in Mehrsystemlandschaften nichts Ungewöhnliches und werden auch in Fiori-Setups verwendet. Ein Anwender könnte hier mehr Daten sehen oder auch Daten verändern, auf die er auf dem Zielsystem eigentlich keine Berechtigung haben sollte.
Mit dem Kernelpatch soll das behoben werden. Für die SAP ABAP Platform Kernel Versionen 7.77, 7.81, 7.85 und 7.86 gibt es dafür bereits ein Update. Wer eine nicht aufgeführte Kernel-Version hat, muss entweder auf ein Update warten oder den neuesten Kernel aktualisieren.
Ansonsten war der Security Patch Day diesen Monat nicht so voll. Wer also noch Patches aus vorherigen Monaten nachholen muss, bekommt jetzt die Gelegenheit dafür.
Sicherer Zugriff auf Fiori-Anwendungen
Das nächste Thema unseres Updates ist der sichere Zugriff auf Fiori-Applikationen. An der Stelle würde ich gerne auf einen Artikel von meinem geschätzten Kollegen Tobias Schießl verweisen, der für die Abteilung Mission Mobile der mindsquare AG tätig ist. Während ich oft im Fokus habe, wie Berechtigungen abgesichert werden, spricht mein Kollege hier also über die Sicherheit des Zugriffs auf interne Fiori-Anwendungen über das Internet. Gerade für den Zugriff über mobile Endgeräte ist das ein hilfreicher Artikel. Im Wesentlichen behandelt der Beitrag die folgenden drei Varianten des Fiori Zugriffs:
- Die Einrichtung des SAP Cloud Platform Portals
- Die Freigabe des Fiori Launchpads im Gateway per Reverse Proxy
- Mit Hilfe eines VPN Clients auf einem mobilen Endgerät
Um den Zugriff auf interne Fiori-Anwendungen zu ermöglichen, können Sie zwischen den drei folgenden Verfahren wählen. Jede dieser Möglichkeiten hat ihre Vor- und Nachteile und nicht jede Option ist für jedes Unternehmen, jedes Projekt und jede Vorgehensweise gleichermaßen geeignet. Weitere Informationen gibt es hier.
Veranstaltungshinweise
Crashkurs-Termine für S/4HANA und Fiori Berechtigungen
Um ein sicheres Fiori geht es auch in dieser Veranstaltung: In unserem Crashkurs S/4HANA und Fiori Berechtigungen erhalten Sie in einem halbtägigen Online-Learning alle nötigen Infos, um das neue Fiori-App-Konzept der SAP und S/4HANA skalierbar und optimal zu berechtigen. Die nächsten Termine sind am 17.11.2021 und am 15.12.2021. Womöglich wäre das für alle etwas, die jetzt zum Jahresende noch etwas Schulungsbudget offen haben und an einer vierstündigen “Druckbetankung” zum Thema interessiert sind. Weitere Informationen dazu und die Möglichkeit zur Anmeldung gibt es hier.
RZ10 Webinare
- Am 16.11.2021: Wie kann ich SAP einfach in meine IT-Security integrieren?
In diesem Webinar geben wir Ihnen einen Einstieg in das Thema SAP Sicherheit. Sie erfahren, was Sie als IT-Verantwortlicher über die Integration der SAP-Landschaft in Ihre Security beachten müssen. Wir klären typische Missverständnisse, stellen hilfreiche Tools vor und teilen unsere Erfahrung aus der Praxis.
Zur Anmeldung - Am 01.12.2021: Das richtige Tool für SAP Security Monitoring und Logfile-Überwachung finden
Im Webinar klären wir, wie Angriffe auf SAP toolgestützt rechtzeitig erkannt werden können. Wir stellen Tools für das Security Monitoring und die Threat Detection vor und zeigen, worauf man bei der Tool-Auswahl achten sollte.
Zur Anmeldung
RZ10 Weihnachtsgewinnspiel
Das Jahr neigt sich dem Ende und wir von RZ10 möchten euch etwas zurückgeben. Als Dank für unsere treuen Leserinnen und Leser verlosen wir zu Weihnachten 2021 eine RZ10-Geschenkbox mit Goodies und einigen Überraschungen für echte SAP’ler und IT’ler.
Wer Lust auf diese IT-affine Überraschungsbox hat, muss dazu einfach das Formular auf dieser Seite ausfüllen und uns einmal verraten, über welche Themen wir im Jahr 2022 berichten sollen. Dabei ist völlig egal, ob ihr euch ein Webinar wünscht, einen Artikel oder etwas völlig anderes. Nennt uns euren Content-Wunsch und schon seid ihr im Los-Topf!
Teilnahmeschluss ist der 02.12.2021. Den Gewinner oder die Gewinnerin werden wir im Anschluss an die Auslosung kontaktieren, damit euch die Geschenkbox rechtzeitig zu Weihnachten erreicht.
Wie immer gibt es weitere Tipps und Hinweise auf unserer Website oder auf unserem YouTube-Kanal. Außerdem freue ich mich auch über Feedback per Mail an harmes@rz10.de.
