SAP Penetration Test

Wir decken Sicherheitsrisiken auf

Mit unserer langjährigen Erfahrung führen wir gemeinsam mit Ihnen einen Penetration Test (kurz Pentest) in Ihrem Unternehmen durch. In unserem Pentest werden mit den Mitteln und Werkzeugen eines Hackers kontrollierte Angriffsszenarien gegen Ihr SAP-System gefahren, um die Verletzbarkeit des SAP-Systems festzustellen.
Vor dem Pentest wird eine Risiko-Betrachtung durchgeführt, da sich Bedrohungsvektoren je nach Unternehmensbranche unterscheiden und anders zu bewerten sind.

Ablauf des Penetration Tests

In unserem Penetration Test setzen wir auf einen Grey Box Test und White Box Test, anstatt auf einen Black Box Test. Beim Black Box Test greift der Pentester zwar komplett ohne jede Hilfe von außen an, jedoch erfordert dieser Test eine Abstimmung mit allen Unternehmensbereichen und ist mit einer Laufzeit von mehreren Monaten sehr aufwendig.

Beim Grey Box Test führt unser Experte mithilfe einer definierten Hacker-Software verschiedene potenzielle Angriffsszenarien auf Ihr SAP-System durch. Unser Angreifer versucht – über die intern zugängliche Infrastruktur – die SAP-Systeme zu hacken. Dieses Angriffsszenario entspricht einem Eindringling, der von innen herauskommt (z.B. SysAdmin, etc.), aber keinen Zugang zum SAP-System selbst hat.

Beim anschließenden White Box Test wird ein SAP-Scanner eingesetzt, um Sicherheitslücken in Ihrem SAP-System zu identifizieren. Der White Box Test wird als Nachbereitung und Verifizierung des Grey Box Tests durchgeführt. Unser SAP-Scanner überprüft Ihr SAP-System auf mehr als 1500 bekannte Schwachstellen und liefert Ihnen somit ein komplettes Bild des Sicherheitszustandes Ihres SAP-Systems. Unser Scan wird zusätzlich begleitet von einem aktiven, kundenbezogenen Einzelcheck, da ein standardisierter Scan die kundeneigene Umgebung oft nicht ausreichend berücksichtigt.

Der Pentest findet auf der Infrastrukturebene statt. Das heißt, die Netzwerk-Sicht und die Sicht von außen auf Datenbank, Anwendungsserver und Message-Server sowie auf Dienste wie SAP Gateway, etc. sind die anvisierten Angriffsziele. Zum Test der Infrastruktur gehören neben einer manuellen Analyse der kundenspezifischen Einzelheiten des Netzwerkes und der Basis-Server, auch der Einsatz standardisierter System-Scanner, analog zum White Box Test. Die Werkzeuge unserer Experten für den Bereich Hacking und Penetration Test sind so optimiert, dass ein kompletter Pentest in nur wenigen Stunden bei Ihnen vor Ort durchgeführt werden kann.

Ergebnisse auf einen Blick:

• Vorbereitung und vertragliche Aufbereitung des SAP Penetration Test in Ihrem Unternehmen (DSGVO-konform)
• Durchführung eines Penetration Tests vor Ort in Ihrem Unternehmen
• Besprechung der Ergebnisse mit der SAP-Basis-Gruppe des IT-Centers
• Diskussion der Sicherheitsaspekte des optionalen SAP Code Scan mit der Anwendungsprogrammierung
• Allgemeine Bewertung und Präsentation des Abschlussberichts unseres Pentesters
• Analyse der Ergebnisse durch unsere Experten

Die erstellten Dokumente werden wir Ihnen im Anschluss an den Pentest natürlich zukommen lassen. Darin dokumentiert sind auch Zusatzinformation, wie z.B. Log-Files.
Mithilfe unseres Penetration Test kennen Sie anschließend jede Sicherheitslücke Ihres SAP-Systems und können somit auf jedes mögliche Angriffsszenario reagieren.