Partnerschaft mit der Werth IT

 

 

Unser Partner - die Werth IT und das Produkt AUDITOR

Die permanente Aufrechterhaltung der Sicherheit hochkomplexer SAP-Systeme ist für moderne Unternehmen eine enorme Herausforderung. Eine Überwachung der SAP-Systeme stellt hierbei eine wichtige Funktion beim Sicherheitsprozess dar. Die Werth IT bringt ihre Expertise und ihre Ressourcen mit ein und gibt uns große Möglichkeiten bei Analyse und Pen Testing der Kundenumgebung. Mit der kontinuierlichen Überwachung der SAP-Systeme hat das Unternehmen stets seinen aktuellen Sicherheitslevel im Blick. Dies beinhaltet sowohl die Top-Risiken als auch den Umsetzungsstatus der Risikobehebung. Gleichzeitig wird die Einhaltung von Compliance-Richtlinien überwacht.

Halten Sie es für möglich, das man in 2 Stunden ein komplettes SAP-System kompromitieren kann? Wir halten es in 90% aller Fälle für möglich.

Als Partner der Firma Werth IT benutzen wir das integrierte Werkzeug "SAP Auditor" für die Durchführung aller Penetrations im SAP-Bereich. Dieses Werkzeug bietet alles, um einen kompletten Pen-Test in der Regel in wenigen Stunden durchzuführen. Dieses Werkzeug kann auf jedem beliebigen Desktop oder Laptop installiert werden bzw. ist auf den Laptops unserer Berater komplett vorinstalliert.

Vorbereitung

Der SAP-Bereich ist vielleicht der kritischste im Bereich Penetration Test. Hier laufen in der Regel alle Unternehmensprozesse bzw. alle kritischen Unternehmensprozesse. Hier muss ein mehrjähriges Verständnis für SAP-Umgebungen vorhanden sein. Im kritischen Betriebsumfeld eines professionell geführten SAP-Systems haben Berufsanfänger oder umgeschulte Quereinsteigen und Neulinge nichts zu suchen. Dazu ist alles, was in diesem Bereich stattfindet, zu kritisch und muss durch mehrjährige Erfahrung an Systemen abgesichert sein. Es ist wichtig, eine Vertrauensbasis mit allen Beteiligten aufzubauen. Ein Pen Tester ist kein Held, der alles durchbricht und dann sich feiern lässt, sondern er soll dem Kunden die Sicherheitslücken aufzeigen, die unternehmenskritisch sind. Das geht nur gemeinsam als Partner mit dem Kunden bzw. den Netzwerk-Spezialisten des Kunden

Idealerweise ist dem Pen-Test eine Risiko-Betrachtung vorangegangen, die Risiko-Cluster definiert. So kann z.B. eine Lücke in einem bestimmten Risiko Kontext extrem schwierig sein, wobei sie in einem anderen Kontext keine Rolle spielt.

Varianten des Penetration Test

Es gibt drei Varianten, die man beim Pen Test unterscheidet.

Festlegung Black Box Test

Der Pen Tester bekommt gar nichts gesagt. Er muss komplett von Außen eindringen können ohne jede Hilfe. Er darf aber sehr wohl alle Möglichkeiten ausschöpfen wie Phishing (gefälschte emails) Waterholing (gezieltes Angreifen von Fachgruppen wie SysAdmins in einem Unternehmen) oder solche Dinge wie Einschleusen von USB Sticks etc. Dies muss aber alles juristisch dokumentiert sein

Festlegung Grey Box Test

Das normale, gemeinsame Verständnis ist für einen Grey bzw. White Test vor Ort ist: Der Pen-Tester bringt einen Laptop, lässt die MAC Adresse registrieren. Der Laptop hat einen Virenscanner und definierte Software aufgespielt, die auf Wunsch dokumentiert wird. Er versucht, über die interne Infrastruktur, die zugänglich ist, die SAP-Systeme zu hacken. Dieses Szenario entspricht einem Eindringling, der von Innen kommt (SysAdmin etc) aber keinen Zugang zum SAP System selber hat.

Festlegung White Box Test

Der Pen Tester bekommt Zugang und einen Administrations-Benutzer auf dem System. Dies dient zur qualifizierten Kontrolle und Analyse des Systems. Auch qualifizierte Betrachtungen einzelner Konfigurationen können so erfolgen. Der „White Box Test“ wird üblicherweise als Nachbereitung und Verifizierung nach einem „Black Box“ oder „Grey Box“ Test gemacht.

Infrastruktur

Die Pen Tests für SAP finden normalerweise nur auf der Infrastrukturebene statt. Das heißt, die Netzwerk-Sicht und die Sicht von Außen auf Datenbank, Anwendungsserver und Message-Server sowie auf Dienste wie SAP Gateway etc. sind die Angriffsziele.

SAP Anwendung

Herkömmliche Angriffsverfahren, wie sie bei Web-Anwendungen realisiert werden, sind im Bereich SAP komplett sinnlos, da SAP als Laufzeitumgebung niemals in einen ungesicherten Zustand fällt. Deshalb kann ein solches Verfahren auch nicht funktionieren. Dies geht ausschließlich über Source-Analysen. Hierfür stehen in SAP prinzipiell Werkzeuge wie der SAP Code Inspektor zur Verfügung. Dies ist in der Regel nicht Bestandteil eines klassischen Penetration Test.

Dokumentation

Ein seriöser Penetration Tester wird immer alle Schritte dokumentieren und alle Zusatzinformationen wie log-Files etc. zur Verfügung stellen. Die Ergebnisse werden alle dokumentiert und zu jedem Angriffs-Punkt, der gefunden wird, wird auch eine Anleitung zur Behebung gegeben („Mitigation“)

Abschluß-Gespräch

Es finden mehrere Sessions statt. Zum ersten werden die Ergebnisse mit der SAP-Basis-Gruppe des IT-Centers besprochen. Es gilt vor allem, hier gegen eine zu definierende Baseline zu bewerten, die gemeinsam festgelegt werden muss.

Parallel müssen Sicherheitsaspekte des optionalen SAP Code Scan mit der Anwendungsprogrammierung diskutiert werden.

Die Ergebnisse muss der Pen Tester dann in eine allgemeine Bewertung und einen Abschluss –Bericht überführen, die mit allen Beteiligten abgestimmt ist. Wichtig ist hier, dass vor allem kritische Bewertungen mit dem Unternehmen diskutiert werden, ob „kritisch“ auch in dem jeweiligen Sicherheits-Kontext gilt.

Interessiert an einem Termin?

IT-Sicherheit
Made in Germany

Sicherheit in SAP-Systemen

„Das kann bei uns nie passieren”

Ein oft gehörter Satz bei Kunden, denen die aktuelle Statistik des BSI entspricht, die von über 50% der Unternehmen ausgehen, die Angriffe nichtmelden

mehr info

Werth IT - Unser Partner für Penetration Test Software

Penetration Testing benötigt Werkzeuge, die immer aktuell sind. Manchmal sogar tagesaktuell. In der deutschen Werth IT haben wir einen Partner gefunden, der, wie wir, auf nationaler und internationaler Ebene aktiv ist und als Partner uns bei großen Kunden immer unterstützt. Intensive Arbeit im Sicherheitsbereich bedeutet auch, vertrauenswürdig und in jeder Situation professionell zu sein. Das schätzen wir an unserem Partner, auch über Landesgrenzen hinweg.

Unser Partner Werth IT