SAP Security Audit Log – Eckstein der SAP Sicherheit in allen SAP Landschaften

Der Eckstein einer jeden SAP Security Strategie ist der Security Audit Log. Es sollte das Kernstück einer jeden SAP Security Strategie sein. Dieser Log ist von SAP so implementiert worden, dass er alle sicherheitsrelevanten Protokoll-Einträge, von falscher Passwort-Eingabe über externen RFC-Aufrufe bis hin zu Manipulationen an Transaktionen via Debugger, in eine Datei auf dem SAP-Server…

Kontrollierter Massenangriff auf das eigene SAP-System?

Crowd Based Pen Testing Was halten Sie von der Idee, mehrere Hundert Hacker gleichzeitig auf Ihre SAP-Landschaft los zu lassen, um mehr Erkenntnisse über Ihre SAP-Sicherheit zu bekommen? Es ist eine ziemlich gute Idee. Denn gerade für SAP-Systeme werden diese neuen Wahrheiten, diese neuen Benchmarks und Erkenntnisse für die eigene SAP Sicherheit des Unternehmens gebraucht.…

Die Säulen der SAP Sicherheit

Seit es vor mehreren Jahren es wichtig wurde, dass Sicherheits-Analysen wie SAP Penetration Tests durchgeführt werden, hat es sich auch gezeigt, dass in diesen Tests immer wieder drei große Themen als sicherheitstechnische Herausforderungen sich heraus gebildet haben. DIese Tests zeigen immer wieder die drei Grundstützen, auf denen sich eine allgemeine SAP Sicherheit aufbaut und zusammen…

Der SAP 5-Minuten Hack

Auf meinen letzten Beitrag „Anatomie eines Pen Tests“ habe ich viele Reaktionen bekommen – natürlich ist ein SAP Hack immer ein spannendes Thema. Und natürlich wollen jetzt alle wissen, wie der 5-Minuten Hack so funktioniert. Gerne würde ich jetzt schreiben, wie viele Jahre Forschung und Entwicklung in solch einen Extrem-Hack eingeflossen sind, aber die Wirklichkeit…

SAP ABAP Code Security : Neue Serie

Ein wichtiger Bereich der SAP-Sicherheit, der erst in den letzten Jahren aktuell wurde, ist die Analyse der kundeneigenen SAP-Programme, die klassisch in der proprietären SAP-Sprache ABAP geschrieben werden. Auch hier können, wie in jeder Programmiersprache, klassische Sicherheitslücken programmiert werden – sei es nun bewusst oder unbewusst. Allerdings sind die Muster selbst deutlich anders gelagert als…

Ein Hackerspace entsteht

Nach 30 Jahren, in dem es im beruflichen Umfeld immer nur um Software ging, war es Zeit, dass etwas spannendes passierte. Wenn man SAP-Projekte macht, sei es nun auf lokaler oder internationaler Ebene, sollte es wohl immer spannend sein. Das ist sicher wahr, aber wie alles, was man sehr lange macht, verliert auch das größte…

SAP-Hack Deutsche Autobahn AG: The Fast & The Fastest – Bankrott in einem Tag

In 2012 haben amerikanische Behörden unter Führung der SIFMA ein „Cyber Attack Scenario“ für die Wall Street organisiert. Verschiedene Banken, öffentliche Institutionen und einige private Firmen nahmen an der Übung teil. Die meisten Teilnehmer arbeiteten von Ihren angestammten Arbeitsplätzen aus, gesteuert von einem zentralen „War Room“. Das Szenario war ein verteilter, vielfältiger Angriff auf OIT,…

SAP ABAP Code Security: SYS CMD Execution

Ein wichtiger Bereich der SAP-Sicherheit, der erst in den letzten Jahren aktuell wurde, ist die Analyse der kundeneigenen SAP-Programme, die klassisch in der proprietären SAP-Sprache ABAP geschrieben werden. Auch hier können, wie in jeder Programmiersprache, klassische Sicherheitslücken programmiert werden – sei es nun bewusst oder unbewusst. Allerdings sind die Muster selbst deutlich anders gelagert als…

Anatomie eines SAP Penetration Tests

Halten Sie es für möglich, das man in 2 Stunden ein komplettes SAP-System kompromitieren kann?   Vorbereitung Der SAP-Bereich ist vielleicht der kritischste im Bereich Penetration Test. Hier laufen in der Regel alle Unternehmensprozesse bzw. alle kritischen Unternehmensprozesse. Hier muss ein mehrjähriges Verständnis für SAP-Umgebungen vorhanden sein. Im kritischen Betriebsumfeld eines professionell geführten SAP-Systems haben…