SlideShare una empresa de Scribd logo

Die Top 5 Mythen der SAP Sicherheit

Virtual Forge
Virtual Forge

Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen SAP Security - DSAG Jahreskonferenz 2013

1 de 23
Descargar para leer sin conexión
Dr. Markus Schumacher, Virtual Forge GmbH Ralf Kempf, akquinet AG Die Top 5 Mythen der SAP Sicherheit Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen
2 SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit? 1. Mythos: Rollen und Berechtigungen – wir sind sicher! 2. Mythos: Wir nutzen SAP nur im Intranet 3. Mythos: Wir nutzen nur den Standard. 4. Mythos: Hacker kennen sich mit SAP nicht aus 5. Mythos: Sicherheit ist ein Problem der SAP, nicht von uns AGENDA
SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?
4 Evolution der SAP Landschaft Früher Heute Morgen • Isolierte Systeme • Lange Release-Zyklen • Geringe Angriffsfläche • Security durch Firewalls • Offene Systeme • Erhöhte Release-Zyklen • Netzwerkgrenzen verschwinden • Cloud-basierte Anwendungen • Hacker Angriffe (s. Nachrichten) • Weiter Öffnung d. Systeme • Sehr hohe Release-Zyklen • Verbundene Netze • IT-basierte Spionage (PRISM, etc.) • Cyber Attacks & Wirtschaftsspionage
1. Mythos Rollen und Berechtigungen – wir sind sicher!
6 Wir haben ein Berechtigungskonzept. Deswegen sind wir sicher!  Was ist mit der Absicherung der SAP Basis, Server und Datenbank?  Kundenreports und Transaktionen prüfen meistens keine Berechtigungen! Durch laufende SoD Analysen wird Missbrauch verhindert  Kritische Basisberechtigungen werden bei SoD Analysen oft nicht behandelt  Missbrauch durch Umgehung der Schutzmaßnahmen wird nicht erkannt (Tabellenpflege, Transporte, Datenbankmanipulationen) SA38 können bei uns alle Benutzer. Das ist doch unkritisch.  Aber was ist z.B. mit ABAP RS_REPAIR_SOURCE  Direkte Code Manipulation in ungepatchten Systemen (Hinweise 1167258 und 1853161)  Oder ABAP RC1TCG3Y/ RC1TCG3Z  Unix File Up- und Download (Hinweise 1552798 und 1505368) Mythos: Rollen und Berechtigungen – wir sind sicher!
7 Demo: Betriebssystemzugriff durch SA38 Rechte Step 1: rfcexec.sec herunterladen Step 2: Deny all durch permit all ersetzen Step 3: rfcexec.sec hochladen Step 4: Unix/Windows Befehl als SIDADM per SA38 ausführen.
2. Mythos Wir nutzen SAP nur im Intranet
9 Wirklich nur im Intranet? Wir finden Dich! Google is Hacker‘s Best Friend!
10 Risiken  In vielen Fällen Sicherheistbewusstsein nur wenig ausgeprägt.  Bedrohungen durch Innentäter erscheinen im Unternehmen als unvorstellbar.  Einfachste Angriffswege auf Webservices, J2EE Systeme und Gateways möglich.  SAPGUi Datenstrom kann abgehört werden ! Wettbewerbsvorteile in Gefahr  Spionage, Diebstahl, Sabotage, Korruption, oder IT-Kriminalität Bedrohung durch Innentäter Quelle:
11 Demo: Datenklau durch die Hintertür ...
3. Mythos Wir nutzen nur den Standard
13 Oftmals unklar, wieviel Eigenentwicklungen im System sind  62,5 % Wahrscheinlichkeit einer ABAP Command Injection  100 % Wahrscheinlichkeit eines Berechtigungsfehlers  95,83% Wahrscheinlichkeit eines Directory Traversals Anonymisierte Analyse von 60 Kundensystemen / Ø 1,65 Mio. Lines of Code pro Scan (Stand: Mai 2012) ~ 1 kritische Sicherheitslücke pro 1.000 Zeilen ABAP™-Code
14 Eigenentwicklungen  Umgehen oft Rollen- und Berechtigungen  Beispiel: Aufrufen von Transaktionen – ohne Berechtigung Demo: Ausnutzen typischer Sicherheitslücken
15 Fehlende SAP Security Notes machen es Angreifern leicht SAP Security Notes werden monatlich am 2. Dienstag veröffentlicht  Kein Kunde spielt wirklich alle WICHTIGEN Notes ein.  Frage: Wie stellen SIE fest was für IHRE Systeme wichtig ist? Bekannte Lücken bleiben komplett oder für lange Zeit ungepatcht  Trügerische Sicherheit, da die Mehrzahl der Angriffe von innen kommt.  Angreifer fokussieren sich auf bekannte Lücken. Lücken in nicht verwendeten Anwendungen werden nicht gepatcht  Dem Angreifer ist es egal ob SIE die Anwendung brauchen.  Er wird immer die einfachste und mächtigste Lücke ausnutzen.
16 Demo: Benutzer in J2EE per CTC Service anlegen Lücken im J2EE CTC Framework  CTC Service für Benutzerpflege können ohne Authentifizierung gerufen werden  Beispiel: Anlage eine neuen J2EE Administrators
4. Mythos Hacker kennen sich mit SAP nicht aus
18 Verteilung der SAP Security Notes  Betrachtung der letzten 12 Monate  Im Durchschnitt 41,2% - und das sind die Guten! Was machen die Bösen? Immer mehr Sicherheitsexperten beschäftigen sich mit SAP
19 Google: SAP SECURITY EXPLOITS Google: SAP HACKING Immer mehr „Sicherheitsexperten“ beschäftigen sich mit SAP
20 Standardvorgehen von Hackern: „Directory Traversal“. Geht auch bei SAP Systemen Schutz durch geeignete Validierungsfunktionen  SAP note 1497003 (“Potential directory traversals in applications”)  Funktion (FILE_VALIDATE_NAME) Demo: Auslesen/Überschreiben von Dateien
5. Mythos Sicherheit ist ein Problem der SAP, nicht von uns
22 ... der Kunde  Nicht der Hersteller (modulo Fahrlässigkeit)  Nicht der Hoster / Outsourcer Wie geht SAP Sicherheit?  Viele, viele Leitfäden  Unzählige Tools für Administratoren / Entwickler  Hohe Komplexität! Merke: SAP Sicherheit ist mehr als nur Berechtigungen zu verwalten !  System Hardening planen und umsetzen  SAP Systeme gesamtheitlich sehen  Audits und Pen Tests ausführen Verantwortlich für die Sicherheit ist immer ...,
Dr. Markus Schumacher markus.schumacher@virtualforge.com Twitter: @virtual_forge / @codeprofiler Blog: https://www.virtualforge.com/de/blog.html Ralf Kempf ralf.kempf@akquinet.de

Recomendados

Was kann denn schon passieren? Sicherheit in Magento-Shops
Was kann denn schon passieren? Sicherheit in Magento-ShopsWas kann denn schon passieren? Sicherheit in Magento-Shops
Was kann denn schon passieren? Sicherheit in Magento-ShopsAndreas von Studnitz
 
Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren WM-Pool Pressedienst
 
Magento Application Security [DE]
Magento Application Security [DE]Magento Application Security [DE]
Magento Application Security [DE]Anna Völkl
 
Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 
IT-Sicherheit in der Absurditäts-Falle
IT-Sicherheit in der Absurditäts-FalleIT-Sicherheit in der Absurditäts-Falle
IT-Sicherheit in der Absurditäts-FalleRolf Augstein
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
Risks of Hosted SAP Environments
Risks of Hosted SAP EnvironmentsRisks of Hosted SAP Environments
Risks of Hosted SAP EnvironmentsVirtual Forge
 
Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...
Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...
Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...Virtual Forge
 

Recomendados

Was kann denn schon passieren? Sicherheit in Magento-Shops
Was kann denn schon passieren? Sicherheit in Magento-ShopsWas kann denn schon passieren? Sicherheit in Magento-Shops
Was kann denn schon passieren? Sicherheit in Magento-ShopsAndreas von Studnitz
 
Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren Schutz vor noch unbekannten Viren
Schutz vor noch unbekannten Viren WM-Pool Pressedienst
 
Magento Application Security [DE]
Magento Application Security [DE]Magento Application Security [DE]
Magento Application Security [DE]Anna Völkl
 
Splunk und das Triage Tool THOR
Splunk und das Triage Tool THORSplunk und das Triage Tool THOR
Splunk und das Triage Tool THORGeorg Knon
 
IT-Sicherheit in der Absurditäts-Falle
IT-Sicherheit in der Absurditäts-FalleIT-Sicherheit in der Absurditäts-Falle
IT-Sicherheit in der Absurditäts-FalleRolf Augstein
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
Risks of Hosted SAP Environments
Risks of Hosted SAP EnvironmentsRisks of Hosted SAP Environments
Risks of Hosted SAP EnvironmentsVirtual Forge
 
Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...
Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...
Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...Virtual Forge
 
Uninvited Guests: Why do hackers love our SAP landscapes?
Uninvited Guests: Why do hackers love our SAP landscapes?Uninvited Guests: Why do hackers love our SAP landscapes?
Uninvited Guests: Why do hackers love our SAP landscapes?Virtual Forge
 
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...Virtual Forge
 
Is your SAP system vulnerable to cyber attacks?
Is your SAP system vulnerable to cyber attacks?Is your SAP system vulnerable to cyber attacks?
Is your SAP system vulnerable to cyber attacks?Virtual Forge
 
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...Virtual Forge
 
How to assess the risks in your SAP systems at the push of a button
How to assess the risks in your SAP systems at the push of a buttonHow to assess the risks in your SAP systems at the push of a button
How to assess the risks in your SAP systems at the push of a buttonVirtual Forge
 
Stabile und performante Anwendungen für SAP HANA entwickeln
Stabile und performante Anwendungen für SAP HANA entwickelnStabile und performante Anwendungen für SAP HANA entwickeln
Stabile und performante Anwendungen für SAP HANA entwickelnVirtual Forge
 
Transformacion del modelo de organización digital
Transformacion del modelo de organización digitalTransformacion del modelo de organización digital
Transformacion del modelo de organización digitalIEBSchool
 
Social Media in the Catholic Church of Upper Austria
Social Media in the Catholic Church of Upper AustriaSocial Media in the Catholic Church of Upper Austria
Social Media in the Catholic Church of Upper AustriaKirche 2.0
 
La formación permanente del profesorado en el uso innovador de las TIC.
La formación permanente del profesorado en el uso innovador de las TIC.La formación permanente del profesorado en el uso innovador de las TIC.
La formación permanente del profesorado en el uso innovador de las TIC.Gloria Alfaro Portero
 
Presentación Eliane Yumi Iwasaki - eRetail Day México 2014
Presentación Eliane Yumi Iwasaki - eRetail Day México 2014 Presentación Eliane Yumi Iwasaki - eRetail Day México 2014
Presentación Eliane Yumi Iwasaki - eRetail Day México 2014 eCommerce Institute
 
Carpa para boda
Carpa para bodaCarpa para boda
Carpa para bodaBC Carpas
 
Marketing your nonprofit
Marketing your nonprofitMarketing your nonprofit
Marketing your nonprofitGustavo Levy
 
Emailforum 2009 Brussels Presentation - Challenges of e-marketeers
Emailforum 2009 Brussels Presentation - Challenges of e-marketeersEmailforum 2009 Brussels Presentation - Challenges of e-marketeers
Emailforum 2009 Brussels Presentation - Challenges of e-marketeersCopernica BV
 
Malabares, un estilo de vida
Malabares, un estilo de vidaMalabares, un estilo de vida
Malabares, un estilo de vidaUniversidad Nacional Mayor de San Marcos
 
CV - Luis I Troconis G - 2015 - English
CV - Luis I Troconis G - 2015 - EnglishCV - Luis I Troconis G - 2015 - English
CV - Luis I Troconis G - 2015 - EnglishLuis Troconis Garanton
 
Take Data Validation Seriously - Paul Milham, WildWorks
Take Data Validation Seriously - Paul Milham, WildWorksTake Data Validation Seriously - Paul Milham, WildWorks
Take Data Validation Seriously - Paul Milham, WildWorksNodejsFoundation
 
Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...
Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...
Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...carlos marti ramos
 
Bob marley
Bob marleyBob marley
Bob marleyetoisolita
 
Lecciones de elocuencia_forense
Lecciones de elocuencia_forenseLecciones de elocuencia_forense
Lecciones de elocuencia_forenseJavier VG
 
FG Wilson Presentacion Telecom
FG Wilson Presentacion TelecomFG Wilson Presentacion Telecom
FG Wilson Presentacion Telecomrbyerlee
 
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk
 

Más contenido relacionado

Destacado

Uninvited Guests: Why do hackers love our SAP landscapes?
Uninvited Guests: Why do hackers love our SAP landscapes?Uninvited Guests: Why do hackers love our SAP landscapes?
Uninvited Guests: Why do hackers love our SAP landscapes?Virtual Forge
 
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...Virtual Forge
 
Is your SAP system vulnerable to cyber attacks?
Is your SAP system vulnerable to cyber attacks?Is your SAP system vulnerable to cyber attacks?
Is your SAP system vulnerable to cyber attacks?Virtual Forge
 
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...Virtual Forge
 
How to assess the risks in your SAP systems at the push of a button
How to assess the risks in your SAP systems at the push of a buttonHow to assess the risks in your SAP systems at the push of a button
How to assess the risks in your SAP systems at the push of a buttonVirtual Forge
 
Stabile und performante Anwendungen für SAP HANA entwickeln
Stabile und performante Anwendungen für SAP HANA entwickelnStabile und performante Anwendungen für SAP HANA entwickeln
Stabile und performante Anwendungen für SAP HANA entwickelnVirtual Forge
 
Transformacion del modelo de organización digital
Transformacion del modelo de organización digitalTransformacion del modelo de organización digital
Transformacion del modelo de organización digitalIEBSchool
 
Social Media in the Catholic Church of Upper Austria
Social Media in the Catholic Church of Upper AustriaSocial Media in the Catholic Church of Upper Austria
Social Media in the Catholic Church of Upper AustriaKirche 2.0
 
La formación permanente del profesorado en el uso innovador de las TIC.
La formación permanente del profesorado en el uso innovador de las TIC.La formación permanente del profesorado en el uso innovador de las TIC.
La formación permanente del profesorado en el uso innovador de las TIC.Gloria Alfaro Portero
 
Presentación Eliane Yumi Iwasaki - eRetail Day México 2014
Presentación Eliane Yumi Iwasaki - eRetail Day México 2014 Presentación Eliane Yumi Iwasaki - eRetail Day México 2014
Presentación Eliane Yumi Iwasaki - eRetail Day México 2014 eCommerce Institute
 
Carpa para boda
Carpa para bodaCarpa para boda
Carpa para bodaBC Carpas
 
Marketing your nonprofit
Marketing your nonprofitMarketing your nonprofit
Marketing your nonprofitGustavo Levy
 
Emailforum 2009 Brussels Presentation - Challenges of e-marketeers
Emailforum 2009 Brussels Presentation - Challenges of e-marketeersEmailforum 2009 Brussels Presentation - Challenges of e-marketeers
Emailforum 2009 Brussels Presentation - Challenges of e-marketeersCopernica BV
 
CV - Luis I Troconis G - 2015 - English
CV - Luis I Troconis G - 2015 - EnglishCV - Luis I Troconis G - 2015 - English
CV - Luis I Troconis G - 2015 - EnglishLuis Troconis Garanton
 
Take Data Validation Seriously - Paul Milham, WildWorks
Take Data Validation Seriously - Paul Milham, WildWorksTake Data Validation Seriously - Paul Milham, WildWorks
Take Data Validation Seriously - Paul Milham, WildWorksNodejsFoundation
 
Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...
Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...
Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...carlos marti ramos
 
Lecciones de elocuencia_forense
Lecciones de elocuencia_forenseLecciones de elocuencia_forense
Lecciones de elocuencia_forenseJavier VG
 
FG Wilson Presentacion Telecom
FG Wilson Presentacion TelecomFG Wilson Presentacion Telecom
FG Wilson Presentacion Telecomrbyerlee
 

Destacado (20)

Uninvited Guests: Why do hackers love our SAP landscapes?
Uninvited Guests: Why do hackers love our SAP landscapes?Uninvited Guests: Why do hackers love our SAP landscapes?
Uninvited Guests: Why do hackers love our SAP landscapes?
 
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
 
Is your SAP system vulnerable to cyber attacks?
Is your SAP system vulnerable to cyber attacks?Is your SAP system vulnerable to cyber attacks?
Is your SAP system vulnerable to cyber attacks?
 
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...
 
How to assess the risks in your SAP systems at the push of a button
How to assess the risks in your SAP systems at the push of a buttonHow to assess the risks in your SAP systems at the push of a button
How to assess the risks in your SAP systems at the push of a button
 
Stabile und performante Anwendungen für SAP HANA entwickeln
Stabile und performante Anwendungen für SAP HANA entwickelnStabile und performante Anwendungen für SAP HANA entwickeln
Stabile und performante Anwendungen für SAP HANA entwickeln
 
Transformacion del modelo de organización digital
Transformacion del modelo de organización digitalTransformacion del modelo de organización digital
Transformacion del modelo de organización digital
 
Social Media in the Catholic Church of Upper Austria
Social Media in the Catholic Church of Upper AustriaSocial Media in the Catholic Church of Upper Austria
Social Media in the Catholic Church of Upper Austria
 
La formación permanente del profesorado en el uso innovador de las TIC.
La formación permanente del profesorado en el uso innovador de las TIC.La formación permanente del profesorado en el uso innovador de las TIC.
La formación permanente del profesorado en el uso innovador de las TIC.
 
Presentación Eliane Yumi Iwasaki - eRetail Day México 2014
Presentación Eliane Yumi Iwasaki - eRetail Day México 2014 Presentación Eliane Yumi Iwasaki - eRetail Day México 2014
Presentación Eliane Yumi Iwasaki - eRetail Day México 2014
 
Carpa para boda
Carpa para bodaCarpa para boda
Carpa para boda
 
Marketing your nonprofit
Marketing your nonprofitMarketing your nonprofit
Marketing your nonprofit
 
Emailforum 2009 Brussels Presentation - Challenges of e-marketeers
Emailforum 2009 Brussels Presentation - Challenges of e-marketeersEmailforum 2009 Brussels Presentation - Challenges of e-marketeers
Emailforum 2009 Brussels Presentation - Challenges of e-marketeers
 
Malabares, un estilo de vida
Malabares, un estilo de vidaMalabares, un estilo de vida
Malabares, un estilo de vida
 
CV - Luis I Troconis G - 2015 - English
CV - Luis I Troconis G - 2015 - EnglishCV - Luis I Troconis G - 2015 - English
CV - Luis I Troconis G - 2015 - English
 
Take Data Validation Seriously - Paul Milham, WildWorks
Take Data Validation Seriously - Paul Milham, WildWorksTake Data Validation Seriously - Paul Milham, WildWorks
Take Data Validation Seriously - Paul Milham, WildWorks
 
Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...
Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...
Biodiversidad en la ciudad. Artículo publicado en nuestro último número de Ci...
 
Bob marley
Bob marleyBob marley
Bob marley
 
Lecciones de elocuencia_forense
Lecciones de elocuencia_forenseLecciones de elocuencia_forense
Lecciones de elocuencia_forense
 
FG Wilson Presentacion Telecom
FG Wilson Presentacion TelecomFG Wilson Presentacion Telecom
FG Wilson Presentacion Telecom
 

Similar a Die Top 5 Mythen der SAP Sicherheit

WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...Symantec
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_pptAndreas Pelka
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
SAP Infotag: Security / Erlebe-Software 07-2014
SAP Infotag: Security / Erlebe-Software 07-2014SAP Infotag: Security / Erlebe-Software 07-2014
SAP Infotag: Security / Erlebe-Software 07-2014Erlebe Software
 
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020data://disrupted®
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkQAware GmbH
 
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenDie hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenteam-WIBU
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenMag.Natascha Ljubic
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2Werner Buhre
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceMichael Moser
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 

Similar a Die Top 5 Mythen der SAP Sicherheit (20)

WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
WHITEPAPER; Achten Sie auf Ihre Daten: Sechs Verlustrisiken für Ihre mobilen ...
 
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit SplunkSplunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
Splunk Discovery Köln - 17-01-2020 - Security Operations mit Splunk
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
SAP Infotag: Security / Erlebe-Software 07-2014
SAP Infotag: Security / Erlebe-Software 07-2014SAP Infotag: Security / Erlebe-Software 07-2014
SAP Infotag: Security / Erlebe-Software 07-2014
 
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
Ransomware: Ohne Air Gap & Tape sind Sie verloren! – data://disrupted® 2020
 
Offensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit FrameworkOffensive Security – Das Metasploit Framework
Offensive Security – Das Metasploit Framework
 
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenDie hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für Handelsagenten
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerce
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Webinar–Segen oder Fluch?
Webinar–Segen oder Fluch?Webinar–Segen oder Fluch?
Webinar–Segen oder Fluch?
 
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeye...
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 

Más de Virtual Forge

How the U.S. Department of Defense Secures Its Custom ABAP Code
How the U.S. Department of Defense Secures Its Custom ABAP CodeHow the U.S. Department of Defense Secures Its Custom ABAP Code
How the U.S. Department of Defense Secures Its Custom ABAP CodeVirtual Forge
 
SAP HANA Security: New Technology, New Risks
SAP HANA Security: New Technology, New RisksSAP HANA Security: New Technology, New Risks
SAP HANA Security: New Technology, New RisksVirtual Forge
 
Develop Stable, High-Performance Applications for SAP HANA
Develop Stable, High-Performance Applications for SAP HANADevelop Stable, High-Performance Applications for SAP HANA
Develop Stable, High-Performance Applications for SAP HANAVirtual Forge
 
Application Security Management with ThreadFix
Application Security Management with ThreadFixApplication Security Management with ThreadFix
Application Security Management with ThreadFixVirtual Forge
 
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenVirtual Forge
 
Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?
Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?
Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?Virtual Forge
 
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...Virtual Forge
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAPVirtual Forge
 
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...Virtual Forge
 
ABAP Code Qualität - Best Practices
ABAP Code Qualität - Best PracticesABAP Code Qualität - Best Practices
ABAP Code Qualität - Best PracticesVirtual Forge
 
Best Practices for Ensuring SAP ABAP Code Quality and Security
Best Practices for Ensuring SAP ABAP Code Quality and SecurityBest Practices for Ensuring SAP ABAP Code Quality and Security
Best Practices for Ensuring SAP ABAP Code Quality and SecurityVirtual Forge
 
Case Study: Automating Code Reviews for Custom SAP ABAP Applications with Vir...
Case Study: Automating Code Reviews for Custom SAP ABAP Applications with Vir...Case Study: Automating Code Reviews for Custom SAP ABAP Applications with Vir...
Case Study: Automating Code Reviews for Custom SAP ABAP Applications with Vir...Virtual Forge
 

Más de Virtual Forge (13)

How the U.S. Department of Defense Secures Its Custom ABAP Code
How the U.S. Department of Defense Secures Its Custom ABAP CodeHow the U.S. Department of Defense Secures Its Custom ABAP Code
How the U.S. Department of Defense Secures Its Custom ABAP Code
 
SAP HANA Security: New Technology, New Risks
SAP HANA Security: New Technology, New RisksSAP HANA Security: New Technology, New Risks
SAP HANA Security: New Technology, New Risks
 
Develop Stable, High-Performance Applications for SAP HANA
Develop Stable, High-Performance Applications for SAP HANADevelop Stable, High-Performance Applications for SAP HANA
Develop Stable, High-Performance Applications for SAP HANA
 
Application Security Management with ThreadFix
Application Security Management with ThreadFixApplication Security Management with ThreadFix
Application Security Management with ThreadFix
 
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP InstallationenABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
 
Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?
Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?
Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?
 
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
 
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
 
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
 
ABAP Code Qualität - Best Practices
ABAP Code Qualität - Best PracticesABAP Code Qualität - Best Practices
ABAP Code Qualität - Best Practices
 
Best Practices for Ensuring SAP ABAP Code Quality and Security
Best Practices for Ensuring SAP ABAP Code Quality and SecurityBest Practices for Ensuring SAP ABAP Code Quality and Security
Best Practices for Ensuring SAP ABAP Code Quality and Security
 
Case Study: Automating Code Reviews for Custom SAP ABAP Applications with Vir...
Case Study: Automating Code Reviews for Custom SAP ABAP Applications with Vir...Case Study: Automating Code Reviews for Custom SAP ABAP Applications with Vir...
Case Study: Automating Code Reviews for Custom SAP ABAP Applications with Vir...
 

Die Top 5 Mythen der SAP Sicherheit

  • 1. Dr. Markus Schumacher, Virtual Forge GmbH Ralf Kempf, akquinet AG Die Top 5 Mythen der SAP Sicherheit Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen
  • 2. 2 SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit? 1. Mythos: Rollen und Berechtigungen – wir sind sicher! 2. Mythos: Wir nutzen SAP nur im Intranet 3. Mythos: Wir nutzen nur den Standard. 4. Mythos: Hacker kennen sich mit SAP nicht aus 5. Mythos: Sicherheit ist ein Problem der SAP, nicht von uns AGENDA
  • 3. SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?
  • 4. 4 Evolution der SAP Landschaft Früher Heute Morgen • Isolierte Systeme • Lange Release-Zyklen • Geringe Angriffsfläche • Security durch Firewalls • Offene Systeme • Erhöhte Release-Zyklen • Netzwerkgrenzen verschwinden • Cloud-basierte Anwendungen • Hacker Angriffe (s. Nachrichten) • Weiter Öffnung d. Systeme • Sehr hohe Release-Zyklen • Verbundene Netze • IT-basierte Spionage (PRISM, etc.) • Cyber Attacks & Wirtschaftsspionage
  • 5. 1. Mythos Rollen und Berechtigungen – wir sind sicher!
  • 6. 6 Wir haben ein Berechtigungskonzept. Deswegen sind wir sicher!  Was ist mit der Absicherung der SAP Basis, Server und Datenbank?  Kundenreports und Transaktionen prüfen meistens keine Berechtigungen! Durch laufende SoD Analysen wird Missbrauch verhindert  Kritische Basisberechtigungen werden bei SoD Analysen oft nicht behandelt  Missbrauch durch Umgehung der Schutzmaßnahmen wird nicht erkannt (Tabellenpflege, Transporte, Datenbankmanipulationen) SA38 können bei uns alle Benutzer. Das ist doch unkritisch.  Aber was ist z.B. mit ABAP RS_REPAIR_SOURCE  Direkte Code Manipulation in ungepatchten Systemen (Hinweise 1167258 und 1853161)  Oder ABAP RC1TCG3Y/ RC1TCG3Z  Unix File Up- und Download (Hinweise 1552798 und 1505368) Mythos: Rollen und Berechtigungen – wir sind sicher!
  • 7. 7 Demo: Betriebssystemzugriff durch SA38 Rechte Step 1: rfcexec.sec herunterladen Step 2: Deny all durch permit all ersetzen Step 3: rfcexec.sec hochladen Step 4: Unix/Windows Befehl als SIDADM per SA38 ausführen.
  • 8. 2. Mythos Wir nutzen SAP nur im Intranet
  • 9. 9 Wirklich nur im Intranet? Wir finden Dich! Google is Hacker‘s Best Friend!
  • 10. 10 Risiken  In vielen Fällen Sicherheistbewusstsein nur wenig ausgeprägt.  Bedrohungen durch Innentäter erscheinen im Unternehmen als unvorstellbar.  Einfachste Angriffswege auf Webservices, J2EE Systeme und Gateways möglich.  SAPGUi Datenstrom kann abgehört werden ! Wettbewerbsvorteile in Gefahr  Spionage, Diebstahl, Sabotage, Korruption, oder IT-Kriminalität Bedrohung durch Innentäter Quelle:
  • 11. 11 Demo: Datenklau durch die Hintertür ...
  • 12. 3. Mythos Wir nutzen nur den Standard
  • 13. 13 Oftmals unklar, wieviel Eigenentwicklungen im System sind  62,5 % Wahrscheinlichkeit einer ABAP Command Injection  100 % Wahrscheinlichkeit eines Berechtigungsfehlers  95,83% Wahrscheinlichkeit eines Directory Traversals Anonymisierte Analyse von 60 Kundensystemen / Ø 1,65 Mio. Lines of Code pro Scan (Stand: Mai 2012) ~ 1 kritische Sicherheitslücke pro 1.000 Zeilen ABAP™-Code
  • 14. 14 Eigenentwicklungen  Umgehen oft Rollen- und Berechtigungen  Beispiel: Aufrufen von Transaktionen – ohne Berechtigung Demo: Ausnutzen typischer Sicherheitslücken
  • 15. 15 Fehlende SAP Security Notes machen es Angreifern leicht SAP Security Notes werden monatlich am 2. Dienstag veröffentlicht  Kein Kunde spielt wirklich alle WICHTIGEN Notes ein.  Frage: Wie stellen SIE fest was für IHRE Systeme wichtig ist? Bekannte Lücken bleiben komplett oder für lange Zeit ungepatcht  Trügerische Sicherheit, da die Mehrzahl der Angriffe von innen kommt.  Angreifer fokussieren sich auf bekannte Lücken. Lücken in nicht verwendeten Anwendungen werden nicht gepatcht  Dem Angreifer ist es egal ob SIE die Anwendung brauchen.  Er wird immer die einfachste und mächtigste Lücke ausnutzen.
  • 16. 16 Demo: Benutzer in J2EE per CTC Service anlegen Lücken im J2EE CTC Framework  CTC Service für Benutzerpflege können ohne Authentifizierung gerufen werden  Beispiel: Anlage eine neuen J2EE Administrators
  • 17. 4. Mythos Hacker kennen sich mit SAP nicht aus
  • 18. 18 Verteilung der SAP Security Notes  Betrachtung der letzten 12 Monate  Im Durchschnitt 41,2% - und das sind die Guten! Was machen die Bösen? Immer mehr Sicherheitsexperten beschäftigen sich mit SAP
  • 19. 19 Google: SAP SECURITY EXPLOITS Google: SAP HACKING Immer mehr „Sicherheitsexperten“ beschäftigen sich mit SAP
  • 20. 20 Standardvorgehen von Hackern: „Directory Traversal“. Geht auch bei SAP Systemen Schutz durch geeignete Validierungsfunktionen  SAP note 1497003 (“Potential directory traversals in applications”)  Funktion (FILE_VALIDATE_NAME) Demo: Auslesen/Überschreiben von Dateien
  • 21. 5. Mythos Sicherheit ist ein Problem der SAP, nicht von uns
  • 22. 22 ... der Kunde  Nicht der Hersteller (modulo Fahrlässigkeit)  Nicht der Hoster / Outsourcer Wie geht SAP Sicherheit?  Viele, viele Leitfäden  Unzählige Tools für Administratoren / Entwickler  Hohe Komplexität! Merke: SAP Sicherheit ist mehr als nur Berechtigungen zu verwalten !  System Hardening planen und umsetzen  SAP Systeme gesamtheitlich sehen  Audits und Pen Tests ausführen Verantwortlich für die Sicherheit ist immer ...,
  • 23. Dr. Markus Schumacher markus.schumacher@virtualforge.com Twitter: @virtual_forge / @codeprofiler Blog: https://www.virtualforge.com/de/blog.html Ralf Kempf ralf.kempf@akquinet.de