IT-Security Mai/Juni 2023
Cyber-Resilience & MDR-Services - Hand in Hand für mehr Sicherheit Übersicht dank 360 Grad Sicht - XDR-Plattformen helfen Anwendern Zero Trust Architektur - Vom Schlagwort zur individuellen Lösung Fragmentierung im Cyber Storage - Innovativer Ransomware-Schutz
Cyber-Resilience & MDR-Services - Hand in Hand für mehr Sicherheit
Übersicht dank 360 Grad Sicht - XDR-Plattformen helfen Anwendern
Zero Trust Architektur - Vom Schlagwort zur individuellen Lösung
Fragmentierung im Cyber Storage - Innovativer Ransomware-Schutz
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
26 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
Risikominimierung<br />
SAP-TRANSPORTE EFFIZIENT KONTROLLIEREN<br />
In jeder SAP-Umgebung sind Transporte<br />
ein wesentlicher Bestandteil, um Änderungen<br />
von einem System in ein anderes<br />
zu übertragen, neue Funktionen zu implementieren,<br />
Updates anzuwenden<br />
und Anwendungen von Drittanbietern<br />
zu installieren. So elementar diese Auslieferungen<br />
sind, bieten sie ungeprüft<br />
jedoch Einfallstore für die Einspielung<br />
risikobehafteter Objekte. Über SAP-<br />
Standards stößt der Versuch, mögliche<br />
Bedrohungen zu erkennen, schnell an<br />
Grenzen, doch gibt es Möglichkeiten,<br />
diese bereits während des Erstellens<br />
bzw. Einspielens aufzuspüren und nicht<br />
erst im Nachhinein.<br />
Ganze Produkte, Patches, Coding, Datenbank-Inhalte,<br />
Rollen, Berechtigungsobjekte:<br />
Ein SAP-Transport ist vereinfacht<br />
gesagt ein Container zum Austausch<br />
zwischen Systemen von eigentlich<br />
allem, was man innerhalb eines<br />
SAP-Systems findet. Im Normalfall wird<br />
der Transport auf einem Entwicklungssystem<br />
erstellt, dort freigegeben und<br />
exportiert, das heißt, entsprechende<br />
Dateien werden im Transportverzeichnis<br />
angelegt. Anschließend wird er in<br />
die Importqueue zum Beispiel eines Produktivsystems<br />
eingehängt und ist bereit<br />
zum Import. Sicherheitstechnisch entscheidend<br />
ist dabei, dass das Abschließen<br />
eines Imports alles Enthaltene, ob<br />
Coding oder Datenbankinhalte, automatisch<br />
aktiviert – und folglich auch<br />
eine möglicherweise enthaltene Sicherheitslücke.<br />
Daher müssen zu diesem<br />
Zeitpunkt alle Inhalte überprüft und alle<br />
Bedrohungen detektiert worden sein.<br />
Die Herausforderungen<br />
Entwickler benötigen weitgehende Berechtigungen,<br />
um beispielsweise etwas<br />
zu debuggen, Transporte zu befüllen,<br />
teilweise auch anzulegen, gegebenenfalls<br />
freizugeben, auf jeden Fall Coding<br />
zu verändern. Damit einher geht<br />
ein hohes Risikopotenzial der Manipulation,<br />
sei es per verstecktem SAP_all,<br />
Hidden-OK-Codes im Transaktionsaufruf<br />
oder modifizierte RFC-Pings. Denn<br />
für Kundige gibt es zahlreiche Möglichkeiten,<br />
Transporte vom Entwicklungssystem<br />
in weitere Systeme zu übertragen.<br />
Ein Entwicklungssystem priorisiert<br />
im <strong>Security</strong> Scope kaum und es wird<br />
wenig auf Audits oder Auditlogs geachtet.<br />
Zudem ist ABAP-Coding üblicherweise<br />
eher unübersichtlich mit Reports,<br />
die 10.000 Zeilen und mehr beinhalten<br />
sowie Funktionsgruppen aus Hunderten<br />
Bausteinen.<br />
Eine manuelle Inhaltsprüfung aller auf<br />
Schwachstellen ist angesichts der schieren<br />
Datenmenge also keine realistische<br />
Option.<br />
Wo unterstützt der SAP-Standard?<br />
Zur Risikominimierung bei SAP-Transporten<br />
stellt sich damit grundsätzlich die<br />
Frage: Was kann der SAP-Standard leisten?<br />
In der Entwicklung ist auf jeden Fall<br />
das ABAP Test Cockpit (ATC) aktiv einzusetzen<br />
und Coding schon bei der Erstellung,<br />
aber zumindest im Transportprozess<br />
automatisiert zu überprüfen.<br />
Allerdings ist ein Problem des ABAP Test<br />
Cockpits, dass es nicht sehr tief in die<br />
<strong>Security</strong>fälle geht, das Code Scanning<br />
daher nicht vollständig ist und viele Lücken<br />
übrig lässt. So ist es zusätzlich<br />
empfehlenswert, ein ChaRM einzurichten,<br />
ein Change and Request Management,<br />
das hilft, die Transparenz und<br />
Prozesskonformität zu erhöhen.<br />
<strong>Mai</strong>/<strong>Juni</strong> <strong>2023</strong> | www.it-daily.net