360° Risikobetrachtung von SAP

Die Sicherheit im SAP-Umfeld ist von vielfältigen Aspekten geprägt. Dazu zählen IAM, Rollen und Berechtigungen (SoD-Richtlinien), Backups, Systemhärtung, Patch-Management und Custom-Code, um nur einige Beispiele zu nennen. Oftmals allozieren Unternehmen ihre Budgets jedoch ausschließlich auf wenige dieser Bereiche, ohne dabei den Gesamtüberblick zu wahren. Hierdurch können potenziell gefährliche Sicherheitslücken entstehen.
In unserer 360°-Risikobetrachtung (SQ-360) führen wir eine umfassende Analyse der Sicherheit einzelner SAP-Systeme oder ganzer Landschaften durch. Dabei bieten wir Ihnen einen ganzheitlichen Überblick über sicherheitskritische SAP-Systeme und Komponenten. Zudem erhalten Sie wertvolles Feedback darüber, ob und welche Risiken bestehen, die bisher durch Ihre Prozesse und Sicherheitsmaßnahmen nicht ausreichend abgedeckt wurden.

Sicherheitsmaßnahmen im SAP-Umfeld erfordern erhebliche Investitionen. Um das Budget optimal zu nutzen, ist eine umfassende Übersicht darüber erforderlich, welche Systeme als kritisch einzustufen sind und welche Risiken bisher nicht ausreichend abgedeckt wurden. Daher bestimmen wir in einem ersten Schritt die Kritikalität der zu untersuchenden Systeme und Komponenten. Diese Kritikalitätsbewertung gründet maßgeblich auf dem Wert der enthaltenen Geschäftsdaten, der Rolle des Systems für die Kontinuität der Geschäftsabläufe und den regulatorischen Anforderungen.

Im zweiten Schritt der SQ-360 Durchführung überprüfen wir, in welchem Umfang Sicherheitsrisiken im Betrieb von SAP durch Prozesse und Schutzmaßnahmen abgedeckt sind. Mithilfe unserer Gap-Analyse erhalten Sie rasch einen Überblick darüber, ob Ihr Unternehmen bestimmte Risiken unzureichend adressiert hat.

In der dritten Phase überprüfen wir stichprobenartig, ob in kritischen Systemen oder Komponenten konkrete Sicherheitslücken existieren. Der Fokus liegt dabei auf den Risiken, die in der vorangegangenen Gap-Analyse identifiziert wurden. Als Ergebnis erhalten Sie eine umfassende Übersicht über aktuelle Risiken und Schwachstellen. Durch die Kombination mit der Liste kritischer Systeme haben Sie die Möglichkeit, Ihr Budget gezielt auf die bestehenden Handlungsbedarfe auszurichten.

SQ-CS Analyse

Internetkriminalität verzeichnet ein anhaltendes Wachstum und stellt eine expandierende Industrie dar. Schätzungsweise entstehen der Weltwirtschaft jährlich Verluste in Höhe von etwa 445 Milliarden Dollar. Insbesondere die Wirtschaftsmächte, darunter auch Deutschland, zählen zu den vorrangigen Zielen von Cyber-Angriffen. Die entstehenden Verluste resultieren aus dem Diebstahl von geistigem Eigentum (IP), finanziellen Vermögenswerten und Geschäftsgeheimnissen. Zusätzlich entstehen Opportunitätskosten, zusätzliche Aufwendungen zur Sicherung von Netzwerken sowie Kosten für gehackte Unternehmen, die sich von Cyber-Angriffen und den damit verbundenen Reputationsschäden erholen müssen.

Durch unsere Cyber-Security Analyse (SQ-CSA) haben Unternehmen die Möglichkeit zu überprüfen, ob die bestehenden Cyber-Schutzmaßnahmen ausreichend sind. Unsere Erkenntnisse ermöglichen es, technische und organisatorische Sicherheitslücken zu identifizieren und zu schließen.
Kreis
Informationssicherheit ist heutzutage für alle Unternehmen unerlässlich, um Wettbewerbsvorteile, Produktivität und den guten Ruf zu schützen. Angreifer setzen zunehmend raffinierte Schadsoftware ein, um Unternehmen auszuspionieren, zu sabotieren oder zu erpressen. Dabei steht das Risiko für kriminelle Bedrohungsakteure in einem geringen Verhältnis zu den potenziellen Gewinnen,
Kreis
Daher empfehlen wir Unternehmen dringend, ihre bestehenden Sicherheitskonzepte und kritischen Systeme in regelmäßigen Abständen von unabhängigen Dritten auf eventuelle Lücken und Schwachstellen überprüfen zu lassen. Unsere Experten führen Überprüfungen zur technischen Sicherheit von exponierten Systemen und Schnittstellen durch, um kritische Schwachstellen zu identifizieren, die potenziell als Einfallstore für Hacker in das Unternehmensnetz dienen könnten,
Kreis
Unser Bericht umfasst detaillierte Beschreibungen der identifizierten Schwachstellen sowie Schritte zu deren Nachvollziehbarkeit. Hierbei erfolgt eine Priorisierung nach Risikostufen. Zudem unterbreiten wir konkrete Vorschläge für effektive Maßnahmen zur Behebung der Schwachstellen und, falls erforderlich, Empfehlungen zur Verbesserung von Sicherheitsprozessen.
Selbstverständlich präsentieren und erörtern wir die kritischsten Ergebnisse in einem ausführlichen Abschlussgespräch, um dem Management ein realistisches Bild der aktuellen Lage zu vermitteln. In diesem Gespräch nehmen wir uns die Zeit, die identifizierten Schwachstellen im Detail zu besprechen, potenzielle Auswirkungen zu erläutern und konkrete Maßnahmen zur Verbesserung der Sicherheitslage vorzustellen. Unsere Experten stehen zur Verfügung, um Fragen zu klären und gemeinsam mit dem Management die nächsten Schritte zur Stärkung der Sicherheitsinfrastruktur zu planen. Durch diese kooperative Herangehensweise fördern wir eine umfassende und wirksame Sicherheitsstrategie im Unternehmen.

Training für sichere Programmierung

Den Einschätzungen verschiedener Experten zufolge befindet sich durchschnittlich etwa ein kritischer Programmierfehler in 1000 Zeilen Quellcode. Jeder solche Fehler kann im produktiven Betrieb erheblichen Schaden verursachen. Sicherheitslücken bei der Verarbeitung personenbezogener Daten sind beispielsweise mit potenziellen Geldstrafen und Image-Schäden verbunden. Daher unterstreicht die Notwendigkeit von sorgfältigen Code-Analysen und Sicherheitsmaßnahmen die Bedeutung der Qualitätssicherung in der Softwareentwicklung.

Unser Training für sichere Programmierung (SQ-SPT) vermittelt Entwicklern nicht nur allgemeine Grundlagen, sondern vor allem praxisbezogenes Wissen für ihre tägliche Arbeit. Die Teilnehmer erlernen, Gefahren in ihren Anwendungen eigenständig zu erkennen und geeignete Schutzmaßnahmen zu treffen. Auf diese Weise werden viele Risiken durch Software von Anfang an vermieden.

Unsere Erfahrung zeigt, dass Entwickler am besten durch praxisnahe Aufgaben lernen, anstatt nur durch Theorie und Präsentationen. Aus diesem Grund sind unsere Trainings individuell auf die Entwicklerteams zugeschnitten und finden im täglichen Arbeitsbetrieb statt. Auf diese Weise haben die Entwickler die Möglichkeit, ihr neues Wissen unmittelbar anzuwenden und erhalten sofortige Unterstützung, wenn sie eine Thematik noch nicht hinreichend verstanden haben.

Für die individuelle Phase des Trainings analysieren wir im Vorfeld die Anwendungen der Entwickler auf Sicherheitsfehler. Anschließend erklären wir den Entwicklern die Kernursachen ihrer Fehler und vermitteln, wie dieses Wissen auch in Zukunft auf ähnliche Fälle angewendet werden kann. In Zusammenarbeit erarbeiten wir Lösungswege für robuste Gegenmaßnahmen und ausreichende Testverfahren.

In unseren Trainings legen wir besonders Wert darauf, die Entwickler nicht zu überfordern. Daher empfehlen wir einen kontinuierlichen Trainingsprozess mit kurzen Sitzungen über mehrere Wochen. Dies ermöglicht eine schrittweise Festigung des komplexen Wissens, und die Entwickler erhalten regelmäßiges Feedback zu den Programmen und Schutzmaßnahmen, an denen sie gerade arbeiten. Ein positiver Nebeneffekt besteht darin, dass das aktuelle Programmierprojekt parallel auditiert wird.

Statische Code-Analyse

Die Digitalisierung ist das Schlüsselwort für moderne Geschäftsprozesse. Bedauerlicherweise ist vielen Unternehmen nicht bewusst, dass dabei auch ihre Unternehmenswerte, Kundenkontakte und Alarmanlagen digitalisiert werden. Sie werden zu Datenbanken, Webanwendungen und Firewalls. Materie wird zu Software. Genauer gesagt zu einer umfangreichen Menge an Software. Im Unterschied zur Materie genügt jedoch bereits ein kleiner Denkfehler in der Software, um das gesamte Verteidigungssystem zum Einsturz zu bringen.

Durch unsere statischen Code-Analysen (SQ-CORE) erhalten Unternehmen die Möglichkeit zu überprüfen, ob selbst entwickelte Anwendungen und eigene Softwareprodukte kritische Programmierfehler enthalten. Darüber hinaus erhalten sie Einblicke, wie diese Fehler effizient und nachhaltig behoben werden können.

Unsere Sicherheitsexperten führen seit vielen Jahren erfolgreich Code-Analysen durch und haben maßgeblich an der Forschung und Entwicklung eines Code-Scanners über mehrere Jahre mitgearbeitet. Dadurch verfügen wir nicht nur über fundiertes Wissen über die Eigenheiten verschiedener Programmiersprachen und die typischen Denkfehler von Entwicklern, sondern auch über ein tiefgehendes Verständnis für die Grenzen von Code-Scannern. Wir schätzen die immensen Vorteile des menschlichen Querdenkens und können daher umfassende Einblicke in die Sicherheitsbewertung von Code liefern.

Natürlich ist eine umfassende Analyse großer Code-Mengen für die meisten Unternehmen nicht nur unwirtschaftlich, sondern nimmt auch erheblich viel Zeit in Anspruch. Dennoch sind Code-Analysen besonders bei kritischen Programmen von entscheidender Bedeutung. Dies betrifft beispielsweise Steuerungssysteme von Industrieanlagen, medizinische Geräte, Fahrzeugsteuerungen, Webshops mit hohen Umsätzen sowie Erweiterungen essentieller Bereiche des ERP-Systems. In diesen Fällen stellen Code-Analysen wichtige Stützpfeiler für die Sicherheit der Betreiber sowie deren Kunden und Mitarbeiter dar.

Relevan-C

Relevan-C ist ein zentralisiertes Analyse-System, das umfassende SAP Bedrohungen identifiziert und gemäß individueller Unternehmenskriterien priorisiert. Darüber hinaus ermöglicht Relevan-C die Durchführung von Compliance-Prüfungen, die speziell auf die Anforderungen Ihres Unternehmens zugeschnitten sind. Eine Sicherheitshistorie bietet fortlaufend Einblicke in die Wirksamkeit implementierter Maßnahmen sowie das Auftreten neuer Risiken.
Kreis
Kriminelle Bedrohungsakteure richten ihr Augenmerk oft auf das schwächste Glied in der Verteidigung. Aus diesem Grund untersucht Relevan-C kritische SAP Bedrohungen in den unterschiedlichen Domänen,
Kreis
Unsere innovative Analyse-Logik stellt eine einheitliche Risikobewertung bereit, die Schwachstellen auf dem betroffenen System identifiziert. Dies ermöglicht eine konsistente Bewertung und Priorisierung aller Schwachstellen in Ihrer IT-Landschaft. Sie können somit Ihre Ressourcen gezielt dort investieren, wo sie am dringendsten benötigt werden,
Kreis
Relevan-C wurde so konzipiert, dass es on-premise minimal-invasiv installiert werden kann. Diese Auslegung ermöglicht eine kurzfristige Einsatzfähigkeit unserer Lösung und vermeidet hohe Wartungskosten. Zudem behalten Unternehmen die alleinige Kontrolle über ihre Daten,
Kreis
Die Prüflogik von Relevan-C basiert auf den Erkenntnissen, die unsere Experten in vielen Jahren bei SAP Penetrationstests gesammelt hat. Daher sind die Empfehlungen zur Risikominimierung entsprechend fundiert. Bei herausfordernden Problemen stehen Ihnen unsere Experten beratend zur Verfügung,
Kreis
Die technische Kritikalität eines Risikos wird stets im Kontext aller relevanten Einflussfaktoren und Abhängigkeiten ermittelt. Nur so wird deutlich, ob durch eine Schwachstelle tatsächlich negative Auswirkungen zu erwarten sind.