SAP-Systeme unter Kontrolle: weniger Aufwand,

mehr Sicherheit Softwaregestützte Validierung und automatisierte Optimierung der Sicherheit sind unabdingbar!

Dr. Markus Schumacher & Patrick Boch

© 2014, Virtual Forge GmbH. Alle Rechte vorbehalten.

Virtual Forge:

Wer wir sind

Üb er Virtual Forge

Experten für SAP Sicherheit und Qualität 5

2001 Gegründet als Beratungshaus

2007 Strategische Ausrichtung als Produktanbieter

2008 Release des Produkts “CodeProfiler”

2013 Release des Produkts “SystemProfiler”

Patentierte Daten- und Kontrollflussanalyse für ABAP™

Gartner

Aufnahme in “Magic Quadrant for Application Security Testing”, 2013

Virtual Forge als “Leading Vendor for ABAP™ Security“

“Cool Vendor in the SAP Ecosytem”, 2011

Products for SAP Security, Compliance and Quality. Worldwide.

SAP als Angriffsziel

SAP als Angriffsziel?

Mehr als 248,500 Unternehmen nutzen SAP

SAP Kunden …

… befördern Menschen > 1.1 Millionen Passagiere pro Tag

… stellen Konsumgüter her > 65% aller Fernsehgeräte

… sorgen für unsere Mobilität > 77,000 Autos pro Tag

… unterhalten uns > 52% aller Filme

… und

72% der weltweiten Bierproduktion hängt von SAP ab

Direct UIs

External

Systems

SAP ABAP™ System

SAP als Angriffsziel

1997 – die guten alten Zeiten 9

SAP als Angriffsziel

2002 – mehr Komplexität 10

Direct UIs

External

Systems

Indirect UIs SAP ABAP™ System

SAP als Angriffsziel

2007 – und mehr … 11

Direct UIs

Indirect UIs

External

Systems

SAP ABAP™ System

SAP als Angriffsziel

Seit 2011 – und mehr … 12

Indirect UIs

External

Systems

Direct UIs

SAP ABAP™ System

Fakten und Zahlen

14

*Onlin

e S

yste

me i

nklu

siv

SA

P S

yste

me

Gra

fik:

Thünem

ann/S

chin

zel

Fakten und Zahlen

Auswertung Internet Zensus

Mein SAP-System

ist sicher! Sicher?

Manche Dienste sind per Default

aktiv*

15

Zahlen und Fakten

Hacker‘s best friend: Suchmaschinen

SAP Systeme sind oft über das Internet

erreichbar

Dienste können missbräuchlich genutzt werden

Unberechtigter Zugang möglich

Zitate aus den offiziellen SAP

Security Guides

Zu wenig, zu langsam!

Hackers kennen die

gepatchen Sicherheits-

lücken

16

Zahlen und Fakten

SAP verbessert die Sicherheit kontinuierlich

Sicherheitslücken im Standard

werden korrigiert

SAP Security Patch Day

Schnelle Umsetzung der Patches

ist sehr wichtig!

CodeProfiler

ABAPTM-Qualitäts-Benchmark 17

Durchschnittliche Anzahl von Findings pro Scan

Total Findings Critical Findings

50 % Wahrscheinlichkeit einer kritischen ABAP Command Injection

100 % Wahrscheinlichkeit fehlender und falscher Berechtigungsprüfungen

88 % Wahrscheinlichkeit eines kritischen Directory Traversals

Anonymisierte Analyse von 171 Kundensystemen / Ø 2,20 Mio. Lines of Code pro Scan (Stand: Mai 2014)

Gesamtmenge der gescannten Kundeneigenen Programmzeilen 377 Mio.

~ 1 kritische

Sicherheitslücke

pro 1.000 Zeilen

ABAP™-Code

Security 5.924 1970

Compliance 1.669 309

Performance 16.457 2687

Maintainability 14.632 1409

Robustness 15.423 5272

DLP 8 3

Top 5: Sicherheitslücken und Hintertüren

Die häufigsten Arten von Sicherheit / Compliance-Themen in

eigenen Programmen.

Type of vulnerability Wahrscheinlichkeit * Vorkommen **

Authorization Flaw 100 % 1,097

Directory Traversal 89 % 313

Direct Database Modification 83 % 39

Cross-Client Access 80 % 117

Open SQL Injection 67 % 16

* Die Wahrscheinlichkeit gibt an, wie häufig mindestens ein Fehler dieser Art in einem System gefunden wird.

** Vorkommen spiegeln die absolute Zahl der kritischen Fehler pro System im Durchschnitt wieder.

Top 5: Performance Killer

Top 5 häufigsten Arten von Performance-Problemen in

kundeneigenen Programmen.

Type of vulnerability Effect Probability * Occurrences **

Inefficient memory operation AS 100 % 2,110

Nested loop AS 99 % 542

Inefficient usage of DB Index DB 98 % 1,695

WAIT command (5+ seconds) AS 90 % 47

DB Buffer bypass DB 80 % 1,483

* Effekt zeigt, welche Systeme am stärksten betroffen sind: Application Server (AS) oder Datenbank (DB).

** Die Wahrscheinlichkeit gibt an, wie häufig mindestens ein Fehler dieser Art in einem System gefunden wird.

*** Vorkommen spiegeln die absolute Zahl der kritischer Fehler pro System im Durchschnitt wieder.

Top 10: kritische Konfigurationsfehler

Auswahl typischer Probleme

Category Selected results of critical findings

Standard Users SAP Standard Users with Trivial Passwords

Deactivation of the automic login user SAP*

Existence, Lock and authorizations of the SAP* standard user

User Management Number of records in user tables with password

hash values in field BCODE

Password Policy Maximum period for which an initial password

remains valid if it is not used

Authorizations *Several Violations, as some Users have SAP_ALL*

Communications

Security RFC access control - reginfo & secinfo

Active critical ICF services

Web AS Security Send login ticket only via HTTPS

Business Continuity Check on fully qualified RFC connections

21

Fakten und Zahlen

Fazit

Sicherheitsprobleme gibt es faktisch schon immer,

allerdings waren die SAP Systeme früher stärker

abgeschottet

Heute werden immer mehr SAP Systeme vernetzt und via

Cloud, Webservice, Mobile, etc. extern verfügbar gemacht

SAP Know-How von (Wirtschafts-)Spionen und Hackern

wächst kontinuierlich

Die Komplexität nimmt ständig zu … und damit die

Anforderungen an Sicherheit und Qualität

Live Hacking

https://www.youtube.com/channel/UCxr8P5rNL32IQVnUYrdkZhQ

Lösungswege für

SAP Sicherheit &

Qualität

Cyber-Angriffe, Spionage, Systemausfälle:

Unternehmensrisiken durch kundenspezifische Anpassungen.

Risiken bei SAP-Sicherheit, -Compliance und -Qualität

SAP-Anwendungen

• Autorisierung

• Transport

Management

• Patches

• Business Continuity

• Anwendungs-

Performance

SAP-Konfiguration

• Autorisierung

• SAP Operating

& Database System

• Web-Sicherheit

• Kommunikations-

Kanäle

• Logging / Forensik

SAP-Coding

• Bewertung

• Entwicklung

• Architektur

• Code-Qualität

• Tests

• Anwendung

… kann zu Unternehmensrisiken führen:

Cyber-Angriffe ⌀ 7,2 Mio. USD Kosten pro Fall

Spionage 5% Umsatzverlust p.a. pro typisches Unternehmen

Systemausfälle ⌀ 14 Std. p.a. pro Fall und Unternehmen

Quelle: Cost of Cyber Crime Study (Poneomon Institute, 2013), Global Fraud Study (ACFE, 2014),

The Avoidable Cost of Downtime (CA Technologies, 2010)

Jede individuelle Anpassung …

Veränderung der

Konfiguration

Custom Coding

Erweiterte Funktion

des SAP-Standards

Wir reduzieren Unternehmensrisiken und schützen

Ihre gesamte SAP-Landschaft.

Lösungen für SAP-Sicherheit, -Compliance und -Qualität

Individuelle

Systemeinstellung

• Veränderung der

Konfiguration

Custom Coding

• Anpassung oder

Erweiterung des

SAP-Systems

… führt zu:

Sicherheit vor unerlaubtem Zugang und anderen Störungen

Anpassung an Compliance und weitere Anforderungen

Performance Boost für Ihr gesamtes SAP-System

Weniger Probleme, weniger Kosten!

Fehler finden und korrigieren …

Virtual Forge SAP-Audit

per Mausklick

Automatische

Minimierung von

Unternehmensrisiken

Validierung und

Optimierung der

Systemsicherheit

SYSTEMPROFILER

Mehrere hundert Seiten Sicherheitsrichtlinien – geprüft in wenigen Minuten

Zentrale Konfiguration und Überwachung komplexer Landschaften

Prüfbericht jederzeit – auf Knopfdruck

Wir decken die SAP-Risikofelder Sicherheit, Compliance und Qualität

vollständig ab.

Unsere Erfahrung zeigt:

Custom

configuration

SystemProfiler erkennt und korrigiert Fehler in SAP-

Systemkonfigurationen und vermeidet eine Wiederholung

95% der SAP-Systeme sind anfällig

für Angriffe und die Anzahl der mit

dem Internet verbunden SAP-

Systeme nimmt zu.

Das bedeutet für Sie:

Ein Angreifer kann vollen

Zugriff auf alle Geschäftsdaten

erhalten, wenn nur eine dieser

Schwachstellen enthalten ist.

Das bedeutet für Sie:

Manuelle Konfiguration führt zu hohen

Betriebskosten. Wenn nur eine

wichtige Einstellung übersehen wird,

führt dies zu schweren Sicherheits-

oder Qualitätsproblemen.

Mit dynamischen Systemen

mitzuhalten ist umständlich und die

Konfiguration eine ständige

Herausforderung

Sicherheits- und Compliance-Risiken: signifikant reduziert

Schutz vor Cyber-Angriffen, Spionage und Systemausfällen

Abdeckung vieler Sicherheitsstandards und -richtlinien

Minimaler Aufwand: bis zu 90 % Aufwandseinsparungen

Reduziert operativen Aufwand durch zentralisierte Architektur

Kontinuierliche Überwachung der gesamten Systemlandschaft

Umfassendes Reporting für vollständige Transparenz gegenüber Management, Revision und Wirtschaftsprüfern

Reduzierte Komplexität: einfach gesamte SAP-Systemlandschaften verwalten

Flexible Konfigurationsrichtlinien

Voll skalierbar, auch für große Systemlandschaften

Proaktiver Ansatz und automatisierte Korrekturen

Außergewöhnlich hoher Performancegewinn gegenüber Standard-Tools

Umfassender Schutz: vollständig gesicherte Systemkonfigurationen

Integriertes Fachwissen gewährleistet umfassende Abdeckung aller sicherheitsrelevanten Einstellungen

Über 250 vordefinierte und –konfigurierte Prüfungen

Das bedeutet für Sie ...

SystemProfiler in a nut shell.

Konsistente Validierung

Vollständige Transparenz

Volle Skalierbarkeit

Effektive Einsparungen

Umfassende Prüfungsinhalte werden mitgeliefert, basierend auf etablierten Standards, anpassbare und erweiterbare

Zentrale Architektur, kontinuierliche Validierung und umfassende Berichterstattung

Flexible Definition von Konfigurationsrichtlinien für die gesamte Systemlandschaft

Proaktiver Ansatz inklusive wirksamer, automatischer Korrekturen

Zusätzliche Plattformunterstützung: Prüfungen für SAP NetWeaver JAVA

SAP Zertifizierung

Prüfung von betriebssystemspezifischen Einstellungen

Neue Testfälle: insgesamt über 250 Prüfungen für SAP Sicherheit und

Qualität

Verbesserte Performance: extreme Geschwindigkeitssteigerung besonders

bei großen Systemlandschaften

Erweiterter Finding Manager mit vielen zusätzlichen Funktionalitäten

Verbesserte Verwaltung von Richtlinien sowie von Positiv- und Negativlisten

Erweiterung des Frameworks für zusätzliche Szenarien

SystemProfiler: neu in Version 2.0

Der 3-Phasen-Prozess

Unsere Lösungsansatz folgt einem einfachen Prinzip:

Assess – Safeguard – Optimize.

Assess:

Wir evaluieren den Status Ihres Systems

mittels einer initialen Risikobewertung.

Safeguard:

Wir schützen SAP-Landschaften durch

Risikoidentifikation, automatische Korrektur

und Implementierung von präventiven

Maßnahmen.

Optimize:

Wir räumen SAP-Landschaften auf und

befreien sie von schädlichen Altlasten.

Security, Compliance

& Quality

1. Assess

2. Safeguard 3. Optimize

Wir verbessern Schritt für Schritt den Zustand

Ihres gesamten SAP-Systems.

Der Engagement-Prozess

Schritt Zeit Was wir für Sie tun Was Sie davon haben

1 Risiko-

bewertung 1. Tag

• Scan des Custom Coding und der

Konfigurationseinstellungen eines SAP-Systems

• Identifikation und Priorisierung von Risiken

Volle Transparenz:

• Management Summary mit ausgewählten Findings

• Wissen, was zu tun ist

2 Launch-

Projekt

Productive

Pilot

(3 Monate)

• Identifizierung aller Fehler und automatische Korrektur

zweier Fehlertypen als Konzeptbeweis

• Manuelle Korrektur der 5 Hauptrisiken (Time & Material)

• Unbegrenzte Nutzung der Software für Projektdauer

• Roll-Out-Konzept für mehrere SAP-Systeme

Scoping zur Durchführung:

• Verständnis der Auswirkungen

• Roadmap für den Roll-Out

• Bewertungsmetriken für ROI/TCO-Kalkulation

• Optimiertes SAP-System

3a Inhouse-

Operation Fortlaufend

• Erweiterung zu einer Lizenzvereinbarung

• Roll-Out für weitere SAP-Systeme

Durchführung:

• Proaktive Sicherheit & Qualität

• Sicheres Coding und sichere

Systeme

• Geschulte Mitarbeiter 3b

Managed

Operation Fortlaufend

• Erweiterung zu einer Managed-Service-Vereinbarung

• Roll-Out für weitere SAP-Systeme

Wir gewährleisten höchste Sicherheits-, Compliance- und

Qualitätsstandards für SAP-Systeme führender Unternehmen.

Erfolgsgeschichten

[ „CodeProfiler lässt sich einfach in alle Entwicklungsprozesse integrieren (...) und minimiert

das Risiko für schadhaften Code. Seit wir das Tool einsetzen, sind die Entwickler achtsamer

geworden und liefern bessere Qualität.“ ] Stephan Sachs, Manager Applikationssicherheit, Linde

[ „Eine Kernanforderung des Projekts war es, jede Woche mehrere Milliarden Zeilen Code zu

scannen (...) Gemeinsam mit Virtual Forge ist CIT CA damit in diesem Segment eine wirklich

einzigartige Lösung gelungen.“ ] Michael Brauer, Leiter Corporate Automation, Corporate IT, Siemens

[ „Durch den Einsatz des Virtual Forge CodeProfiler und die enge Zusammenarbeit mit Virtual

Forge konnten wir die Sicherheit im Unternehmen verbessern und gleichzeitig die Qualität

unserer Anwendungen steigern.” ] Ralph Salomon, Vice President IT Security & Risk Office, SAP

Auf Basis umfangreicher Erfahrungen bieten wir hocheffiziente,

automatisierte Produkte nach unabhängigem Standard.

Expertise

& Erfahrung

• Wir sind die Experten im

Bereich SAP-Sicherheit

• Track Record seit 2006:

>170 Kunden, >1.400

Kundenprojekte, >2.000

Produktinstallationen

• 50% Mitarbeiter im

Bereich Research &

Development

Effizienz

• 2011 erhielten wir von

Gartner die Auszeichnung

„Cool Vendor in the SAP

ecosystem“

• 2014 wurden wir erneut

in den Gartner Magic

Quadrant for Application

Security Testing (AST)

berufen

Effektivität

• Hochautomatisierte

Lösungen per Mausklick

zur Risikoidentifizierung

und Fehlerkorrektur

• Aufwandsreduktion

für Risikoidentifizierung

um bis zu 95%,

für Fehlerkorrektur

um bis zu 70%

(im Vergleich zu

manueller Prüfung)

Unabhängigkeit

• Aktives Mitglied der

DSAG and ASUG

Chapters und

unterstützend bei der

Erstellung von Best-

Practice-Dokumentationen

• Kooperation mit SAP-

Kunden und Auditoren

weltweit zur Etablierung

eines Ecosystems und

unabhängigen SAP-

Standards

Ein lohnendes

Investment

SAP Konfigurationssicherheit und - qualität

Positiver Effekt bezüglich Korrekturkosten 41

Sicherheit und

Qualität der Systemkonfiguration

Zeit

Wenige,

isolierte

Systeme

Komplexe Systemlandschaft,

externe Anwendungen

Configuration Drift

SAP Sicherheit und Qualität

Positiver Effekt bezüglich Korrekturkosten 42

Fehler

Zeit

Start der ‚Stay clean‘ Initiative ‚Clean-up’ Phase

Start der Anpassungen Start der ‚Get clean‘ Initiative

‚Get clean‘ Phase

ROI Beispiel: SystemProfiler Aufwand für 10 Systeme

43

Manueller Aufwand

für Prüfung auf Sicherheit und Qualität: 246 Manntage

für die Korrektur gefundener Schwachstellen: 26 Manntage

Gesamtkosten: 136.000 €

Aufwand mit SystemProfiler

für Prüfung auf Sicherheit und Qualität: 7 Manntage

für die Korrektur gefundener Schwachstellen: 4 Manntage

Ersparnis, inkl. Lizenz: >60%

Haben Sie Fragen oder Anmerkungen?

Danke für Ihre Aufmerksamkeit 44

Dr. Markus Schumacher

markus.schumacher@virtualforge.com

Blog Whitepapers Twitter