SAP-Software wird in Unternehmen jeder Größe und jeder Branche eingesetzt und ist aus dem Unternehmensalltag nicht mehr wegzudenken. Die SAP-Systemlandschaft ist häufig das Herzstück eines Unternehmens, da hier hoch sensible Daten und unternehmenskritische Informationen verarbeitet werden. Ein erfolgreicher Hackerangriff gegen diese Umgebung kann daher besonders schwerwiegende Konsequenzen für das Unternehmen haben. Ein SAP Pentest kann Ihnen helfen, Ihre Systeme und Anwendungen vor Angriffen zu schützen.

Was ist ein SAP Pentest und warum ist er sinnvoll?

Bei einem Pentest schlüpfen Security Analyst*innen in die Rolle eines böswilligen Hackers. Dabei verwenden sie Methoden, Techniken und Vorgehensweisen, die auch ein realer Angreifer nutzen würde. Das Ziel ist es, Schwachstellen und Angriffspunkte zu finden, damit diese rechtzeitig korrigiert werden, bevor ein realer Angreifer sie ausnutzen kann. Häufig sind SAP-Systemlandschaften sehr komplex aufgebaut und bestehen aus einer Vielzahl von spezifischen SAP-Produkten. Unsere Erfahrung zeigt, dass eine fundierte Expertise und ein tiefgreifendes Verständnis von SAP-Produkten notwendig sind, um den Sicherheitsstand von SAP-Umgebungen umfassend analysieren zu können. Ein „traditioneller“ Pentest  auf System- oder Anwendungsebene reicht nicht aus. Vielmehr ist ein spezielles Vorgehen nötig, das sowohl SAP-spezifische Prüfelemente beinhaltet als auch zwischen der Untersuchung von webbasierten FIORI-Anwendungen und SAP-Produkten auf Systemebene unterscheidet.

Was sind häufige Schwachstellen in SAP-Umgebungen?

Aufgrund ihrer Komplexität und Individualität können SAP-Umgebungen eine große Bandbreite unterschiedlicher Schwachstellen aufweisen. Dies sind einige der häufigsten Schwachstellen, die unsere Security Analyst*innen bei der Durchführung von SAP Pentests identifizieren:

• Durch Fehlkonfigurationen des SAP-eigenen RFC-Protokolls können Angreifer Zugriff auf sensible Daten und weitreichende Aktionen durchführen.
• Teilweise hochkritische Sicherheitslücken im selbst programmierten ABAP-Report, die eine Rechteerweiterung des Angreifers oder gar komplette Kompromittierung des Systems ermöglichen.
• Eine Fehlkonfiguration der Einstellungen und Systemparameter kann zu unzureichend oder gar nicht verschlüsselter Kommunikation führen. Dadurch können Angreifer die Kommunikation und sensible Daten abfangen und auslesen.
• Eine unzureichende Abgrenzung zwischen Entwicklungs-, Test- und Produktiv-Systemen führt dazu, dass die Systeme unzureichend geschützt und somit anfälliger für Angriffe sind. So kann ein Angreifer auf Produktivdaten zugreifen und ein angemeldeter Benutzer seine Rechte ausweiten.

Wie können wir helfen?

Unsere Security Analyst*innen haben ein spezielles Vorgehen zur Durchführung von SAP Pentests entwickelt. In Vorbereitung auf den Pentest stimmen wir uns eng mit Ihnen zu Ihrem Prüfumfang, dem Angriffsszenario, sowie dem Ablauf und der Durchführung ab. Die Ergebnisse der Sicherheitsanalyse dokumentieren wir für Sie nachvollziehbar in einem detaillierten Bericht inklusive Maßnahmenempfehlungen zur Behebung von identifizierten Schwachstellen. Auf Wunsch unterstützen wir Sie im Rahmen unserer Vulnerability Management Services außerdem dabei, einen guten Überblick über Ihre eigene Sicherheitslage zu erhalten, Schwachstellen so früh wie möglich zu erkennen und strukturiert zu behandeln.

Sie möchten Ihre SAP-Infrastruktur auf Einfallstore überprüfen lassen? Hier erfahren Sie mehr über unser Vorgehen und den optionalen ABAP Quick Check. Kontaktieren Sie uns gern.