23
Sicherheit auch für SAP
Sicherheit auch für SAP
Sicherheit auch für SAP
Wirtschaftsstraftäter
Externe Regularien
Maßnahmen und Konzepte in SAP
Live-Hacking
Sicherheit auch für SAP 2
Wirtschaftsstraftäter
Sicherheit auch für SAP 3
Auswirkungen
Sicherheit auch für SAP 4
Wer handelt wie
Sicherheit auch für SAP 5
Personale Risikokonstellation
Sicherheit auch für SAP 6
Interessante Aspekte Ob langfristig mit einer Entdeckung zu rechnen ist, wurde von den
Tätern nicht erkennbar in das Kalkül einbezogen
Täter handelten meist alleine
Typ A: Eine lange Betriebszugehörigkeit, exponierte Stellung sowie die Möglichkeit Kontrolldefizite zu erkennen
Typ B: Erhebliche Zielstrebigkeit und längerfristige Planung
Täter genossen stets hohes Maß an Vertrauen und wurden oft als Koryphäen auf ihrem Gebiet bezeichnet
Tatgelegenheiten zeichnen sich grundsätzlich durch Kontrolldefizite während der Tatbegehung aus
Sicherheit auch für SAP 7
Externe Regularien
Sicherheit auch für SAP 8
Auswirkung externer Regularien
Sicherheit auch für SAP 9
URÄG
Risk Management
Governance
Compliance
GxP Basel II DSG TKG COBIT
Externe Regularien
Sicherheit auch für SAP 10
Security
(Schutz von Informationen)
GRC
(Umgang mit schützenswerten Informationen)
SOX
Section 303, 404
BDSG
Basel II
KonTraG
GSHB
CC
Cobit
ITIL
IKS
Funktionstrennung
Access Control
Workflow
Maßnahmen und Konzepte in SAP
Sicherheit auch für SAP 11
Sicherheit auch für SAP 12
SAP-Berechtigungen
Sicherheit auch für SAP 13
Bezeichnung Definition
Funktionstrennungsrisiko (Segregation of Duties Risk)
• Allgemein: Kombination von zwei bis n Aktionen oder kritische Berechtigungen innerhalb eines Geschäftsprozesses
• Funktionstrennung bedeutet, dass innerhalb eines Geschäftsprozesses bestimmte Aufgaben nicht von der gleichen Person durchgeführt werden dürfen
• Beispiel Risiko: Ein Benutzer darf nicht die Bestellung aufgeben (Funktion I) und die Zahlung anweisen (Funktion II)
Risiko für kritische Aktion (Critical Action Risk)
• Kritische Aktionen die für sich betrachtet schon als kritisch eingestuft werden
• Beispiel Risiko: Ein Benutzer darf nicht den Message Server runterfahren
Kritisches Berechtigungsrisiko (Critical Permission Risk)
• Prüfung auf bestimmte Berechtigungen ohne dass eine Transaktion zugewiesen sein muss
• Beispiel Risiko: Ein Benutzer darf nicht globale Layouts verändern
Funktionstrennungsmatrix
Sicherheit auch für SAP 14
Berechtigungsobjekt Berechtigungsfeld Feldwert / Transaktion Operator Group
GRC
Sicherheit auch für SAP 15
Governance
(Führung)
Compliance
(Einhaltung von Regeln)
Risk
(Risiko-Management)
GRC 1. Minimalen Ansatz mit direktem Fokus auf SoD Konflikte und kritische
Berechtigungen Kleine Lösungen, SAP Standard
60% der Unternehmen verfolgen diesen Ansatz
2. Umfassenden Ansatz um SoD sowie Access Management zu optimieren. Kosten sollen zusätzlich eingespart werden Umfassende Ansätze - Nutzung einer Suite
30% der Unternehmen verfolgen diesen Ansatz
3. Integrierter GRC Ansatz für jegliche FI Kontrollen Risiko Management Systeme, Process Management Systeme, Einsatz umfangreicher
Lösungen
10% der Unternehmen verfolgen diesen Ansatz
Sicherheit auch für SAP 16
GRC 1. Mitarbeiter-Berechtigungsanalyse-Software
Prüft Berechtigungen und verdeutlicht, welche Personen dem Unternehmen potentiell einen Schaden zuführen könnten
2. Mitarbeiter-Verhaltensanalyse-Software Protokolliert Tätigkeiten der Mitarbeiter und zeigt an, wer mögliche kritische Kombinationen
aufgerufen hat
3. Systemverhalten und Aufdeckungssoftware Ziel auf Bewegungsdaten und somit einzelne Belege, erkennt kritische Aktivitäten (nach
einem vorgegebenen Muster) und analysiert diese
Sicherheit auch für SAP 17
GRC-Tools
forthmind Akquinet
SAST SAP GRC
ESNC Security
Suite
Security Weaver
Xpandion
Sicherheit auch für SAP 18
Live-Hacking
Sicherheit auch für SAP 19
Live-Hacking
Brute Force of Standard Users and Passwords
Sniffing SAP-GUI Passwords
Getting SAP* Access by ABAP
Sicherheit auch für SAP 20
Security Monitoring
SAP Security
Inside SAP
• Parameters
• Tables
• Code
• Authorizations
Outside SAP
• Network
• Operation System
• SAP Notes
Sicherheit auch für SAP 21
Vielen Dank für Ihre Aufmerksamkeit!
Tobias Braun Geschäftsführer forthmind GmbH
Mobil: +49 176 81231509 [email protected]
Sicherheit auch für SAP 22
Quellen
Das Bild auf Folie 4 ist der Studie „Der Wirtschaftsstraftäter in seinen sozialen Bezügen“ von Prof. Dr. Hendrik Schneider der Universität Leipzig von 2007 entnommen
Die Symbole von Folie 6 wurden von Freepik von www.flaticon.com unter der CC BY 3.0 Lizenz zur Verfügung gestellt
Die Firmennamen und Logos auf Folie 18 sind Besitz der jeweiligen Firmen
Sicherheit auch für SAP 23
