Sicherheit auch für SAP

Transkript

1 Sicherheit auch für SAP

2 Sicherheit auch für SAP Wirtschaftsstraftäter Externe Regularien Maßnahmen und Konzepte in SAP Live-Hacking Sicherheit auch für SAP 2

3 Wirtschaftsstraftäter Sicherheit auch für SAP 3

4 Auswirkungen Sicherheit auch für SAP 4

5 Wer handelt wie Sicherheit auch für SAP 5

6 Personale Risikokonstellation Sicherheit auch für SAP 6

7 Sicherheit auch für SAP 7 Interessante Aspekte Ob langfristig mit einer Entdeckung zu rechnen ist, wurde von den Tätern nicht erkennbar in das Kalkül einbezogen Täter handelten meist alleine Typ A: Eine lange Betriebszugehörigkeit, exponierte Stellung sowie die Möglichkeit Kontrolldefizite zu erkennen Typ B: Erhebliche Zielstrebigkeit und längerfristige Planung Täter genossen stets hohes Maß an Vertrauen und wurden oft als Koryphäen auf ihrem Gebiet bezeichnet Tatgelegenheiten zeichnen sich grundsätzlich durch Kontrolldefizite während der Tatbegehung aus

8 Externe Regularien Sicherheit auch für SAP 8

9 Sicherheit auch für SAP 9 Auswirkung externer Regularien URÄG GxP Basel II DSG TKG COBIT Risk Management Compliance Governance

10 Sicherheit auch für SAP 10 Externe Regularien Security (Schutz von Informationen) SOX Section 303, 404 BDSG Basel II KonTraG GSHB CC Cobit ITIL GRC (Umgang mit schützenswerten Informationen) IKS Funktionstrennung Access Control Workflow

11 Maßnahmen und Konzepte in SAP Sicherheit auch für SAP 11

12 Sicherheit auch für SAP 12

13 Sicherheit auch für SAP 13 SAP-Berechtigungen Bezeichnung Funktionstrennungsrisiko (Segregation of Duties Risk) Definition Allgemein: Kombination von zwei bis n Aktionen oder kritische Berechtigungen innerhalb eines Geschäftsprozesses Funktionstrennung bedeutet, dass innerhalb eines Geschäftsprozesses bestimmte Aufgaben nicht von der gleichen Person durchgeführt werden dürfen Beispiel Risiko: Ein Benutzer darf nicht die Bestellung aufgeben (Funktion I) und die Zahlung anweisen (Funktion II) Risiko für kritische Aktion (Critical Action Risk) Kritisches Berechtigungsrisiko (Critical Permission Risk) Kritische Aktionen die für sich betrachtet schon als kritisch eingestuft werden Beispiel Risiko: Ein Benutzer darf nicht den Message Server runterfahren Prüfung auf bestimmte Berechtigungen ohne dass eine Transaktion zugewiesen sein muss Beispiel Risiko: Ein Benutzer darf nicht globale Layouts verändern

14 Sicherheit auch für SAP 14 Funktionstrennungsmatrix Group Berechtigungsobjekt Berechtigungsfeld Feldwert / Transaktion Operator

15 Sicherheit auch für SAP 15 GRC Governance (Führung) Risk (Risiko- Management) Compliance (Einhaltung von Regeln)

16 Sicherheit auch für SAP 16 GRC 1. Minimalen Ansatz mit direktem Fokus auf SoD Konflikte und kritische Berechtigungen Kleine Lösungen, SAP Standard 60% der Unternehmen verfolgen diesen Ansatz 2. Umfassenden Ansatz um SoD sowie Access Management zu optimieren. Kosten sollen zusätzlich eingespart werden Umfassende Ansätze - Nutzung einer Suite 30% der Unternehmen verfolgen diesen Ansatz 3. Integrierter GRC Ansatz für jegliche FI Kontrollen Risiko Management Systeme, Process Management Systeme, Einsatz umfangreicher Lösungen 10% der Unternehmen verfolgen diesen Ansatz

17 GRC 1. Mitarbeiter-Berechtigungsanalyse-Software Prüft Berechtigungen und verdeutlicht, welche Personen dem Unternehmen potentiell einen Schaden zuführen könnten 2. Mitarbeiter-Verhaltensanalyse-Software Protokolliert Tätigkeiten der Mitarbeiter und zeigt an, wer mögliche kritische Kombinationen aufgerufen hat 3. Systemverhalten und Aufdeckungssoftware Ziel auf Bewegungsdaten und somit einzelne Belege, erkennt kritische Aktivitäten (nach einem vorgegebenen Muster) und analysiert diese Sicherheit auch für SAP 17

18 Sicherheit auch für SAP 18 GRC-Tools forthmind Akquinet SAST SAP GRC ESNC Security Suite Security Weaver Xpandion

19 Live-Hacking Sicherheit auch für SAP 19

20 Live-Hacking Brute Force of Standard Users and Passwords Sniffing SAP-GUI Passwords Getting SAP* Access by ABAP Sicherheit auch für SAP 20

21 Sicherheit auch für SAP 21 Security Monitoring Inside SAP Parameters Tables Code Authorizations Outside SAP Network Operation System SAP Notes SAP Security

22 Sicherheit auch für SAP 22 Vielen Dank für Ihre Aufmerksamkeit! Tobias Braun Geschäftsführer forthmind GmbH Mobil:

23 Quellen Das Bild auf Folie 4 ist der Studie Der Wirtschaftsstraftäter in seinen sozialen Bezügen von Prof. Dr. Hendrik Schneider der Universität Leipzig von 2007 entnommen Die Symbole von Folie 6 wurden von Freepik von unter der CC BY 3.0 Lizenz zur Verfügung gestellt Die Firmennamen und Logos auf Folie 18 sind Besitz der jeweiligen Firmen Sicherheit auch für SAP 23