SAP Penetrationstest. So kommen Sie Hackern zuvor!

Ähnliche Dokumente
TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

TÜV Rheinland. Ihr Partner für Informationssicherheit.

TÜV Rheinland. Managed Cyber Defense. It-sa 2016, 18. Oktober 2016

IT Security Day 2017,

Offensive IT Security

IT-Notfallmanagement - Aufbau, Praxisbeispiele u. Erfahrungen

voith.com Damit auch Ihre IIoT-Umgebung in Zukunft sicher bleibt Industrial Cyber Security

Compass Security [The ICT-Security Experts]

Cybersicherheit in der Smart Factory

Praktisches Cyber Risk Management

IT-SICHERHEITSEXPERTE/IN Beratung/Penetrationstests JOBPERSPEKTIVE

Informationsrisikomanagement

Cloud Computing. Standortbestimmung, Sicherheit, Prüfverfahren. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Ein Angebot von DYNACON & LOG 2" Security-Check Ihrer SAP-Systeme" DR. STEFAN JUNGINGER & HOLGER STUMM! München, Juli 2016!

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

splone Penetrationstest Leistungsübersicht

Hauke Kästing IT-Security in der Windindustrie

Erfahrungsbericht aus der Praxis: Vom PoC über Workshops bis zur Implementierung

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

PENETRATIONSTESTS UND TECHNISCHE AUDITS. Delivering Transformation. Together.

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

Automotive Embedded Software. Consulting Development Safety Security

Identity Management: Der Schlüssel zur effektiven Datensicherheit

splone SCADA Audit Leistungsübersicht

APT Defense Service. by TÜV Rheinland.

Cyber-Risk-Analyse. Mit adesso erhalten Sie die bestmögliche Sicherheit für Ihr Unternehmen

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Live Hacking. Einblicke in die Methoden der Hacker und Was Sie zum Schutz Ihres Unternehmens tun können.

TÜV Rheinland: Cybergefahren für Industrieanlagen unterschätzt

Grundlagen des Datenschutzes. Musterlösung zur 7. Übung im SoSe 2008: Vergleich Fehlerbaum und Angriffsbaum

Faktor Mensch in IT-Managementsystemen oder Security-Awareness nachhaltig und wirksam. Nadin Ebel, Materna

Grundlagen des Datenschutzes und der IT-Sicherheit

BCM im Kontext von Industrial Control Systems. 4. CYBICS Cyber Security for Industrial Control Systems

RUAG Cyber Security Cyber verstehen. Werte schützen.

IT-Sicherheit: Unternehmen betrachten die Themen zu technisch

Absicherung eines Netzbetriebs. innogy SE Group Security Alexander Harsch V öffentlich

zur Erstellung von Präsentationen

safe data, great business. Version: 2.0 Datum: 13/02/18 Status: öffentlich Vertraulichkeitsklassifizierung: öffentlich

it-sa 2015 Toolgestützte Prüfung des SAP Berechtigungskonzepts Autor: Sebastian Schreiber IBS Schreiber GmbH

Mehr Effizienz dank Online Marketing Audit. Whitepaper inkl. Best Practice Beispiel

Hacking und die rechtlichen Folgen für die Geschäftsleitung

TÜV Rheinland. Ihr Partner für Informationssicherheit.

LIVE HACKING: AUSNUTZUNG VON SICHERHEITSLÜCKEN BEI INDUSTRIELLEN AUTOMATISIERUNGSSYSTEMEN

Fraud und e-crime - Risiken im Zahlungsverkehr

CyDIS Penetrationstest modular und günstig Immer auf neuestem Wissenstand

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Ausblick auf die neue Cyber- Risiko-Regulation der FINMA

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

Management- und Organisationsberatung. Business Continuity Management (BCM)

Datenschutz und Sicherheit

TISAX Assessment. Informationssicherheit in der Automobilindustrie.

Vielen Dank für Ihre Aufmerksamkeit!

PRE-SCAN KRITIS. Delivering Transformation. Together.

Sicherheit von Webanwendungen. mit IBM Rational AppScan

Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen. OWASP Appsec Germany Nürnberg

SIWECOS auf der sicheren Seite. Peter Meyer, eco e.v. Projektleiter IT-Trends Sicherheit, Bochum

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

Das IT Sicherheitsgesetz kritische Infrastrukturen im Zugzwang. - Made in Germany

Security Audits. Ihre IT beim TÜV

Status Quo zur Sicherheit Eine Sichtweise

Ein Kommunikationslagebild für mehr IT-Sicherheit

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

secion Fact Sheet BLACK BOX AUDIT

NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

2. Bildungsweg vom gehobenen Polizeidienst

IT-Security als Voraussetzung für Digitalen Wandel Hausaufgaben für Industrie 4.0 und Digitales Business

SNP Poland. bis BCC

Sicherheit und Verteidigung für Ihre Netzwerke und Server

Faktor Mensch in IT-Managementsystemen oder Security-Awareness nachhaltig und wirksam : Mit Spannung, Spaß und Spiel zu mehr Sicherheit

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Mensch oder Maschine - Wer erstellt die besseren Sicherheitsanalysen?

Willkommen in der ORANGEN Welt. UNSER WEG ZUR ISO ZERTIFIZIERUNG

BearingPoint RCS Capability Statement

Industry 4.0 and Internet of Things - Are they a risk to your business? Bjoern Haan Geschäftsführer im Geschäftsfeld Cyber-Sicherheit TÜV Rheinland

DATENSICHERHEIT BEI AUTODESK BIM 360

SAST NEWS: Für Ihre SAP Security & Compliance

Vertrauen. ist die Basis für Sicherheit. IT Security made in Europe

Qualitätssicherung in SAP HCM Eigenentwicklungen

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

Manipulation industrieller Steuerungen

ISIS12 und die DS-GVO

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

IT-Security Symposium in Stuttgart. Andreas Schmidt, Specialised Sales IT-Security

Mehr Sicherheit innerhalb Ihres Data Centers? Wir zeigen Ihnen wie!

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

Thema IT-basierte Innovationen. IT-Sicherheit ist absolut unnütz, so lange bis etwas passiert Dirk Czepluch 21. November 2016

LEISTUNGSSTARKES, SKALIERBARES SCHWACHSTELLEN- MANAGEMENT. F-Secure Radar

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

Securing Your Digital Transformation

Informations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -

Transkript:

SAP Penetrationstest So kommen Sie Hackern zuvor!

TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Know-how, Partnerschaften mit Marktführern International zählen wir im Verbund mit unseren Schwester-gesellschaften OpenSky und 2MC zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO 27001 und ISO 9001 2

Referent Security Analyst Penetrationstests SAP-Penetrationstests Otto von Natzmer Security Engineering 3

Agenda 1 2 3 4 Der SAP-Penetrationstest auf einen Blick Phase 1: Simulation einer ausgedehnten Analysephase durch Angreifer Phase 2: Simulation der Angriffsphase durch Ausnutzung der in der Analysephase erhaltenen Informationen Nach dem Test: detaillierter Bericht 5 Abschlussgespräch 4

Der SAP-Penetrationstest auf einen Blick WAS WIR MACHEN Die Sicherheitsexperten von TÜV Rheinland analysieren die Zielsysteme nach Schwachstellen durch: Unsichere Architektur, Software, Segmentierung, Firewalls Unsichere Konfiguration Unsicheren Code TÜV RHEINLAND: SAP PENTEST-TEAM WIE WIR ES MACHEN Manuelle Analyse durch automatisierte Tools: Authentifizierte Scans Manuelle Tests ABAP Code Review DIE ERGEBNISSE Das Abschlussgespräch: Kritische Risiken Quick Wins Detaillierter Report: Detaillierte und bewertete Risiken Empfehlungen Die Präsentation hat das Ziel: Transparenz zu schaffen Awareness zu erhöhen 4 Senior-Pentester, davon 2 ehemalige ABAP Entwickler 2 Junior-Pentester 5

SAP-Penetrationstest: Simulation einer Cyberattacke MADE IN GERMANY SCHAFFT VERTRAUEN Maximale Sicherheit Ihrer Daten bei vollständiger Abdeckung der Analyse unter Einhaltung des Bundesdatenschutzgesetzes (BDSG). INTEGRITÄT UND VERFÜGBARKEIT IHRER DATEN Penetrationstests werden ausschließlich gegen nichtproduktive Systeme durchgeführt der Betrieb Ihrer produktiven Systeme wird nicht beeinträchtigt. GANZHEITLICHKEIT Werden andere ausnutzbare Schwachstellen Ihrer IT während des Tests auf unterstützenden System entdeckt, werden auch diese dokumentiert und berichtet. TRANSPARENTE ERGEBNISSE Der SAP-Penetrationstest zeigt den aktuellen Zustand Ihrer SAP-Systeme auf und bildet eine Grundlage, um Ihre SAP-Security mit Ihrem Risikomanagement zu vereinen. Gleichzeitig werden Empfehlungen ausgesprochen, um Ihre relevanten Sicherheitslücken zu schließen. 6

SAP-Penetrationstest: Simulation einer Cyberattacke Wie einfach können Ihre Anwendungen manipuliert werden? Hält Ihr SAP-System Angriffen stand? Ein SAP-Penetrationstest ist der einzige Weg, um reale Risiken, wirksam zu identifizieren Sicherheitslücken entdecken: vor Wirtschaftsspionage schützen Bei einem Penetrationstest betrachten wir Ihre SAP-Infrastruktur aus der Sicht eines Hackers. Dabei simulieren wir eine realistische Cyber- Attacke und spüren Sicherheitslücken in Ihrer IT auf, bevor Angreifer sie ausnutzen können 7

SAP-Penetrationstest: Analysephase Phase 1 Simulation einer ausgedehnten Analysephase durch Angreifer Die Angreifer bewegen sich oft über Monate/Jahre im Netzwerk und sammeln Informationen über ihre Zielsysteme Bei einem SAP-Penetrationstest werden authentifizierte Scans der Betriebssysteme und SAP-Systeme benutzt, um diese Phase auf wenige Stunden zu reduzieren 8

SAP-Penetrationstest: Analysephase Phase 1 Simulation einer ausgedehnten Analysephase durch Angreifer 9

SAP-Penetrationstest: Angriffsphase Phase 2 Simulation der Angriffsphase durch Ausnutzung der in der Analysephase erhaltenen Informationen Die Penetrationstester nutzen die detaillierten Informationen, um mit minimale bis gar keine Berechtigungen innerhalb des Netzwerkes die SAP Systeme zu übernehmen Letzendliches Ziel ist es vollzugriff auf allen SAP-Systemen zu haben. 10

Transparente Ergebnisse: Detaillierter Bericht Deliverables 1 Ein detaillierter Bericht mit Kritischen Gefährdungen durch Berechtigungen Kommunikationsschnittstellen Custom-ABAP-Code SAP-Softwarefehler Fehlkonfigurationen Proofs of Concept für die Ausnutzbarkeit der kritischen Gefährdungen 11

Abschlussgespräch. Quick-Wins Deliverables 2 Abschlussgespräch Erläuterung der kritischen Schwachstellen Empfehlungen von Quick-Wins 3 Präsentation Detaillierte Beschreibung des Vorgehens und Findings Einfache Sprache zur Steigerung der Transparenz Steigerung der Awareness beim Management für das Thema SAP-Security 12

VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter www.tuv.com/informationssicherheit 13

Kontakt. Otto von Natzmer Security Analyst TÜV Rheinland i-sec GmbH Zeppelinstraße 1 85399 Hallbergmoos Tel. +49 221 56783 853 email: Otto.vonNatzmer@i-sec.tuv.com otto.vonnatzmer@i-sec.tuv.com Otto.vonNatzmer@i-ec.tuv.com www.tuv.com/sap-pentest

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback