SAP Pentest

Schützen Sie Ihre Systeme & Anwendungen

Was sind Einfallstore für Angreifer?

Die unternehmenseigenen SAP-Systeme sind oft einer der kritischsten Bereiche für die IT-Sicherheitsorganisation eines Unternehmens. Nicht selten werden hier sensible und hochkritische Geschäftsprozesse konsolidiert. Das Ausnutzen einer Schwachstelle in einer solchen Umgebung kann somit schwerwiegende und mitunter substanzielle Konsequenzen haben. Besonders kritische, spezifische Schwachstellen in SAP-Infrastrukturen werden oft nicht erkannt, da sich der Pentest von SAP-Infrastrukturen von dem eines Systems oder einer Anwendung signifikant hinsichtlich des Vorgehens zur Untersuchung unterscheidet.

Bei unserem SAP Pentest untersuchen unsere Security Analyst*innen Ihre SAP-Systeme und FIORI-Webanwendungen umfassend, um mögliche Einfallstore für Angreifer zu identifizieren.

Häufige Schwachstellen sind beispielsweise: 

  • Fehlende Patches für veröffentlichte Schwachstellen in der SAP-Software
  • Fehlkonfigurationen bei Benutzerberechtigungen, RFC-Verbindungen, System-Parametern sowie den Einstellungen für die Verschlüsselung
  • Verwendung veralteter Drittanbieter-Software (z.B. zum Monitoring) mit bekannten Schwachstellen
  • Sicherheitslücken in eigenentwickelten ABAP-Reports, die eine Rechteerweiterung oder Kompromittierung des Systems ermöglichen
  • Unzureichende Abgrenzung zwischen Entwicklungs-, Test- und Produktiv-Systemen

Wie gehen wir beim SAP Pentest vor?

Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei SAP Pentests um spezifische Elemente erweitert wird:

Der Pentest von SAP-Infrastrukturen erfordert eine fundierte Expertise und grundlegendes Verständnis von SAP-Produkten. Bei der Analyse von SAP-Produkten unterscheiden wir zwischen der Untersuchung von webbasierten SAP-Systemen und der Prüfung von SAP-Produkten auf Systemebene.

 

Welche Überprüfungen sind beim SAP Pentest Bestandteil?

Die folgenden Prüfungen sind unter anderem Bestandteil von Pentests der SAP-Systeme:

  • Überprüfung von Standard-Diensten (SSH, SMB, NFS, Management- und Monitoring-Software usw.) sowie Überprüfung von SAP-spezifischen Diensten (wie unter anderem Content Server, Message Server, Management Console, ICM, IGS, WebDispatcher)
  • Exemplarische Berechtigungsprüfung eines Fachbereichsnutzers auf unberechtigten Zugriff auf administrative Transaktionen
  • Überprüfung der konfigurierten Systemparameter (wie unter anderem von standardisierten SAP-Härtungsempfehlungen, der Konfiguration von ACL-Listen, das Auslesen von Informationen von ICF Webservices oder die Verschlüsselung bei spezifischen SAP-Protokollen wie beispielsweise DIAG)
  • Individuelle Anpassung von verfügbaren Exploits (beispielsweise von Security Focus, Metasploit, PySAP oder Core Impact) zur Ausnutzung von identifizierten SAP-spezifischen Schwachstellen

Bei Pentests der FIORI-Webanwendungen führen wir darüber hinaus folgende Prüfungen durch: 

  • Überprüfung der Eingabevalidierung und -verarbeitung
  • Automatisierte Überprüfung der Webapplikation mittels eines State-of-the-Art-Schwachstellenscanners
  • Angriffsszenarien auf Basis der Kombination mehrerer identifizierter Schwachstellen
  • Überprüfung des Berechtigungskonzepts der FIORI-Anwendung, sowohl in der Webanwendung direkt als auch im OData-Datenmodell
  • Automatisierte und manuelle Analyse des OData-Datenmodells

Zunehmend mehr Angriffe auf SAP-Systeme lassen sich auf Sicherheitslücken in selbstprogrammiertem ABAP-Code zurückführen. Muster „klassischer“ Code-Analysen auf bspw. Buffer Overflow oder Code-Injection Schwachstellen sind auf ein ABAP-basiertes Programm nicht anwendbar. Mit unserem ABAP Quick Check bieten wir Ihnen daher optional eine Überprüfung von bis zu 100.000 ABAP-Reports auf auffällige oder gefährliche Muster an. 

Webinar-Tipp: IT-Sicherheit Ihrer SAP-Umgebung

Zwei Security Analysten erklärten im Webinar, welche Angriffspunkte Sicherheitsverantwortliche kennen sollten und wieso ein spezielles Vorgehen bei der Überprüfung der IT-Sicherheit von SAP-Umgebungen entscheidend ist. Schauen Sie in die Aufzeichnung rein.

Mehr Einblicke

Pentest: Unsere einheitliche Vorgehensweise

Pentest: Ihre Vorteile auf einen Blick

Entdecken Sie Einfallstore in Ihre SAP-Umgebung rechtzeitig

Planen Sie jetzt Ihren Pentest und erhalten Sie unseren Online-Rabatt.

Pentest planen


 

Kontakt

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

 

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE