Folge 21: SAP-Systemsicherheit: Was, Warum und Wie?

00:00:03: SAP explain der podcast für Themen rund um SAP.

00:00:08: Ja hallo und herzlich willkommen zu inzwischen folge numero einundzwanzig SAP explain, der podcast Für Themen rundum SAP.

00:00:16: heute viele die oder alle Die letzten monat unserem podcast zum thema souverena cloud Gesehen und gehört haben kentubi schon Und meine Wenigkeit, ich bin Marcel.

00:00:28: Das ist Tobi mein Kollege und genau wir haben letzte Woche einen letzten Monat.

00:00:33: ist das schon wieder her?

00:00:34: ne?

00:00:34: Wie schnell die Zeit vergeht!

00:00:35: Wir sind jetzt schon wieder im Juni anfangt.

00:00:37: Ich komme hier nicht weg.

00:00:39: So Schalastin, ich gehe.

00:00:40: Ich bin sitzen geblieben.

00:00:41: Ich habe es ja

00:00:41: angebroht das letzte Mal genauso.

00:00:43: Ja sehr schön dass du hier bist.

00:00:45: Freut mich dass wir eine weitere Folge zusammen... Ja, haben dürfen.

00:00:50: zu unserem Podcast und warum du hier bist.

00:00:53: genau Thema heute ist nämlich Sicherheit von SAP System.

00:00:56: Also ich hatte gerade im Ganzkutschung erwähnt letzten Monat haben wir über die Souveräne Cloud also die SSC, die SAP Subway in Cloud gesprochen und über die Data Security und Compliance alles was so in der Cloud, in der Wolke rumschwiert und was man beachten muss.

00:01:11: Und wir haben tatsächlich von vielen oder von einigen Zuhörern und Zuhöhrer so die Rückmeldungen bekommen.

00:01:17: das ist mega interessant.

00:01:18: Cloud, aber wie sieht das ganze denn überhaupt in den klassischen on-prem SAP System mit meiner eigenen Infrastruktur aus?

00:01:25: Wie steht es da um die Sicherheit?

00:01:27: und habe ich gedacht.

00:01:28: Ich hab ja letztmal angedroht Tobi, ich greime dich nochmal und wir reden noch mal über weitere Themen dass es jetzt so schnell kommt.

00:01:35: wer hätte es gedacht Genau.

00:01:37: Schön, dass du hier bist!

00:01:38: Also wir wollen jetzt so ein bisschen darüber reden wie das denn um die Sicherheit von SAP System steht und warum dann die SAP Sicherheit überhaupt kritisch ist?

00:01:47: Und wie man das Ganze halt auch in der nicht reinen Cloud-Welt sicher hält und was es da für Möglichkeiten gibt stichwort Pan Testing, dass man einfach auch selber als Betreiber eines SAP System weiß so Wie sicher ist mein System?

00:02:01: Ist das von außen angreifbar, was muss ich tun?

00:02:04: Nicht dass man am Montagsmorgen plötzlich um die Ecke kommen ins Unternehmen will sich einloggen und nichts funktioniert mehr.

00:02:10: Ja.

00:02:11: Soweit genau ich.

00:02:13: SAP sicher.

00:02:14: das ist ja erst mal auch ein weiteres Thema.

00:02:17: Wir haben uns heute für so ein bisschen so einen rundum Schlag überlegt Um einen Überblick zu geben was man wo überhaupt machen kann.

00:02:23: Das wird sowohl on-premise betreffen als auch die cloud.

00:02:26: Vielleicht eingangs eine kurze kurzer Disclaimer.

00:02:30: wir werden Ich werde viele Produkte nennen, wir werden viele Produkte von der SAP ansprechen.

00:02:35: Viele Begriffe nennen.

00:02:36: Dann werden wir alles noch mal in die Beschreibung packen.

00:02:39: Auf jeden

00:02:39: Fall.

00:02:39: aber viele Produkten das ist ja zeigt auch schon dass Sicherheit auf jeden Fall groß gestreamiert.

00:02:44: Genau richtig

00:02:44: nicht.

00:02:45: dass du hier jetzt mit einem leeren Zettel um die Ecke kommst und sagst so ja SAP Systeme unsicher Ja dann ist da irgendwie so mit drin wissen wir auch nicht.

00:02:52: Aber wenn du jetzt schon sagst, es gibt da viele Produkte.

00:02:54: Das macht einen auf jeden Fall Mut.

00:02:55: Ja genau.

00:02:56: Ich wollte ihn nicht unterbrechen aber ich finde das ein sehr interessantes Thema.

00:02:59: Nee in den letzten Jahren auch Jahrzehnten hat SAP der zum Glück dem auch mehr Aufmerksamkeit gewidmet.

00:03:07: Man muss dazu sagen ganz kurz SAP-System ist das Herz der betriebswirtschaftlichen Prozesse am Unternehmen.

00:03:14: Nur mal so als Idee, warum das interessant sein könnte für Angreifhauen wird auch aktiv angegriffen.

00:03:19: Das sieht man auch in gewissen Auswertungen zu Stand Intelligence und sowas.

00:03:24: Wenn das SAP-System in da Daten abgezogen werden, dann liegen vielleicht Unternehmensdaten, sensible Unternehmsdaten Personaldaten Finanzdaten Kundendaten alles.

00:03:32: Es muss ja nicht nur Daten abgezogen werden, sondern viel schlimmer ist auch wenn die manipuliert wird

00:03:37: oder sogar

00:03:37: der Zugriff aller Mitarbeitenden nicht mehr gewährt ist.

00:03:39: Richtig.

00:03:40: Dann ist sie unter dem Tod kann nichts machen.

00:03:42: also richtig.

00:03:42: Daten werden abgezogen oder die Prozesse werden irgendwie zum Stillstand gebracht?

00:03:46: Oder es wird vielleicht heimlich manipulieren über eine lange Zeit dass auf falsche Stammdaten läuft und dann hat man enden nach halben Jahre einen riesigen wirtschaftlichen Schaden, weil da irgendwas falsch war.

00:03:55: Immer still und heimlich abbuchen auf mein privates Konto?

00:03:57: Genau!

00:03:58: Richtig!

00:03:58: Ja ja, solche Vorfälle gab's auch schon.

00:04:01: also das ist nicht unüblich dass Leute dann irgendwie was ein bisschen abverließen lassen.

00:04:07: Genau!

00:04:08: Und um dem zu gehen wollen wir mal drüber sprechen was es denn überhaupt so gibt?

00:04:13: Richtig Wir haben uns das Ganze gedacht, wir teilen erst mal so einen in zwei große Kategorien.

00:04:20: Ich habe das einfach mal um ein bisschen spannender zu gestalten in Offensive Security und Defense Security eingeteilt.

00:04:26: Wir starten einfach mal mit der Defense Security.

00:04:29: also was kann man im vorbereitenden defensiven Bereich tun um SAP allgemein gesprochen erstmal sicher zugestalten?

00:04:37: Und da wir auch selber iso-zertifiziert sind... und es in diesen ganzen ISO-Zertifizierung, um BSI Grundschutz usw.

00:04:44: auch diesen PDCA-Zyklus gibt den Plan du Check Act Zyklos also wo man... Hab ich tatsächlich

00:04:48: schon mal von gehört ja?

00:04:49: Phasen durchläuft wie man so ein ja Informationssicherheitsmanagement aufbaut habe ich das einfach mal adaptiert und genommen um hier ein bisschen Ordnung reinzubringen.

00:04:58: zu einem was wir jetzt gleich sagen werden wenn wir mal anfangen.

00:05:01: wir haben den ersten Zyklus plan in der defensiven Security.

00:05:04: also wir müssen uns darüber Gedanken machen dass überhaupt eine sicher wie können wir unsere SAP Infrastruktur sicher aufbauen?

00:05:09: Wir können unsere Systeme sichern, härten und da hat SAP verschiedene Möglichkeiten dass man sowas machen kann.

00:05:16: Das allererste was man vielleicht sich mal für einen guten Einstieg vor Augen führen kann ist die SAP Secure Operations Map.

00:05:23: Da wird

00:05:24: von der SAP sicher oder da wird allgemein die SAP Infrastruktur in verschiedene Ebenen eingeteilt so wie das... bisschen wie das Ozi-Modell, wer das kennt aus der Netzwerke oder Systemtechnik.

00:05:37: Also

00:05:37: da sind wir wirklich so im Infrastrukturbereich und Architekturbereich also alles?

00:05:41: Tatsächlich auch noch mit darüber weil es fängt an diese.

00:05:44: es gibt glaube ich sieben Ebenen, das fängt wirklich auf Environment Ebene, dass ist das was du gesagt hast, infrastrukture Herden da sicher sein.

00:05:52: dann kommt darüber die Systemebene und dann gehts weiter über die Application Ebene also das SAP System an sich bis zur Organisation Ebene, also da wo man dann irgendwelche Compliance und Awareness Themen hat.

00:06:04: Das hat die SAP immer so eingeteilt um ein bisschen der Überblick zu schaffen.

00:06:07: Da kann man auch wenn man sich das anschaut gibt es auch zu jeder Ebene einen Blogartikel wo von der SAP Notes verlinkt werden weitere Security Commendations verlinket werden usw.

00:06:17: klickt erstmal so erst mal so ein grob überblick welche Ebenen überhaupt angehen muss.

00:06:22: Das ist Schritt eins.

00:06:22: Schritt zwei, wir haben in diesem Plan-Planning, wie mache ich meine Systeme sicher?

00:06:27: Haben wir auch einen Security Baseline Template nennt sich das.

00:06:31: Da hat die SAP aus Sicherheitsempfehlungen für einzelne Produkte auf Security Notes, aus anderen Sicherheitsanalyse Software von der SAP zum Beispiel den Early Watch Alert kommen wir gleich noch zu.

00:06:43: Die haben all diese ganzen Checks und Empfehlung nach zusammengepackt in ein Template, das existiert in verschiedenen Formen als Word Dokument, als Excel kann auch in Solusenmenschen und Focus Run importiert werden.

00:06:55: Und das sind so die Standard-Empfehlungen der SAP, welche man Systemanstaltungen treffen sollte.

00:07:02: Die können wir dann abgleichen und die SAP empfiehlt dann das Ganze mal zu checken und zu gucken.

00:07:06: was ist der Unternehmens eigene Standard?

00:07:09: Wollen wir das adaptieren oder noch schärfer machen?

00:07:12: Also

00:07:12: zu verstehen quasi als eine Art Checkliste...

00:07:15: Richtig!

00:07:16: Als Empfehlung von der SAP Betreiben SAP-System.

00:07:20: Hier habt ihr eine Checkliste, guckt mal.

00:07:21: das sind so die Mindestanforderungen?

00:07:23: Wenn ihr das alles berücksichtigt habt dann sollte euer System schonmal halbwegs sicher sein, Sternchen oben rechts wo ich

00:07:28: bin.

00:07:28: Wenn es eine Abweichung gibt, dann gucke ich euch an.

00:07:30: warum hat die SLP da strenger bewertet oder vielleicht weniger streng.

00:07:33: Das ist so womit man starten kann.

00:07:37: Als nächstes haben wir ein Security Optimization Service

00:07:42: SOS.

00:07:44: Das klingt auch sehr gut!

00:07:46: Genau, dieser Service den kann man.

00:07:49: ich bin nicht ganz sicher.

00:07:50: Ich glaube den gab es früher auch für den Solution Manager und gibt das immer noch auf jeden Fall jetzt.

00:07:54: State of the Art ist dass man diesen von der SAP anfordern kann in bestimmten Intervallen und dann schauen da SAP Experten drauf und analysieren dieses Themenlandschaften.

00:08:03: da kriegt man wirklich einen tiefgehenden, maßgeschneiderten Report wie es um bestimmte Sicherheitsanstaltungen in der seiner eigenen Systemlandschaft bestellt ist.

00:08:11: Also

00:08:11: das sind quasi ein Report der ausgeführt wird und da bekommt man dann Informationen darüber was?

00:08:16: Ja genau also das wird von der SAP geliefert die Was genau bei der SAP alles an Reports läuft oder was sie für Methoden haben Das weiß man nicht.

00:08:26: aber auf jeden Fall bekommen wir am Ende einen Bericht wo das ganze Rand drin steht Den

00:08:30: wir SOS berichten.

00:08:32: Genau Wir haben noch dieser ganzen Planzyklus, noch ein Produkt was vielleicht die, die Solution-Menscher damit aufgewachsen sind kennen den Early Watch Alert.

00:08:44: Das ist immer noch eine Komponent des Solution Managers gibt es mittlerweile auch.

00:08:51: man kann diesen Early Watch Report ohne Solution Manager anfordern.

00:08:56: das ist praktisch.

00:08:57: also der Hat einen kleinen Security-Fokus, hat aber auch noch macht auch ein Bericht zu Diagnose vom SAP System.

00:09:04: Also

00:09:04: quasi Monitoring-System.

00:09:06: Genau, Monitoringssystem, richtig.

00:09:08: Okay,

00:09:10: ja genau den Early Watch Alert also ich selber kenne ihn auch sehr gut habe schon oft von gehört und auch öfters schon benutzt.

00:09:15: Richtig

00:09:17: das Ganze wird auch langsam abgelöst.

00:09:19: von der Cloud ALM kommen wir gleich nochmal zu.

00:09:22: Und zuletzt haben wir natürlich, was auch in dem Baseline-Template schon drin reingearbeitet ist.

00:09:26: Haben wir für jedes einzelne Produkt von der SAP einen großen Leitfaden.

00:09:30: Das sind meistens große PDF-Dokumente wirklich für dieses spezifische SAP-Produkt die Security Recommendation, also die Sicherheitsempfehlung und Einstellung aufgelistet sind, die man nochmal dann explizit nachlesen kann.

00:09:42: So!

00:09:43: Dann haben wir erstmal jetzt ein Überblick gehabt... was überhaupt für Einstellungen wir machen müssen.

00:09:47: Wir haben geplant im Plänenabschnitt vom PDCA-Zyklus, jetzt müssen natürlich auch ins Doing kommen.

00:09:52: das heißt wir müssen das umsetzen und wir müssen dass auch irgendwie sage ich mal überwachen, dass diese Einstellung auch nicht verändert werden beziehungsweise dass wir die auch erst mal richtig umgesetzt haben.

00:10:02: Wir reden davon vielen.

00:10:03: Einstellung das kann man halt sagen.

00:10:04: Ich würde grad sagen ja das stimmt

00:10:06: ganz.

00:10:06: wenn man das irgendwie automatisieren kann ist es natürlich sehr hilfreich.

00:10:09: und die Automatisierung Hier haben wir zwei Tools, die jetzt schon ein bisschen älter sind.

00:10:17: Die auch langsam abgelöst werden.

00:10:19: und da haben wir einmal den gerade eben angesprochen zu Loosenmanager der von der Cloud ALM so langsam ab gelöst wird.

00:10:26: Der hatte diesen Early Watch Report zum Beispiel drin und hat dann auch bestimmte Security checks gemacht und das konnte man sich das anschauen.

00:10:33: Es gibt noch Sub-Focus Run, das ist ein Produkt.

00:10:36: Wenn man in einem Unternehmen ist was zum Beispiel SAP Systeme von anderen Unternehmen betreut dann hat man vielleicht mal gut und gerne hundertzweinart Systeme.

00:10:43: dafür ist der Focus One.

00:10:44: der ist nämlich so ähnlich wie der Solution Manager nur nochmal ein bisschen oder so wie wir

00:10:47: die auch dieser Ansatz an Systemen hat aber im Testsystem ja

00:10:50: genau richtig.

00:10:52: Das ist dazu da nochmal eine grov viel größere Menge an Systems zu überwachen.

00:10:56: das ist eigentlich so der Hauptaufgabe von Focus Run.

00:10:58: sonst hat er ähnliche Security Überwachungsmethoden wie das Holmen.

00:11:03: Wenn wir im Doing sind, dann müssen wir vielleicht mal ganz kurz auf die Entwicklung eingehen.

00:11:08: Es ist klar, wir können nicht alle so programmieren wie wir Lustig sind sondern wir müssen bestimmte Richtlinien in der Programmiersprache abab oder auch in modernen Anwendungen wie UR-Five, Cap, Wrap was es da so gibt einhalten.

00:11:20: SKD SAP hat ja auch so ein Secure Software Development and Operations Lifecycle das heißt Praktisch ein Lifecycle, der beschreibt wie du eine sichere Entwicklung machst.

00:11:29: Du fängst an sicher zu Koden nach neuesten Standards.

00:11:31: Du testest das in verschiedenen Testarten und du machst am Ende vielleicht noch mal so einen Sicherheitstest und so weiter.

00:11:35: Das kann man sich auch anschauen.

00:11:37: Einfach sichere Entwicklungsrichtlinien nach Maßgaben mit den neusten Methoden.

00:11:41: Das ist gut also quasi auch so eine Art Leitfaden How to Envickle Safe?

00:11:46: Ja richtig!

00:11:47: Du weißt was ich meine.

00:11:48: Genau ja wir sind ja leider mit diesen ganzen englischen Begriffen hier auch ganz nah dran.

00:11:55: Geht das nochmal durcheinander, kein Problem.

00:11:57: In diesem Sinne muss man auch kurz erwähnen wir haben da ja im Entwicklungsprozess auch sowas wie das ABAP-Testcockpit was die C, genau das ATC was die CoalQualität überprüft.

00:12:07: Wir haben den CVA, den CoalFormabilitätsanleiser der SAP Der On-Premise sehr viel kostet.

00:12:13: deswegen kommen viele die nicht gute Nachrichten gibt's kostenlos zum testen oder Ich glaube nicht nur zum Testen, sondern auch im Produktivbetrieb kostenlos auf der BTP.

00:12:22: Als Service da ist er kostenlos und so ein bisschen damit man mal in die Cloud geht als Lockmittel.

00:12:28: Ansonsten soll es nicht unerwähn sein haben wir ja noch SIRT Party Tools die sowohl Systeme überwachen als auch Code Qualität.

00:12:36: Ich nenne jetzt einfach mal die drei Große.

00:12:38: Das ist Security-Bish, das ist Unapsis, das is Disastute von Passlock.

00:12:42: Es gibt noch einige andere, da soll keine Werbung sein.

00:12:44: Ne aber ich hab jetzt nicht so viel mit der Batterie zu tun.

00:12:49: Aber trotzdem sind das Begriffe Die wenn man mal häufiger auf DSAG Kongressen ist oder auf SAP Veranstaltung Dann kommt man eigentlich an den Drei Meistens auch nie dran vorbei.

00:12:59: Genau,

00:12:59: richtig.

00:12:59: Einfach der Stil immer genannt ist das sowohl Kultqualität überwachen als auch ein bisschen was die Cloud alle macht also das Luschenmensch mal auf dieses Themenmonitum.

00:13:07: Okay genau.

00:13:09: Am Rande nochmal kurz erwähnen wenn wir so über Infrastruktur sprechen oder etwas umsetzen?

00:13:14: Wir haben natürlich auch so spezifische Lösungen von SAP für ganz spezifice Branchen.

00:13:18: Was wir im letzten Podcast sowohl gesprochen haben wie Cloud Cloud Umgebung die bestimmten Sicherheitsanforderungen

00:13:25: sagen, die halt nach Kritis eingestuft sind oder VSNFD also Verschlusssache nur für den Dienst Gebrauch.

00:13:31: Halt alles was so Richtung Aerospace Defense oder kritische Infrastrote oder so geht genau.

00:13:37: Das soll nicht unerwähnt bleiben.

00:13:38: das hat mit allen Bereichen Pläne du Check Act zu tun.

00:13:41: das wollte ich nun mal an der Stelle nochmal sagen.

00:13:42: und auch Für den Aerospace in Defense Bereich gibt es da von der SAP auch eine eigene Lösung die auf die Logistik und Veranhaltung sag ich mal jetzt militärischen Einrichtungen wie Bundeswehr, NATO und so weiter angepasst ist.

00:13:55: Das ist auch immer ein sehr spezifischer

00:13:56: Bereich.

00:13:58: Ja wir haben jetzt unser System vielleicht gehärtet?

00:14:01: Wir haben das gemonitort.

00:14:02: Wir haben es noch einmal an die Solumen Focus One angeschlossen.

00:14:07: Ich möchte auch nochmal kurz auf die Cloud ALM eingehen.

00:14:09: Cloud ALm ist dann praktisch nochmal der nächste Schritt wenn wir jetzt da sind auch das ganze mal regelmäßig checken und überwachen wollen ist er der Nachfolger sozusagen des Solmans Platt gesagt.

00:14:20: Da haben wir auch schon mal in einem anderen Podcast einen Kollegen von uns drüber gesprochen über

00:14:24: Cloud Alarm.

00:14:24: Und es gibt innerhalb der Cloud ALM gibt es die Configuration und Security Analyzes Komponente, das ist ja ein spezifischer Teil der Cloud Alarms, der sich mit dem Security-Bewachung befasst.

00:14:37: und das ist so bisschen der Jaa, Nachfolge vom Solutioner im Early Watch Report deckt auch Teile von diesem Security Optimization Service ab.

00:14:46: Die Security Baseline, also die empfohlenen Einstellungen von SAP gebündelt.

00:14:50: Die sind da auch hinterlegt.

00:14:51: Man kann Systeme anschließen an die CSA-Komponente hat dann so eine Übersicht welche Systeme nicht den Vorgaben entsprechen und ist eigentlich mit das modernste und empfundeste wohl Monitoring Tool was es jetzt momentan von der SAP gibt.

00:15:09: Das ist so ein bisschen das Monitoring und sicherstellen, dass die SAP Systeme gut eingestellt sind.

00:15:14: Das gilt natürlich was ich jetzt gesagt habe sowohl für On-Premise als auch für Cloud Produkte.

00:15:19: Die lassen sich alle gleichermaßen anschließen.

00:15:21: Wenn man jetzt noch mehr in die Angriffserkennung gehen möchte, d.h.

00:15:25: man möchte verhindern, dass Leute irgendwelche kritischen Einstellungen ändern.

00:15:29: Man möchte erkennen wenn jemand auf dem System es ja gar nicht sein sollte oder Schindblüter treibt dann gehen wir ein bisschen in die Richtung Thread Detection.

00:15:37: Und da haben wir von der SAP ein Tool oder ein Produkt, das ist die Sub Enterprise Thread Detection.

00:15:43: Das ist also nichts anderes.

00:15:45: Es gibt es auch für Non-SAP solche Systeme.

00:15:48: Da werden von allen möglichen Produkten Loks und Informationen hingeschickt und sie werden mit einer bestimmten Erkennung auf Muster überprüft, auf Patterns zum Beispiel ist jemand lockt sich Freitagabend ein.

00:16:03: Und normal es kann natürlich sein, dass jemand Freitagabend was machen möchte.

00:16:06: Wenn der sich jetzt aber in dem Einlog steht drin, dass er für sich freitagsabend einloggen und im anderen Log steht drin das er dann plötzlich irgendwo seinen Benutzer Hardcode einträgt und drittes Loch sagt noch, dass ja plötzlich um den RFC Versuch auf einen Produktivsystem ausgeführt hat all diese drei Sachen zusammengenommen sind da schon bisschen.

00:16:22: In englisch sagt man, das ist bischen ein bisschen auffällig und dann würde man schon sagen.

00:16:26: Was machst du da eigentlich?

00:16:28: So was macht so eine Tractor Detection?

00:16:29: die kombiniert solche Patterns.

00:16:30: die muss man dann einstellen also es auch einiges an Arbeit.

00:16:32: man stellt das anfangs ein hat ganz viele Meldung.

00:16:35: Falls Positives da muss man das bereinigen.

00:16:37: man muss die Patterns anpassen auf das eigene Unternehmen auf die Prozesse.

00:16:40: aber dann am Ende hatten wir sehr schöne Erkennungen Überwachung der Systeme wenn da jemand

00:16:46: Frage zum ETD also dieses Enterprise Thread Detection.

00:16:48: Ist das ein Cloud Produkt oder läuft das on-prem?

00:16:51: Das ist angefangen als On-Prem-Produkt, gibt es auch immer noch.

00:16:54: Das heißt man lädt sich installiert das bei sich selber und stellt das hin.

00:16:57: Gibt es aber auch als Cloud Service?

00:16:59: Okay!

00:17:00: Weil es macht gerade Klick in meinem Kopf weil ich habe vor kurzem nämlich bei uns in der BTP einen... Etd-System gefunden und ich glaube, das ist genau das.

00:17:07: Ich glaub du bist auch auch ganz schuld oder?

00:17:10: Sehr wahrscheinlich ja!

00:17:11: Ja, ich hab

00:17:11: die Welt verstanden.

00:17:13: Wir sind ja als Arbeit auch momentan dabei und wissen auch unseren Cyber Security Bereich auszubauen Und da ist etd ein Thema was wirklich wichtig ist und auch sehr heiß ist.

00:17:22: Okay

00:17:22: jetzt habe ich auch verstanden was ich da getan habe.

00:17:24: Richtig Auch noch andere Produkte neben der ETD soll auch keine Werbung sein, z.B.

00:17:30: Microsoft Sentinel ist ein großes von Microsoft ein Produkt was auch so etwas Ähnliches macht.

00:17:35: da kann man SAP mit anschließen aber auch für non-SAP Instruktur gedacht von Microsoft.

00:17:41: das sind zwei sehr große Sved Detection Tools und das Security Bridge.

00:17:45: was ich vorgenannt habe hat das auch mit drin.

00:17:46: also dass es alles immer so eine große Software Studios die diese Funktion mit drin haben.

00:17:50: Na gut da ist wahrscheinlich eher das Schwierige dann letztendlich zu finden was einem am ehesten gefällt am meisten voran bringt also.

00:17:59: Das sind ja jetzt schon viele Tools die du vorgestellt hast, was du auch ganz zu Anfang gesagt habtest.

00:18:02: aber wenn viele teilweise das gleiche oder ähnliches machen dann ist glaube ich echt schon schwierig da dann auch

00:18:09: das

00:18:09: richtige

00:18:10: Produkt zu finden oder?

00:18:10: Ja!

00:18:12: Die Berater antwortet immer, es kommt drauf an.

00:18:14: Aber es ist tatsächlich auch wirklich so eine Wirklichkeit weil es gibt unterschiedliche Landschaften aus On-Premise, aus Hybrid.

00:18:23: Manche sind vielleicht nur auf der Cloud und manche sind sehr stark clean core orientiert.

00:18:26: Manchen haben viele Eigenentwicklungen.

00:18:29: Mancher möchten gerne selber was installieren und hoßen über sich.

00:18:31: Manch möchten in die Cloud gehen.

00:18:32: Das sind ganz viele unterschiedliche Faktoren, die damit kommen.

00:18:35: da muss man halt die richtige Lösung finden und auch am Ende haben die Produkte auch immer alle kleine Unterschiede, muss man gucken was einem dann besser gefällt oder besser passt.

00:18:45: Was ich an der Stelle auch nochmal erwähnen möchte, die SAP hat jetzt einen SAP Application Vulability Report ausgebracht, der ist tatsächlich auch noch erstmal kostenlos.

00:18:56: Das ist ein Report zu allen Anwendungen, die man auf der BTP deployed hat.

00:19:01: Man programmiert ja einfach meistens über Cap oder Rap Und das sind dann UFive Anwendungen, die haben zum Beispiel auch... Das ist ja im Javascript-Ökosystem.

00:19:12: Da kann man Pakete über den MPM Nugget Packet Managern hinzufügen,

00:19:15: d.h.,

00:19:16: um weitere Funktionalität zu haben.

00:19:18: und eine Sache, die dieser Report z.B.

00:19:20: macht, man kann den anstoßen und der scannt diese Anwendung auf veraltete Bibliotheken, die vielleicht irgendwelche Sicherheitslücken enthalten der, als ich jetzt auf den DSG Technologie-Tagen war vor einigen Monaten.

00:19:32: Da wurde auch angekündigt dass er bald Compliance Checks integrieren soll und die nutzen momentan den EOSV von Google, den Open Security Vulnerability Scanner oder so ähnlich von Google.

00:19:44: Die wollen noch weitere Scannatypen integriern.

00:19:46: das heißt da hat man dann einen kostenlosen Report von der SAP zu seinen Applikationen die man deployed hat was sich schon mal sehr schön finde.

00:19:53: Ja, auf jeden Fall.

00:19:54: Die SAP hat auch gesagt wenn man diesen Report... Ich bin gerade nicht ganz sicher wie was das Intervall ist.

00:19:58: ich glaube dass Intervallen in dem sie scannen sind alle zwei Wochen oder alle vier wochen irgendwie so Wenn man das öfters haben möchte dann hat die SAP gesagt da muss man auch ein paar Taler einwerfen.

00:20:07: aber grundsätzlich in den vorgegebenen Intervalle von der SAP ist das erstmal kostenlos finde ich super.

00:20:13: und da wir jetzt ja auch gerade nochmal in diesem Checkzyklus vom PDF-Ca-Zyklus dran sind also ich checke Regelmäßig auf Security Issues und Vulnerabilities, dann möchte ich auch den SAP Security Patch Day nicht unerwähnt lassen.

00:20:25: Das ist jeden zweiten Dienstag im Monat.

00:20:27: Und das

00:20:27: ist sogar ein festes Datum.

00:20:29: also richtig.

00:20:30: Also von dem Patch Day habe ich auch schon öfter gehört?

00:20:33: Das ist sogar etwas was sich nicht die SAP ausgedacht hat sondern es sind der Security Community allgemein.

00:20:38: Das macht Apple auf Google.

00:20:40: alle großen Hersteller machen das zweite Dienstag am Monat bringen die halt, die neuesten Schwachstellen für Produkte, die sie gesammelt haben raus.

00:20:47: Stellen die vor, gibt Behebungsmaßnahmen.

00:20:49: das gilt dann auch so wie die SAP und da muss man natürlich als Mensch der zum Beispiel Security Administrator oder Pentester oder so weiter auch einen Blick drauf haben und gucken.

00:20:58: Ja

00:20:58: außer es ist natürlich was ganz ganz schwerwiegendes, dann gibt es ja auch die Subnots, die dann halt auch mal out of the patch day

00:21:04: quasi... Das ist jetzt genau.

00:21:06: in den letzten Jahren gab's ein paar wenige, die sehr kritisch waren.

00:21:09: Wo du man zum Beispiel ohne Authentifizierung von außen irgendwas ausnutzen beschädigen konntest und damit dann auch mal außerhalb dieses Zyklus.

00:21:19: Genau!

00:21:20: Wir haben jetzt geplant wie wir unsere Struktur oder geplanen wie wir aufsetzen möchten.

00:21:25: Wir sind ins Doing gekommen haben das ganze gemonitored.

00:21:27: Wir haben gecheckt ob nicht in Angriff eines Systemes ist.

00:21:29: Jetzt müssen natürlich Ja, das Wort ist ja zyklus.

00:21:33: Das heißt wir fangen bald wieder von einer anderen.

00:21:35: Wir haben aus diesen drei ersten Ebenen irgendwelche Erkenntnisse.

00:21:39: Wir hatten natürlich ein Patchmanagement, was wir auch irgendwie etablieren müssen und einen Lifecycle von den Patches.

00:21:44: Wir hatte vielleicht immer wieder Anpassungen von Systemparametern die wir machen mussten.

00:21:50: Die Security Baselands von SAP werden ja auch aktualisiert.

00:21:55: Die haben dann kontinuierende Verbesserungsprozesse.

00:21:57: Wir haben Alerts, die wir aus dem ATD abarbeiten müssen und dann fangen wir halt wieder von vorne an.

00:22:01: Wir arbeiten sie ab, sofern das jetzt nicht ein kritischer Sicherheitsvorfall ist.

00:22:05: Fangen wir da von vorn an, gucken uns das an und fangen wieder an zu planen okay?

00:22:09: Ist das etwas, was wir auf alle Systeme ausrollen möchten?

00:22:11: und dann wird deshalb dieser Zyklus mehrmals durchlaufen und so hat man dann verbessert nichts, sondern sich auch in seiner Sicherheit.

00:22:16: Ja

00:22:16: klar!

00:22:16: Man kann ja jetzt nicht sagen so dass das Thema sicher und tut nichts mehr weil... ...die Angreife hat da draußen in der Welt.

00:22:21: Die lassen sich natürlich immer wieder was Neues einfallen Und durchforsten das System immer mehr und immer mehr, gehen immer tiefer.

00:22:27: Dementsprechend kann man sich nicht einfach darauf ausruhen und sagen so ich habe das jetzt einmal gemacht... ...und jetzt ist es auch safe sondern wie du gerade ihm schon sagst dass man muss halt kontinuierlich immer am Ball bleiben und...

00:22:38: Ja!

00:22:38: Es ist immer mal ein bisschen so ein Katznummer-Ausspiel Die Angreifer denken sich etwas aus die Verteidiger reagieren.

00:22:44: Die Verteider machen vielleicht ein bisschen mehr dann denkt sich die Angreiver wieder was aus.

00:22:47: und da geht das immer so ein bisschen hin und her.

00:22:49: Das stimmt

00:22:51: Genau.

00:22:53: Ja, und mit dem

00:22:54: Ektzyklus

00:22:55: sind wir sozusagen am Ende von unserem Security Lifecycle.

00:22:59: Und haben dann hoffentlich einen guten Überblick gegeben was man in diesem Defense Bereich machen kann.

00:23:06: Wir haben ja gesagt ich habe das ganze zu Anfang gesagt wir haben das in Defense und Offense.

00:23:11: Genau in Defensive

00:23:12: und Offensive Sicherheit.

00:23:13: Genau eingetragen!

00:23:15: Ich bin ja ein bisschen auch... ...fünfzig Prozent meiner Seele sind auch Techie und da komme ich auch her Und ich habe mir angefangen, hier bei uns auch im Unternehmen SAP Penetration Testing zu machen.

00:23:25: Das heißt ja was ist ein SAP PenTest?

00:23:30: Man wählt die Rolle des Hackers und versucht einen System dahingehend irgendwie zu kompromotieren und guckt welche Wege, welche Sicherheitslücken hat finde ich hier.

00:23:41: und wie weit würde ich kommen?

00:23:42: Würde ich bis auf

00:23:42: das Tiefsystem

00:23:43: kommen?

00:23:43: Ja natürlich!

00:23:44: Was wir gerade besprochen haben PDCA – das sind so die Theorie und auch die Praxis um es... theoretisch und praktisch sicherzustellen oder sicher zu haben das System, aber man weiß ja nicht ob es dann auch wirklich pent ist.

00:23:55: Das heißt man muss dann wirklich du schlüpfst in die Rolle des Angreifers und sagt so ich gucke jetzt mal ob euer System überhaupt sicher ist.

00:24:01: Richtig!

00:24:02: Also quasi dass die offizielle Erlaubnis ein System zu hängen?

00:24:05: Genau.

00:24:06: Du sagst schon das ist natürlich immer alles abgeklärt definiert was man sich genau anguckt wie weit man geht usw.

00:24:14: Das ist so ein bisschen, auch weil den Angreifer hat immer eine andere kreative Denkweise.

00:24:19: Der kombiniert verschiedene Sachen an verschiedenen Stellen und findet dadurch vielleicht irgendeinen Weg sich vom Benutzer auf dem SAP-System zum lokalen Administrator auf dem Betriebssystem darunter zu machen.

00:24:30: Und solche Personen oder Hacker die nutzen ja wirklich immer so die kleinsten Türchen, die irgendwo offen sind und wenn es so millimeter ist um da irgendwie ins System reinzukommen richtig.

00:24:41: Dann, ich will auch gleich nochmal oder ein Highlight aus dem Penetration-Testing was ich dann auch mal so gemacht habe.

00:24:46: Oder vielleicht die drei Sachen die eigentlich jedem klar sind aber die halt immer wieder dazu führen dass unser System angreifbar ist.

00:24:53: Passwörter ist ein Thema jetzt in der Cloud Geschichte nicht so sehr.

00:24:58: Eins, zwei, drei, vier fünf ABC Ausrufe zu

00:24:59: kriegen?

00:24:59: Genau!

00:25:04: Oder auch Passworter die lokal auf... ein Ort bezogen sind oder Fußballvereins oft darin, Passwörter werden von verschiedenen Systemen die gleichen Passwürter.

00:25:13: Oder öffnen wir das Passwort Wechseln für dazu dass immer ähnliche Passwöter, zwanzig, sechsundzwanzig eins, zweitens zwei und so weiter genommen werden.

00:25:21: Zweites Punkt was ich sagen möchte passwörtern gerne nicht mehr so aufwechselnd dafür komplexe Passwölter die kurz sind oder lange Sätze?

00:25:29: Das ist dann momentan auch das was BSI empfängt.

00:25:31: Ja oder tatsächlich wirklich sagen man nimmt einen Keypass irgendwie was, wo man seine Schlüssel drin gespeichert hat.

00:25:37: Oder?

00:25:38: Was wir zum Beispiel jetzt auch gar nicht erwähnt haben, was mir da einfällt.

00:25:41: Identity und Authentication Management.

00:25:42: Man installiert ein Singlesign on, wo sich zum Beispiel mit einem Certificate anmeldet.

00:25:46: Das durch alle Systeme hinweg erbietet die SAP auch etwas an nur mal um das gesagt zu haben.

00:25:50: Oh ich habe

00:25:51: gerade eine neue gute Idee für einen neuen Podcast!

00:25:53: Wir machen mal das CIS mit dem IAS also Cloud Identity Service von der SAP mit dem Entry ID vom Microsoft und dem Identity & Autocation Service und...

00:26:01: Noch mehr Fachbegriffe!

00:26:03: Sehr gut

00:26:06: Genau.

00:26:06: Spoiler,

00:26:07: machen

00:26:08: wir!

00:26:08: Ist ein eigenes großes Thema.

00:26:09: Find ich gut.

00:26:11: Signalsignal On ist eigentlich das Beste was man da machen kann.

00:26:13: Zweites Thema Penetration Testing.

00:26:16: Systeme die nicht auf dem aktuellen Patch Level sind ganz klar ist einfach verständlich für jeden Minuten den System nicht patch und auf eine Sicherheitslücke hast dann wirst du halt irgendwann gehackt.

00:26:22: Die Frage ist nicht ob sondern wann?

00:26:25: Dann ist der Frage wie viele Kananengreife erreichen.

00:26:27: Ja und Penetrationstesting Nummer drei ist immer noch Berichtungsthema vor allem im Bereich RFC Vernetzung von System.

00:26:35: Ich habe einen User auf dem entfernten System, was ich auch wofür den ein bisschen merken kann.

00:26:38: Also eigentlich soll führt ganz oft dazu dass man Zugriff auf andere Systeme erhält.

00:26:41: also sind so drei große Pain Points die jeder bei sich sofort On-Premise umsetzen kann.

00:26:45: Ich hab jetzt oftmals on-premises gesagt beim Penetration Testing.

00:26:48: wir sind gerade auch hier bei der Arbeit dabei nochmal eine Lösung zu entwickeln im Penetrations Testing die für Subrise gilt also für die Cloud

00:26:55: RP Private.

00:26:55: Genau ich wollte grade nicht für die Private Cloud sondern für Cloud RP private.

00:26:59: So wie es jetzt aktuell am aktuellsten heißt.

00:27:02: Und da ist der Fokus, das ganze noch mal im Rise-Umfeld zu machen und auch für die Cloud was bereitzustellen.

00:27:13: Wenn man jetzt sagt okay Penetration Testen hacken, das ist mir ein bisschen zu krass!

00:27:17: Dann kann man auch noch mal sagen, okay ich möchte jetzt so ein Security Check machen.

00:27:20: Das heißt, man fokussiert sich auf eine Komponente oder vielleicht auch ins Code Security Check.

00:27:26: Man kommt sich die Code Qualität an.

00:27:27: das heißt es ist dann so bisschen wie so ein Whitebox Pentate.

00:27:29: Es macht jetzt nicht wirklich welche Angreiferszenarien und Angriffen fahren sondern man guckt dir das so aus einer Prüferperspektive an.

00:27:35: Das Arme abgewandelt gibt's auch noch als Security Audit.

00:27:38: Das ist zum Beispiel wenn dann Leute sich zertifizieren lassen nach etwas.

00:27:41: da wird auch auf die SAP Systeme geguckt.

00:27:43: also Stichwort Richtung Compliance und GRC Ist auch ein Stichwort.

00:27:48: SAP hat eine GRC, also Governance Risk and Compliance-Lösung ist auch nochmal ein anderes Thema und hat die SAP in dem Feld im Produkt.

00:27:58: Ich

00:27:59: merke ja finde ich gut wir sollten uns öfter zusammen setzen.

00:28:02: Richtig!

00:28:03: Das ist so ein bisschen außeroffensivem Sicht was man auch machen könnte um den SAP System.

00:28:07: Empfehle ich immer gerne mal an der Liste mit schönen To-Do's die man abarbeiten kann.

00:28:10: So was schnell gemacht kostet nicht viel und lässt sich leicht umsetzen.

00:28:15: Okay, du hast auf jeden Fall schon sehr viel darüber erzählt.

00:28:18: Also dafür dass wir zu Anfangs dachten so und bremmen wie sicher sind denn überhaupt SAP Systeme gibt es denn da überhaupt eine Lösung für?

00:28:25: ja Du hast nicht zuviel versprochen ganz zu anfangen das ist doch der sehr sehr viele unterschiedliche Produkte und auch Lösungen und auch Wege gibt Das ganze sicherzustellen.

00:28:34: pen test finde ich tatsächlich sehr interessant.

00:28:38: Hast du da schon mal irgendwie eine große Lücke irgendwo in irgendeinem System gefunden?

00:28:42: Ja.

00:28:43: Keine rein aus privater Interesse so, also...

00:28:47: Ich habe Systeme mir angeguckt bei Kunden und das ist dann wirklich Wahnsinn auch über diese Methoden die ich gerade gesprochen habe Passwörter Dass sich darüber dann und FC und Berechtigung, dass du da vom Erweckungssystem startest.

00:29:04: Du hast eigentlich nichts mit dem Produktivsystem am Hut aber trotzdem bist du am Ende sub all aufm Produktiv-System.

00:29:10: Also das hast du beim Pentest auch schon mal geschafft?

00:29:12: Ja.

00:29:12: Okay, krass!

00:29:15: Und deswegen sage ich halt auch gerne dass diese Pentes eigentlich so ideale Einschicks sind um sich mal

00:29:22: ein Bild zu bekommen was überhaupt im eigenen SAP

00:29:26: passiert

00:29:26: oder los ist.

00:29:27: Bevor man jetzt irgendwie blind irgendwelche Security-Produkte einkaufen, erst mal gucken.

00:29:31: Wo sind überhaupt meine Schwachstellen?

00:29:33: Und gibt es dafür vielleicht ein Produkt was ich nutzen kann um sowas in Zukunft ein bisschen besser zu kommen?

00:29:36: Was

00:29:37: ja auch total viel Sinn macht weil wir haben ja gerade im gesehen Es gibt da viele unterschiedliche Produkte aber viele haben das gleiche im Bauch und dann muss man halt gucken so in welche Richtung soll's denn gehen und was ist dann wirklich auch das Beste für das Unternehmen an sich?

00:29:52: Ja ich guck grad auf die Uhr.

00:29:53: also wir haben schon Sehr lange geredet, aber auch sehr viel interessante Sachen.

00:29:58: Neue coole Themen auf jeden Fall für zukünftige Podcast.

00:30:00: du

00:30:01: merkst das habe ich das letzte mal schon gesagt und das werde ich auch jetzt sagen so schnell lass ich dich nicht gehen.

00:30:06: Ja wenn man ein bisschen was weiß über irgendwas dann ist es leider nicht losgelassen.

00:30:11: genauso Ja Tobi, vielen Dank auf jeden Fall.

00:30:15: Ich kann nur wieder in Richtung aller Zuhörerinnen und Zuhörer sagen wenn ihr Fragen habt wo wir mal drüber sprechen sollen schreibt uns sehr gerne gerade wie gesagt beim letzten Mal wo es darum geht so souveräne klaut.

00:30:27: wie sieht das ganze denn noch ein Bremme aus?

00:30:28: allgemein Datensicherheit meldet euch sehr gerne schreibt einfach eine E-Mail an.

00:30:33: Podcasts at SAP minus X minus Plane.de oder kommentiert einfach unten drunter.

00:30:39: Ein paar Schoenots packen wir auf jeden Fall unten auch noch mit rein, was wir gerade eben erwähnten.

00:30:44: unter anderem würde ich glaube ich auch nochmal unseren Podcast verlinken wo über Cloud ALM gesprochen haben.

00:30:49: Ja genau sondern würde ich sagen vielen Dank fürs zuhören.

00:30:53: viel dank Tobi dir für diese Ausführung und dass man einfach mal so einen ganz großen groben Überblick darüber bekommen hat... ...was in der Data Security Compliance Schiene von SAP System was es da schon gibt.

00:31:04: also Ich bin grad ein bisschen buff und ich finde das echt erstaunlich.

00:31:09: Ich finde es gut, dass sich da Menschen Gedanken darüber machen und das es da auch so viel gibt.

00:31:12: Und dass es dann noch die gibt, die den Dschungel durchblicken?

00:31:15: Genauso!

00:31:16: Also vielen, vielen Dank euch und ihnen eine schöne Restwoche und bis ganz, ganz bald.

00:31:21: Ciao, ciao!

00:31:25: Tschüss!