SAP SECURITY TESTS
SAP-Sicherheitverstanden,nicht nur zertifiziert.
SAP ist seine eigene Welt. Wir prüfen SAP-Systeme mit Spezialisten, die den Unterschied zwischen NetWeaver ABAP, NetWeaver Java und S/4HANA kennen und die DSAG-Prüfleitfäden als Arbeitsgrundlage verwenden, nicht als Deko.
01 · PLATTFORM
SAP*, DDIC, Gateway, RFC, Message Server.
Wir prüfen die bekannten Standardbenutzer SAP*, DDIC, SAPCPIC und EARLYWATCH auf Passwort-Hygiene und Sperrstatus. Gateway und Message Server werden auf fehlende reg_info-, sec_info- und ms/acl_info-Konfigurationen getestet. RFC-Verbindungen werden auf hinterlegte Credentials, trusted-Relationen und Privilegiengefälle zwischen Systemen analysiert.
02 · BERECHTIGUNGEN
SAP_ALL, S_DEVELOP, kritische Transaktionen.
SAP_ALL ist selten, SAP_ALL-ähnlich ist häufig. Wir analysieren Rollen und Profile auf kritische Einzel-Berechtigungsobjekte wie S_DEVELOP, S_TABU_DIS, S_RFC, S_USER_GRP und die gefährlichen Kombinationen, die in SU24 nicht auffallen. Dazu prüfen wir Segregation of Duties gegen DSAG- und ISACA-Kataloge und bewerten das Transportwesen auf Umgehung von Vier-Augen-Prinzipien.
03 · EXPOSITION
Solution Manager, Fiori, Web Dispatcher.
Immer häufiger sehen wir SAP-Komponenten am Perimeter: Fiori Launchpads, Web Dispatcher, Solution Manager, SAProuter. Wir prüfen diese auf aktuelle Sicherheitshinweise, bekannte CVEs wie 10KBLAZE und RECON, auf die Trennung von Produktions- und Entwicklungssystemen und auf die Frage, ob ein SAP-System überhaupt im Internet erreichbar sein muss.
READY
SAP-Sicherheit, die nicht bei der Benutzerstammpflege endet.
Wir liefern einen Bericht, den sowohl die SAP-Basis als auch die interne Revision verstehen. Optional begleiten wir die Remediation bis zum Retest.