Einleitung ... 17

1. Risiko- und Bedrohungsanalyse für SAP-Systeme ... 25

1.1 ... SAP-Systeme und die Cyber-Bedrohung ... 29

1.2 ... Vorgehen zum Erstellen einer Risikomatrix ... 31

1.3 ... Internationale Standardmethoden für eine Risikoanalyse ... 44

2. Eine Sicherheitsstrategie entwickeln ... 53

2.1 ... Ziele einer Sicherheitsstrategie ... 57

2.2 ... Kosten und Nutzen abwägen ... 65

2.3 ... Unternehmensbeispiele für Sicherheitsstrategien ... 67

2.4 ... Abschließende Überlegungen zur Sicherheitsstrategie ... 77

3. SAP-Sicherheit -- Standards und aktuelle SAP-Werkzeuge ... 79

3.1 ... SAP-Sicherheit in der klassischen Sicht ... 79

3.2 ... SAP NetWeaver: Sicherheit mit neuer Softwaregeneration ... 84

3.3 ... SAP Enterprise Threat Detection ... 86

3.4 ... SAP Code Vulnerability Analysis ... 91

3.5 ... SAP Solution Manager als Steuerungsinstrument ... 97

3.6 ... Ausblick ... 99

4. Netzwerksicherheit herstellen ... 101

4.1 ... Netzwerk, Switches, Router und Firewalls ... 101

4.2 ... SAP-Landschaft analysieren ... 109

4.3 ... Virtuelle Netzwerke und Software-Defined Networks ... 117

5. Werkzeugkasten des SAP-Sicherheitsexperten ... 123

5.1 ... Kali-Linux-Distribution ... 123

5.2 ... Rot gegen Blau: Werkzeuge für Angriff und Verteidigung ... 126

5.3 ... Kommerzielle Produkte für Penetrationstests im Bereich SAP ... 136

5.4 ... Gegenmaßnahmen zum Schutz des Netzwerks ... 138

5.5 ... Patch-Management mit dem SAP Solution Manager ... 139

5.6 ... Klassische Angriffsvektoren für Hacker und Penetrationstester ... 141

6. Schutz von SAProuter und SAP Web Dispatcher ... 145

6.1 ... Der SAProuter im SAP-Netzwerk ... 145

6.2 ... Angriff auf den SAProuter ... 152

6.3 ... Gegenmaßnahme: Härten des SAProuters ... 153

6.4 ... Der SAP Web Dispatcher im SAP-Netzwerk ... 154

6.5 ... Angriff auf den SAP Web Dispatcher ... 157

6.6 ... Gegenmaßnahme: Härten des SAP Web Dispatchers ... 160

7. Schutz des SAP NetWeaver AS ABAP ... 163

7.1 ... Die ABAP-Laufzeitumgebung ... 163

7.2 ... Der SAP NetWeaver AS ABAP als Angriffsziel ... 164

7.3 ... Berechtigungen nach dem Need-to-know-Prinzip ... 168

7.4 ... Schutz des SAP NetWeaver AS ABAP gegen Angriffe ... 179

7.5 ... Dokumentation der Absicherungsmaßnahmen ... 187

8. Schutz des SAP NetWeaver AS Java ... 191

8.1 ... Härten des SAP NetWeaver AS Java ... 192

8.2 ... Angriffe auf den AS Java und Gegenmaßnahmen ... 206

9. Schutz von Remote Function Calls ... 209

9.1 ... Technische Komponenten der RFC-Verbindungen ... 210

9.2 ... RFC-Berechtigungen verstehen und einsetzen ... 214

9.3 ... Unified Connectivity: eine weitere Schutzebene ... 223

9.4 ... RFC-Sicherheit auf Client-Seite herstellen ... 224

9.5 ... RFC-Callback-Sicherheit aktivieren ... 226

9.6 ... Den RFC-Gateway absichern ... 228

9.7 ... Verschlüsselung aktivieren ... 230

10. Passwortschutz ... 233

10.1 ... Technologie und Logik von Hash-Prüfungen ... 233

10.2 ... Technische Implementierung der Passwörter im SAP-System ... 236

10.3 ... Werkzeuge: John the Ripper und HashCat ... 242

10.4 ... Wörterbücher beim Angriff ... 244

10.5 ... Angriff auf die Passwörter (Hashes) ... 244

10.6 ... Gegenmaßnahmen: harte Passwörter, SSO und Hashes löschen ... 245

11. Schutz des Transportsystems ... 263

11.1 ... Transport Management System ... 263

11.2 ... Angriffe auf das Transportsystem ... 265

11.3 ... Gegenmaßnahme: Härtung des CTS mithilfe des SAP Solution Managers ... 278

12. Schutz der Datenbank ... 281

12.1 ... Die Rolle der Datenbank in SAP-Systemen ... 281

12.2 ... Generelle Risiken und Absicherungsmaßnahmen ... 283

12.3 ... Funktionstrennung in einer Oracle-Datenbank ... 290

12.4 ... Angriffe auf SAP-Datenbanken ... 293

13. SAP HANA und die Sicherheit der In-Memory-Datenbanken ... 309

13.1 ... Sicherheit in SAP HANA ... 310

13.2 ... Architektur von SAP HANA ... 312

13.3 ... Grundlagen der Sicherheitskonzepte für HANA ... 315

13.4 ... Absicherung der Webanwendungen ... 318

13.5 ... Penetrationstest auf SAP-HANA-Applikationen ausführen ... 323

13.6 ... Angriffe auf den Hauptspeicher ... 324

14. Erkennung von Angriffsmustern und Forensik ... 329

14.1 ... Die Quelle der Muster: die wichtigsten Log-Dateien ... 330

14.2 ... Auswertung mit Transaktion ST03 ... 346

14.3 ... Auswertung mit Funktionsbausteinen ... 347

14.4 ... Usage and Procedure Logging ... 349

14.5 ... Netzwerkinformationen, Terminals und SAP-Benutzer-Sessions ... 351

14.6 ... Werkzeuge zur Auswertung der Muster: Security Information and Event Management ... 354

14.7 ... Sicherheitsmuster ... 357

14.8 ... Grundlegende Sicherheitsaktivitäten ... 358

15. Mobile Anwendungen sichern ... 361

15.1 ... Netzwerkarchitektur für den mobilen Zugriff auf SAP-Systeme ... 362

15.2 ... Komponenten der Sicherheitsstrategie für die SAP-Mobile-Infrastruktur ... 366

15.3 ... Angriffe auf die mobile Landschaft ... 378

16. Sicherheit im Internet der Dinge ... 383

16.1 ... Sicherheitsebenen des Internets der Dinge ... 385

16.2 ... SAP-Architektur für das Internet der Dinge ... 396

16.3 ... Kryptografie im Internet der Dinge ... 400

16.4 ... Gefährdungspotenzial für das Internet der Dinge im SAP-Bereich ... 406

16.5 ... Angriffswerkzeuge für Hardware-Hacks ... 407

16.6 ... Anatomie eines Hardware-Hacks ... 410

16.7 ... Anatomie eines Industrieanlagen-Hacks ... 413

Die Autoren ... 417

Index ... 419