Information und Bildungsarbeit von und für die SAP-Community

Protect4S – der monatliche SAP Patch Day verliert seinen Schrecken

SAP-Systeme enthalten höchst sensible Daten, steuern Unternehmen und managen deren Prozesse. Sie sind vernetzt mit Partnern, Kunden und Lieferanten. Schützen Sie Ihre Systeme vor Cyberattacken und unberechtigten Zugriffen, auch von innen.
TakeASP
24. Februar 2023
avatar

IT-Sicherheitsmaßnahmen sind unerlässlich, um SAP-Systeme zu schützen

Wie oft haben Sie alle CVEs am SAP Patch Day manuell auf die Gültigkeit in Ihrer SAP-Landschaft geprüft? Haben Sie wirklich alle geprüft oder haben Sie nach den kritischsten 5 oder 10 entnervt aufgehört? Und dann alle Hinweise manuell von der SAP herunterladen und implementieren? Und das noch alles protokollieren und das Reporting für Management und Security Officer erstellen? 

Wegen des Mangels an personellen Ressourcen oder des fehlenden Know-how werden SAP-Systeme hinsichtlich der IT-Sicherheit oft vernachlässigt. 

Automatisierungen ermöglichen es, Risiken schneller zu erkennen und zu bewerten, indem potenzielle Bedrohungen automatisch überwacht und analysiert werden. Sie erleichtern auch die Durchführung von Sicherheitsmaßnahmen, indem sie die Umsetzung von Richtlinien und Prozessen von manuell durchgeführten Maßnahmen entkoppeln. Durch die schnellere Erkennung von Risiken und Bedrohungen kann zudem die Reaktionszeit der IT-Sicherheitsteams verkürzt und damit das Risiko eines erfolgreichen Angriffs minimiert werden.

Vulnerability- und Patchmanagement

Die patentierte Scantechnologie scannt die angebundenen Systeme innerhalb weniger Minuten und zeigt aufgrund einer Datenbank aus über 2000 Prüfpunkten identifizierte Sicherheitslücken und sicherheitsrelevante Best-Practice-Empfehlungen auf. Die Datenbank wird monatlich mit den neuesten Erkenntnissen der SAP nach dem SAP Patch Day erweitert. 

Die Benutzerfreundlichkeit durch das bewährte SAP-Browserlayout unterstützt alle am Prozess Beteiligten in ihrer Arbeit und bietet von Beginn an vertraute Sicherheit im Umgang mit der Lösung. Über Rollen und Berechtigungen können User gemäß ihrer Aufgabe auf Protect4S zugreifen und alle Aktivitäten über Protect4S mit den SAP-Standard-Transaktionen bearbeiten und dokumentieren.

Protect4S ist im eigenen Namensraum entwickelt und von der SAP als offizielles SAP-Add-on zertifiziert. Das Add-on wird auf einem SAP Solution Manager oder einem SAP Netweaver System in der Systemlandschaft in einem leeren Mandanten installiert. Ein zusätzliches System/Server wird nicht benötigt.

Das Protect4S Security Management erfolgt über einen dreistufigen Regelkreis.

Prüfen: Protect4S scannt alle angebundenen Systeme innerhalb weniger Minuten und bewertet die Sicherheitslücken mit einem Scoring.

Analysieren: Zu jeder festgestellten Verwundbarkeit erhalten Sie weitere Informationen oder entsprechende Hinweise der SAP.

Beheben: Direkt aus Protect4S können Sie das Patchmanagement anstoßen. Protect4S übernimmt den Download der relevanten Hinweise und startet auf Wunsch die Implementierung. Je nach Hinweis ist gegebenenfalls eine manuelle Unterstützung notwendig.

Threat Detection und Code Scanner

Die zweite Säule der SAP Security mit Protect4S ist die laufende Bedrohungserkennung (Threat Detection). Protect4S analysiert und erkennt in Echtzeit ungewöhnliche oder kritische Aktivitäten in SAP-Systemen. Der Code Scanner als dritte Säule ist in der Entwicklung – die Bereitstellung ist für Ende dieses Jahres angedacht. Die Komponenten der Software können gemeinsam oder unabhängig voneinander implementiert und lizenziert werden.

Die Anbindung und Integration mit SIEM- und ITSM-Lösungen ist bereits realisiert und wird um weitere Anbieter erweitert.

TakeASP
Ergebnis eines Scans mit Bewertung von Risiko und Lösungsaufwand.

ERP Security B.V, der Hersteller von Protect4S

Die Mitarbeiter von Protect4S sind seit vielen Jahren anerkannte Experten im Bereich der Erkennung von Verwundbarkeiten von SAP-Systemen. Zuletzt konnte Protect4S mit dem Meilenstein von über 100 gemeldeten neuen SAP-Sicherheitslücken auf sich aufmerksam machen und zählt fortan zu den Top 3 der SAP-Sicherheitsforschenden am Markt. Die niederländische Firma greift dabei auf mehr als 20 Jahre Erfahrung der Gründer im Feld der SAP Security zurück.

Fazit

Mit der rasch zunehmenden Anzahl von Cyber-Bedrohungen und der ständig wachsenden Angriffsfläche, die durch Cloud-Computing, Internet of Things und Mobilgeräte entsteht, müssen Unternehmen ihre Prozesse zur Erhöhung der IT-Sicherheit stärker als je zuvor automatisieren, um ihre Systeme und Daten zu schützen.

Die ersten Scans nach der Einführung von Protect4S zeigen, dass auch vermeintlich gut betreute SAP-Systeme Sicherheitslücken in allen Bereichen aufweisen. Im Mittel liegen diese initialen „Findings“ bei einem CVSS (Common Vulnerability Scoring System) Score von 6,0.

Diese Ergebnisse zeigen, dass die Sicherheit heutiger SAP-Installationen mit manueller Betreuung kaum zu gewährleisten ist. Die von Protect4S entwickelten Lösungen sind ein wirksamer Ansatz, um die Sicherheit von SAP-Systemen zu erhöhen, ohne zusätzliche Mitarbeitende als Ressource zu binden. Unternehmen wird die Möglichkeit gegeben, potenzielle Sicherheitslücken zu identifizieren und zu schließen, bevor sie von Angreifern ausgenutzt werden können.

Automatisierung von IT-Sicherheitsmaßnahmen ist deshalb unerlässlich, um SAP-Systeme vor der stetig wachsenden Bedrohung zu schützen. 

TakeASP ist als Anbieter der Lösungen von Protect4S der richtige Partner für Unternehmen, die ihre SAP-Systeme sicher betreiben möchten. Mit der Automatisierung von Prozessen und regelmäßigen Prüfungen können TakeASP und Protect4S Unternehmen dabei helfen, ihre IT-Sicherheit auf ein höheres Niveau zu bringen und sich besser gegen zukünftige Bedrohungen zu wappnen.

Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.