{"id":134854,"date":"2023-11-21T08:00:00","date_gmt":"2023-11-21T07:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=134854"},"modified":"2023-11-20T09:52:42","modified_gmt":"2023-11-20T08:52:42","slug":"sap-security-vulnerability-scan","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sap-security-vulnerability-scan\/","title":{"rendered":"SAP-Security: Vulnerability Scan"},"content":{"rendered":"\n<p>Das Angebot reicht von Vulnerability Scans \u00fcber Audits bis hin zu Penetrationstests. Welcher Ansatz jedoch wof\u00fcr der richtige ist, h\u00e4ngt von individuellen Ergebnis-Anforderungen ab.<\/p>\n\n\n\n<p>Bei der Durchf\u00fchrung von Vulnerability Scans, auch Vulnerability Assessments genannt, werden SAP-Systeme automatisiert oder teilautomatisiert nach bekannten Schwachstellen durchsucht und die Ergebnisse in einem tabellarischen Bericht aufgelistet. Im einfachsten Fall kann dies eine Auflistung der sicherheitsrelevanten Parameter eines SAP-Application-Servers sein, ohne diese einer Bewertung zu unterziehen. Es findet hier also keine \u00dcberpr\u00fcfung statt, ob die Schwachstellen ausgenutzt werden k\u00f6nnen, wie es etwa bei einem Penetrationstest der Fall w\u00e4re.<\/p><div class=\"great-fullsize-content-de\" style=\"float: left;\" id=\"great-3966032882\"><div id=\"great-535066615\" style=\"margin-bottom: 20px;\"><a data-no-instant=\"1\" href=\"https:\/\/www.youtube.com\/watch?v=6ZGXMPyM-nU\" rel=\"noopener\" class=\"a2t-link\" target=\"_blank\" aria-label=\"banner_26-04_29_1200x150\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1.jpg\" alt=\"\"  srcset=\"https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1.jpg 1200w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-400x50.jpg 400w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-768x96.jpg 768w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-100x13.jpg 100w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-480x60.jpg 480w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-640x80.jpg 640w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-720x90.jpg 720w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-960x120.jpg 960w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-1168x146.jpg 1168w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-18x2.jpg 18w, https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26-04_29_1200x150-1-600x75.jpg 600w\" sizes=\"(max-width: 1200px) 100vw, 1200px\" width=\"1200\" height=\"150\"  style=\" max-width: 100%; height: auto;\" \/><\/a><\/div><\/div>\n\n\n\n<p>Dar\u00fcber hinaus kann es sich bei einigen der identifizierten Schwachstellen um sogenannte \u201eFalse Positives\u201c handeln, die zwar gelistet sind, aber im aktuellen Systemkontext keine Gefahr darstellen oder systemtechnisch begr\u00fcndet sind. Auch wenn hier nicht auf aktive Bedrohungen gepr\u00fcft wird, sind regelm\u00e4\u00dfige Vulnerability Scans dennoch notwendig, um die Informationssicherheit generell zu gew\u00e4hrleisten, und sie sollten in periodischen Abst\u00e4nden wiederholt werden. Ein Vulnerability Scan erkennt neben fehlerhafter Parametrisierung von SAP-Application-Servern auch Probleme wie fehlende Patches und veraltete Protokolle, Zertifikate und Dienste.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Security- und Compliance-Audit<\/h2>\n\n\n\n<p>Ein Security- und Compliance-Audit ist eine umfassende und formelle \u00dcberpr\u00fcfung der Sicherheit von Systemen und -sicherheitsrelevanten Prozessen eines Unternehmens. Ein SAP-Audit stellt somit eine vollst\u00e4ndige und gr\u00fcndliche Pr\u00fcfung nicht nur physischer Attribute wie der Sicherheit der Betriebsplattform, des Application-Servers sowie der Netzwerkarchitektur, sondern auch die Sichtung und den Check vorhandener Sicherheitskonzepte, beispielsweise zu Themen wie SAP-Berechtigungen oder dem Umgang mit Notfallusern.<\/p>\n\n\n\n<p>Methodisch beinhaltet das Audit die Durchf\u00fchrung eines Schwachstellen-scans. Dar\u00fcber hinaus erfolgen eine Bewertung der Ergebnisse im Kontext der jeweiligen Systemumgebung und eine Bereinigung um \u201eFalse Positives\u201c. Die daraus resultierenden Handlungsempfehlungen zur weiteren Absicherung der SAP-Systeme sind wesentlich detaillierter und tiefgreifender, als dies im Bericht eines Schwachstellenscans m\u00f6glich ist, und die Aussagekraft eines Security- und Compliance-Audits hinsichtlich der Absicherung von SAP-Systemen geht somit deutlich \u00fcber diesen hinaus, da die Ergebnisse zus\u00e4tzlich einer Bewertung unterzogen, im Kontext der Systemumgebung des jeweiligen Unternehmens betrachtet und in einem ausf\u00fchrlichen Bericht zusammengefasst werden. Zwingend zu empfehlen ist die Durchf\u00fchrung von Audits als Erstvorbereitung und nach Abschluss von H\u00e4rtungsma\u00dfnahmen sowie im Rahmen einer System- oder Plattformmigration.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Penetrationstest<\/h2>\n\n\n\n<p>Ein Penetrationstest, kurz Pentest genannt, versucht, im Unterschied zu Vulnerability Scans und Audits, Schwachstellen aktiv auszunutzen. Dem automatisierten Schwachstellenscan steht hier ein Vorgehen gegen\u00fcber, das sowohl fundiertes Fachwissen als auch Werkzeuge aus verschiedenen Bereichen erfordert. Ein Penetrationstest bedarf einer umfassenden Planung hinsichtlich des zu erreichenden Ergebnisses, der anzuwendenden Methode und der zu verwendenden Werkzeuge. Das zentrale Ziel eines Pentests ist es, unsichere Gesch\u00e4ftsprozesse, fehlerhafte Sicherheitseinstellungen oder andere Schwachstellen zu identifizieren, die ein Angreifer ausnutzen k\u00f6nnte. So k\u00f6nnen beispielsweise die \u00dcbertragung unverschl\u00fcsselter Passw\u00f6rter, die Wiederverwendung von Standardpassw\u00f6rtern und vergessene Datenbanken, in denen g\u00fcltige Benutzeranmeldeinformationen gespeichert sind, aufgedeckt werden. Pentests m\u00fcssen nicht so h\u00e4ufig durchgef\u00fchrt werden wie Vulnerability Scans, es ist aber ratsam, sie in regelm\u00e4\u00dfigen Abst\u00e4nden zu wiederholen.<\/p>\n\n\n\n<p>Penetrationstests sollten sinnvollerweise auch von einem externen Anbieter und nicht von internen Mitarbeitenden durchgef\u00fchrt werden. So gew\u00e4hrleisten sie eine objektive Sichtweise und vermeiden Interessenkonflikte. Externe sollte \u00fcber umfassende und tiefgreifende Erfahrungen im Bereich der Informationstechnologie verf\u00fcgen, vorzugsweise im Gesch\u00e4ftsbereich des Unternehmens. Die F\u00e4higkeit, abstrakte Denkmuster anzuwenden und das Verhalten von Bedrohungsakteuren zu antizipieren, ist neben dem Fokus auf Vollst\u00e4ndigkeit und dem Verst\u00e4ndnis, wie und warum die Umgebung eines Unternehmens kompromittiert werden k\u00f6nnte, wichtig f\u00fcr die Durchf\u00fchrung dieser Leistung.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Schwachstellen identifizieren<\/h2>\n\n\n\n<p>Im Sinne einer ganzheitlichen Absicherung resultiert aus den drei Methodiken in unterschiedlichen Intervallen der bestm\u00f6gliche Schutz vor Schwachstellen. Jeder Testansatz, vom Vulnerability Scan bis zu gezielten Penetrationstests, ist f\u00fcr eine umfassende Sicherheitsstrategie von entscheidender Bedeutung. Die Komplexit\u00e4t von SAP-Anwendungen erschwert jedoch die konsequente Einhaltung bew\u00e4hrter Sicherheitsverfahren \u2013 die schiere Menge der generierten Logs ist zu gro\u00df, um manuell gescannt zu werden. Sinnvoll ist daher, auf die Unterst\u00fctzung externer Spezialisten wie Pathlock zu setzen. Diese bieten neben Security Consulting, bei dem Compliance-Experten mit dem n\u00f6tigen Know-how selbst f\u00fcr Pentests Schwachstellen identifizieren, gleich eine Reihe von automatisierten Scanning- und Threat-Detection-L\u00f6sungen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/e3mag.com\/de\/partners\/pathlock\/\" target=\"_blank\" rel=\"noreferrer noopener\"><img loading=\"lazy\" decoding=\"async\" width=\"1000\" height=\"112\" src=\"https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock.jpg\" alt=\"Pathlock Partner-Eintrag\" class=\"wp-image-121436\" srcset=\"https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock.jpg 1000w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-400x45.jpg 400w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-768x86.jpg 768w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-100x11.jpg 100w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-480x54.jpg 480w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-640x72.jpg 640w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-720x81.jpg 720w, https:\/\/e3mag.com\/wp-content\/uploads\/2023\/01\/ci-banner_pathlock-960x108.jpg 960w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>Um das Gef\u00e4hrdungspotenzial von SAP-Landschaften einsch\u00e4tzen zu<br \/>\nk\u00f6nnen und m\u00f6gliche Angriffspunkte zu identifizieren, gibt es zahlreiche Ma\u00dfnahmen, bei denen es eine Herausforderung darstellt, den \u00dcberblick zu behalten.<\/p>\n","protected":false},"author":2368,"featured_media":134864,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,43645],"tags":[43699,236],"coauthors":[43700],"class_list":["post-134854","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-23-11","tag-complience-audit","tag-sap","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2023\/11\/WEB_Stresstest_shutterstock_1708840009-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Um das Gef\u00e4hrdungspotenzial von SAP-Landschaften einsch\u00e4tzen zu<br \/>\nk\u00f6nnen und m\u00f6gliche Angriffspunkte zu identifizieren, gibt es zahlreiche Ma\u00dfnahmen, bei denen es eine Herausforderung darstellt, den \u00dcberblick zu behalten.<\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/de\/category\/it-management\/\" rel=\"category tag\">IT-Management<\/a>, <a href=\"https:\/\/e3mag.com\/de\/category\/mag-23-11\/\" rel=\"category tag\">MAG 23-11<\/a>","author_info_v2":{"name":"E3-Magazin","url":"https:\/\/e3mag.com\/de\/author\/e3_magazin\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/134854","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/2368"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=134854"}],"version-history":[{"count":3,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/134854\/revisions"}],"predecessor-version":[{"id":134859,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/134854\/revisions\/134859"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/134864"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=134854"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=134854"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=134854"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=134854"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}