Podcast mit Thomas Fritsch, Content Manager bei Onapsis
Thema: Eine scheinbar häufig vernachlässigte Gefahrenquelle sind Remote Function Calls (RFCs). Denn, per RFC sind Verbindungen zu anderen Systemen möglich – ein hervorragendes Einfallstor für Angriffe. Welche Gefahren können durch eine falsche Konfiguration entstehen und welche Sicherungsmaßnahmen Sie ergreifen sollten – das ist das heutige Thema.
- Was sind RFC-Bausteine und warum muss man sie absichern?
- Welche Optionen bietet SAP zur Absicherung?
- Wie sollte man vorgehen, um eine komplette Absicherung zu erreichen?
- Wie kann man es verhindern, dass ein Angreifer anonym auf RFC-Funktionen zugreift?
- Die RFC-Schnittstelle bietet verschiedene Optionen zum Angriff auf ein SAP-System. SMB-Relay Angriffe – Server Message Block
- Was hat das jetzt mit Onapsis zu tun und was wäre evtl. eure Aufgabe dabei?
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Weitere Informationen:
How to Securely Introduce Explicit AUTHORITY-CHECKS into Custom RFC-Enabled Function Modules
Wie man explizite AUTHORITY-CHECKS sicher in benutzerdefinierte RFC-fähige Funktionsbausteine einfügt
Compliance-Aspekte
Jede SAP-Anwendung verfügt über geschäftsbezogene Berechtigungsobjekte, die spezifische Aktivitäten für einzelne Geschäftseinheiten klar definieren. Sie sind so konzipiert, dass sie Audit-Anforderungen wie die Nachvollziehbarkeit der zugewiesenen Berechtigungen und die Aufgabentrennung leicht erfüllen und überwachen.
S_RFC-Berechtigungen sind nicht auf eine bestimmte Geschäftseinheit oder Aktivität bezogen. Sie beschreiben die Zugriffsberechtigung auf ein technisches Objekt (einen Funktionsbaustein oder eine Funktionsgruppe). Die implizite Prüfung der „technischen“ S_RFC-Berechtigung sollte Entwickler nicht davon abhalten, explizite AUTHORITY-CHECKs auf den vorgesehenen betriebswirtschaftlichen Berechtigungsobjekten hinzuzufügen. Andernfalls hängen die Aktivitäten, die ein Benutzer ausführen darf, nicht mehr nur von seiner Identität ab, sondern auch davon, wie der Benutzer auf das System zugegriffen hat, nämlich über die Haupttür (Dialog-Login) oder eine bestimmte Seitentür (RFC FM).
Bisherige Podcasts mit Onapsis:
RISE mit SAP Cyber-Resilienz
Thema: SAP deckt nicht die gesamte Sicherheit ab. Kennen Sie Ihre Verantwortlichkeiten? Wie können Sie die Verantwortlichkeiten für die RISE-Sicherheit besser verwalten? Geteilte Sicherheit: Ihre Verantwortlichkeiten / Herausforderungen mit RISE.
Das SAP-Entwicklungssystem – der Liebling aller Insiderattacken
Welche Aufgaben erfüllt eine SAP ABAP-Security Software?
Code-Ausführung in Produktionssystemen – anonym, unbeaufsichtigt & unbemerkt
Customer Success = „Journey to Success“
Scrum: User-Stories, aber richtig!
Die Last mit den Altlasten – Mitigationsprojekte, Teil 2
Die Last mit den Altlasten – Mitigationsprojekte
Welche Rolle spielt Quality Assurance (Qualitätssicherung) in einer soliden Sicherheitsstrategie im SAP Bereich?
Im Gespräch mit Mariana Lasprilla, Quality and Delivery Manager, Onapsis Inc.
Sind SAP Systeme der Gefahr von Ransomware ausgesetzt?
Im Gespräch mit Marcus Müller, VP Sales International bei Onapsis
Ab in die Cloud? Aber sicher!
Podcast mit Reza Mehman, Chief Innovation Officer bei Onapsis
Ein Hintergrundgespräch: SAP und Onapsis informieren proaktiv über aktuelle Cyber Bedrohungen
Unter4Ohren im Gespräch mit Frederik Weidemann, Experte für Computer- und Netzsicherheit und Chief Technical Evangelist bei Onapsis
Code Security in SAP ERP Systemen – Empfehlungen und Erfahrungen aus Kundenprojekten
Unter4Ohren im Gespräch mit Sebastian Schönhöfer, Director of Engineering bei Onapsis
Code Security in SAP ERP Systemen – Aus dem Nähkästchen geplaudert
Unter4Ohren im Gespräch mit Sebastian Schönhöfer, Director of Engineering, Onapsis
Code Security in SAP ERP Systemen – Einführung
Unter4Ohren im Gespräch mit Sebastian Schönhöfer, Director of Engineering, Onapsis
RECON-Schwachstelle: Cyberbedrohungen und Compliance-Verstösse bei ungepatchten SAP-Systemen
Im Gespräch mit Marcus Müller, VP Sales International bei Onapsis
Format: 5-Minuten-Terrine
Music by BlueSwine