Deutsch | English | Español

Virtual Forge Blog

Seit über 10 Jahren helfen wir SAP-Anwenderunternehmen auf der ganzen Welt, die Sicherheit und Stabilität ihrer SAP-Landschaften zu optimieren. Auf dem Virtual Forge-Blog stellen unsere Experten relevante Beiträge bereit, die Ihnen helfen, IT-Risiken besser zu verstehen und zu meistern.

Teaser-Blog-neu.png

Gefahren im SAP Transportwesen Teil 6: Transport verbotener Tabelleninhalte

13. Februar 2018 Von Thomas Fritsch, Virtual Forge GmbH

Es existieren weit über 100 Tabellen in SAP®, deren Inhalte nicht transportiert werden dürfen. Jeder Transportauftrag wird beim Sichern und vor dem Export auf solche Tabellen hin überprüft. Dabei sind die relevanten Tabellen im Funktionsbaustein SYSTAB_CHECK „hart verdrahtet“. Bei den betroffenen Tabellen handelt es sich fast ausschließlich um Systemtabellen, die Teilinformationen eines umfassenden Objektes aus dem Workbench-Bereich enthalten und deren separater Transport zu schweren Inkonsistenzen im Zielsystem führen kann.

Zum Beitrag

SAP Security: Kennen Sie Ihre SAP-Sicherheitssituation?

IT-Sicherheit hat viele Facetten. Ihre SAP®-Systeme sind nur eine davon, jedoch die wichtigste. Sie beinhalten personenbezogene Daten Ihrer Kunden, Mitarbeiter, Partner und bilden die für sie überlebenswichtigen Unternehmensprozesse ab. Ein Angriff auf Ihre SAP-Systeme hat gravierende Folgen für Ihr Unternehmen. Nicht nur erhebliche Kosten zur Erkennung und Behebung des Angriffs, auch Ausfallzeiten in der Produktion, hohe Strafen sowie ein enormer Imageschaden können die Folge sein.

Zum Beitrag

Topics: UnderstandYourRisk

Life @ Virtual Forge 

22. Januar 2018 Von Virtual Forge GmbH

 

Das Leben bei Virtual Forge ist vielseitig – von der IT- über den Support bis hin zur Marketing-Abteilung sind unsere Aufgaben breit gefächert. Wir möchten Ihnen dazu gerne einen besseren Einblick geben: Wie sieht zum Beispiel der Arbeitstag eines Support-Mitarbeiters aus?

Welche Eigenschaften muss man für ein duales Studium in der IT mitbringen oder was verbindet unsere Sales-Mitarbeiter mit unserem Unternehmen? 

Wir haben unsere Kolleginnen und Kollegen gefragt und stellen Ihnen nun regelmäßig eine Mitarbeiterin/ einen Mitarbeiter in unserer neuen Blog-Serie „Life @ Virtual Forge“ vor.

 

Zum Beitrag

Sicherheitslücken Spectre und Meltdown: Was SAP® Kunden jetzt wissen müssen

18. Januar 2018 Von Virtual Forge GmbH

Die Bombe hat direkt zum Beginn des Jahres eingeschlagen: Beinahe alle Computerchips weltweit sind von den „Spectre“ und „Meltdown“ getauften Angriffsszenarien betroffen. Diese greifen zudem auf Hardware-Level, sind also nicht auf ein Betriebssystem beschränkt. Und zu allem Überfluss werden die benötigten Patches die betroffenen Geräte langsamer machen. Viel mehr Wellen kann eine Sicherheitslücke eigentlich kaum schlagen. Aus Sicht von SAP® Kunden stellt sich natürlich die Frage: wie steht es um die Sicherheit meiner SAP-Systeme? Sind diese überhaupt gefährdet und wenn ja, wie hoch ist das Risiko? Wir beantworten alle wichtigen Fragen.

Zum Beitrag

Gefahren im SAP® Transportwesen Teil 5: Logische Dateinamen und Betriebssystem-Kommandos

21. Dezember 2017 Von Thomas Fritsch, Virtual Forge GmbH

Damit Entwickler sich beim Zugriff auf Dateien oder bei der Ausführung von Betriebssystem-Kommandos aus einem ABAP-Report heraus keine Gedanken über Spezifika des zugrunde liegenden Betriebssystems machen müssen, verwendet die SAP® das Konzept der logischen Dateinamen und der logischen Betriebssystemkommandos. Dabei wird einem logischen Dateinamen (und Dateipfad) für jede infrage kommende Plattform ein physikalischer Dateiname (Dateipfad) hinterlegt. Analog dazu erfolgt die Zuweisung plattformabhängiger physikalischer Kommandos zu einem gemeinsamen logischen Kommando.

Zum Beitrag

Life @ Virtual Forge

14. Dezember 2017 Von Virtual Forge GmbH

 

Das Leben bei Virtual Forge ist vielseitig – von der IT- über den Support bis hin zur Marketing-Abteilung sind unsere Aufgaben breit gefächert. Wir möchten Ihnen dazu gerne einen besseren Einblick geben: Wie sieht zum Beispiel der Arbeitstag eines Support-Mitarbeiters aus?

Welche Eigenschaften muss man für ein duales Studium in der IT mitbringen oder was verbindet unsere Sales-Mitarbeiter mit unserem Unternehmen? 

Wir haben unsere Kolleginnen und Kollegen gefragt und stellen Ihnen nun regelmäßig eine Mitarbeiterin/ einen Mitarbeiter in unserer neuen Blog-Serie „Life @ Virtual Forge“ vor.

 

Zum Beitrag

Gefahren im SAP Transportwesen Teil 4: Automatische Code-Ausführung beim Import

7. Dezember 2017 Von Thomas Fritsch, Virtual Forge GmbH

Nahezu jeder SAP-Basis Administrator weiß um die Gefährlichkeit von XPRA-Einträgen in Transportaufträgen (R3TR XPRA <Reportname>). Prinzipiell lässt sich hiermit jeder Report, der keine expliziten Parameter benötigt, unmittelbar nach dem Import automatisch ausführen. Ist der gewünschte Report im Zielsystem noch nicht vorhanden, kann man ihn entweder gleich im selben Auftrag mit importieren oder mit einem anderen Transportauftrag schon vorher ins Zielsystem bringen. Letztere Vorgehensweise kann einen Angriff besser verschleiern, da der unmittelbare Zusammenhang zwischen Code einschleusen und Code ausführen so nicht zu erkennen ist.

Zum Beitrag

Gefahren im SAP Transportwesen Teil 3: Manipulation der Jobverwaltung

23. November 2017 Von Thomas Fritsch, Virtual Forge GmbH

Die Jobverwaltung im SAP® bietet eine große Angriffsfläche für Manipulationen von außen. Die Möglichkeiten reichen hier vom Ausnutzen von Schwachstellen bestimmter SAP-Standardjobs über die Änderung kritischer Jobeigenschaften bis hin zur kompletten Jobdefinition und -einplanung per Transportauftrag.

Zum Beitrag

Sicherheit in SAP-Entwicklungen: es bleibt viel zu tun

16. November 2017 Von Virtual Forge GmbH

SAP®-Systeme unterscheiden sich in vielerlei Hinsicht von „normalen“ IT-Anwendungen. Einer der großen Unterschiede ist die Tatsache, dass wohl jeder Kunde sein eigenes Coding zum SAP-Standard hinzufügt. In ABAP-basierten SAP-Systemen sind das im Durchschnitt sogar gut 2 Millionen Zeilen kundenindividuelles Coding, wie unser neuester ABAP Code Benchmark zeigt. Dieser Report zeigt auch: sicherer ist der kundeneigene Code über die Jahre nicht geworden.

Zum Beitrag

Gefahren im SAP Transportwesen Teil 2: AUTHORITY-CHECKS transaktionsspezifisch umgehen

2. November 2017 Von Thomas Fritsch, Virtual Forge GmbH

Der erste Beitrag dieser Serie behandelte das globale Ausschalten von Berechtigungsprüfungen für einzelne Berechtigungsobjekte per Transport. Ein ähnliches Risiko ergibt sich aus der Möglichkeit, Berechtigungsprüfungen transaktionspezifisch auszuschalten. Ein Angriff ist bei dieser Methode noch schwerer zu entdecken, da die Auswirkungen unter Umständen auf eine Transaktion beschränkt sind.

Zum Beitrag

Schwachstellenscanner für Ihre SAP®-Systeme

24. Oktober 2017 Von Virtual Forge GmbH

Immer mehr Unternehmen berichten über die Wichtigkeit von Schwachstellenscannern im IT-Kontext. Wir gehen weiter und erläutern Ihnen heute, warum der Einsatz von Schwachstellenscannern besonders für Ihre SAP®-Systeme eine sinnvolle Angelegenheit ist.

Zum Beitrag

Was die WPA2 „KRACK“ Schwachstelle für SAP® Kunden bedeutet

18. Oktober 2017 Von Virtual Forge GmbH

Die Meldung über die „Krack“-Attacke sorgt für gehörige Aufregung in den Medien. Kein Wunder, ist doch einerseits WLAN-Technologie betroffen, die bis dato als sicher galt, andererseits nutzt wohl jeder heutzutage diese Verschlüsselung. Aber was bedeutet die Schwachstelle in der WPA2-Verschlüsselung für SAP® Kunden?

Zum Beitrag

Warum das rechtzeitige Einspielen von SAP® Sicherheitshinweisen immer wichtiger wird

12. Oktober 2017 Von Virtual Forge GmbH

In der vergangenen Woche wurden einige SAP-Sicherheitslücken öffentlich, die es Angreifern ermöglicht hätten, unbemerkt Daten zu stehlen oder SAP-Server zu sabotieren. Kritische Schwachstellen, die in Anwendungen der SAP gefunden wurden und bei vielen Kunden im Einsatz sind.

Zum Beitrag

TRUMPF sorgt für zuverlässigen SAP-Betrieb: Risiken im Kundencode auf der Spur

10. Oktober 2017 Von Sebastian Reim, TRUMPF

Ein SAP-Ausfall kann für TRUMPF ernsthafte Folgen haben. Daher verfolgt der schwäbische Maschinenbauer gezielte Ansätze zur Sicherstellung eines reibungslosen Systembetriebs. Einer davon ist der Einsatz des Virtual Forge CodeProfilers, der Risiken im ABAP-Kundencode identifiziert.   

Zum Beitrag

Gefahren im SAP Transportwesen Teil 1: AUTHORITY-CHECKs umgehen

Die Meinungen über das SAP-Berechtigungskonzept gehen weit auseinander. Sicherlich lässt sich eine gewisse Komplexität und der damit verbundene Pflegeaufwand nicht abstreiten. Die wichtigste Anforderung aber, die lückenlose Absicherung aller Lese- und Schreibzugriffe innerhalb eines Programms, lässt sich damit sehr gut realisieren – zumindest theoretisch. In der Praxis gibt es einige Möglichkeiten, Berechtigungsprüfungen zu umgehen.

Zum Beitrag