Sicherheitscheck für SAP-ERP

Martin Schindler,

Wie sicher ist meine ERP-Anwendung? Diese Frage will der Sicherheitsanbieter Onapsis mit einer neuen Software beantworten. Zunächst für SAP, später sollen weitere Suiten folgen.

Um die ERP-Landschaft auf Sicherheitsbedrohungen testen zu können, will Onapsis in den nächsten Wochen die Software X1 auf den Markt bringen. Damit sollen nicht nur Sicherheits- und Compliance-Probleme ausgeräumt werden. Die Lösung protokolliert sämtliche Vorgänge.

In der ersten Version wird X1 nur mit den Business-Plattformen von SAP arbeiten. Schon bald aber könnte diese Anwendung auch auf Siebel sowie andere Oracle-ERP-Lösungen über Module ausgeweitet werden, heißt es vom Hersteller.

Das Unternehmen sieht den Vorteil dieser Anwendung vor allem darin, dass die Kosten deutlich unter den Tagessätzen eines externen Sicherheitsberaters liegen. Derzeit existieren mehrere Tools, die die funktionelle Ebene einer ERP-Anwendung auf Inkonsistenzen oder eine fehlerhaftes Rechtemanagement prüfen. X1 hingegen, so versichert der Anbieter, beziehe auch die technologische Grundlage der Anwendung mit ein.

Über eine selbstentwickelte Technologie verbinde sich die Lösung mit jeder SAP-Instanz im Unternehmen und prüfe diese auf Verwundbarkeiten und Konfigurationsfehler, heißt es von Onapsis.

Die Lösung sucht nach Fehlern und Lecks in den Anwendungen und zeigt diese dann auf. Zudem lässt sich über die Lösung auch feststellen, unter welchen Umständen über die gefundenen Fehler kritische Unternehmensdaten gefährdet sind. Bekannte Lecks sind in der Lösung bereits gespeichert, so dass ein Unternehmen per Drag and Drop einen Exploit auf die eigene Umgebung übertragen kann, um dann festzustellen, wie sich der Schadcode im Unternehmen im Ernstfall auswirken würde.

X1 kann auch mit den firmeninternen Sicherheitsrichtlinien gefüttert werden. Das Tool prüft neben gesetzlichen Vorgaben und Industriesicherheitsstandards auch die Kompatibilität mit der Policy des Unternehmens.

Auch bei der Verwaltung von Patches hilft X1. Sobald ein Workaround oder ein Patch für ein bekanntes Problem verfügbar ist, meldet sich die Onapsis-Lösung mit einem Report und einem Plan zur Risikominimierung zu Wort. Der Preis der Lösung ist abhängig von der Größe der zu prüfenden ERP-Anwendung.

Lesen Sie auch : Angriffsziel ERP