ABAP und ISMS Zertifizierung


ABAP und ISMS Zertifizierung

Zertifizierung der RBE Plus Technologie nach BIZEC APP/11und der RBE Plus Analyseabwicklung nach ISO 27001

ABAP und ISMS Zertifizierung ABAP und ISMS Zertifizierung

Würden Sie einen Fremden einen Blick unter die Motorhaube ihres Wagens werfen lassen – oder doch lieber den Mechaniker ihres Vertrauens?

Wenn man so will, dann sind komplexe Business Softwaresysteme nichts anderes als der Motor eines Unternehmens. SAP Systeme wie SAP ERP steuern wichtige Geschäftsprozesse und sind für die Speicherung damit verbundener Daten zuständig, dem wahren Kapital unternehmerischer Tätigkeiten. Während es früher als ausreichend angesehen wurde, den Zugriff auf diese kritischen Daten zu beschränken und Berechtigungen zu vergeben, reicht das im Zuge weitreichender Vernetzung bzw. der Einbindung in komplexe Landschaften und die Anbindung externer Systeme nicht mehr aus. Inzwischen ist der Einsatz von Web-Servern oder Web-Applikationen mit Internet-Anbindung Standard. Doch mit dem Funktionalitätsgewinn einher geht leider auch ein gestiegenes Gefährdungspotential.

Hintertüren existieren überall – aufgrund von Schwachstellen in der Systemarchitektur, Nachlässigkeiten in der Berechtigungsvergabe oder durch Sicherheitslücken und Programmierfehlern, unabhängig davon, ob sie in Eigenentwicklungen oder „fremden“ Add-on Produkten vorkommen. Dabei sind für unbefugte Benutzer alle sensiblen Datenbereiche interessant, wie beispielsweise Personaldaten, Kundendaten, Bilanzen etc.

Aufgrund der weitreichenden Konsequenzen von Sicherheitslücken ist die öffentliche Wahrnehmung geschärft worden. So ist beispielsweise aus der Presse die folgende Meldung publik geworden:

Empfehlung zur Vermeidung von Sicherheitsrisiken (BSI) sowie verschärfte Datenschutzrichtlinien und systematisches Management der Informationssicherheit nach ISO 27001 (ISMS)

Auch den Anwendungsunternehmen und damit unseren Kunden sind diese Sicherheitsrisiken natürlich bewusst. So existieren die verschiedensten Richtlinien für den Transport bzw. die Ausführung von eigenen sowie fremden ABAPs in die weit weniger „abgeschotteten“ SAP-Systeme. Dabei sind automatische Code-Scans ein durchaus probates Mittel. So kam beispielsweise der ABAP Code-Scan von Virtual Forge mindestens bei zwei unserer Kunden für unsere ausgelieferten RBE+ ABAPs zum Einsatz, jeweils mit positiven Ergebnissen. Für uns ist dies ebenso erfreulich wie wichtig, denn Analysedienstleistungen sind immer auch eine Frage des Vertrauens. Neben der Empfehlung zur regelmäßigen Prüfung von Eigenentwicklungen referenziert der Best Practice Leitfaden Development der DSAG auf den Standard BIZEC APP/11. Die Etablierung unabhängiger Sicherheitsstandards ist das Ziel des BIZEC-Konsortiums.

 

ID Schwachstelle Beschreibung
APP-01 ABAP Command Injection Beliebiger ABAP Code kann dynamisch ausgeführt werden.
APP-02 OS Command Injection Willkürliche Betriebssystem-Kommandos können ausgeführt werden.
APP-03 Native SQL Injection Beliebige native SQL-Kommandos werden unter Umgehung jeder Open SQL Beschränkung ausgeführt.
APP-04 Improper Authorization (Missing, Broken, Proprietary, Generic) Keine bzw. fehlerhafte Berechtigungs­prüfung für kritische Operationen.
APP-05 Directory Traversal Unautorisierter Zugriff (Schreiben/Lesen) auf Dateien.
APP-06 Direct Database Modifications Unautorisierter schreibender Tabellenzugriff.
APP-07 Cross-Client Database Access Zugriff auf Geschäftsdaten mandantenübergreifend.
APP-08 Open SQL Injection Nutzung dynamischer Abfragen zum nicht autorisierten Zugriff auf Daten.
APP-09 Generic Module Execution Unkontrollierte Ausführung von SAP Standard Modulen (Reports, Funktionsbausteine etc.).
APP-10 Cross-Site Scripting Ausnutzung von Sicherheitslücken in Webanwendungen (BSP).
APP-11 Obscure ABAP Code Verschleierung des Zwecks.

 

Die Einhaltung dieses Standards wird auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen und kann für ABAP Transaktionen und Reports auch zertifiziert werden:

Nicht zuletzt deshalb setzen auch wir auf die Zertifizierung unserer Werkzeuge. Vor diesem Hintergrund haben wir einen aktuellen RBE+ABAP zu Datenextraktion als Transportauftrag bestehend aus mehreren ABAPs nach dem Standard BIZEC APP/11 analysieren lassen.

Was passiert bei dieser Analyse?

  1. Zuerst wurde ein Vorabscan der ABAPs zur Abschätzung des Aufwands einer Zertifizierung durchgeführt. Dieser Check erfolgt online durch einen automatischen Code-Scan, der ein stark verkürztes Ergebnisprotokoll generiert.
  2. Danach wurde die produktive Analyse beauftragt. Hier läuft der erste Code-Scan ähnlich, allerdings werden neben dem ausführlichen Ergebnisprotokoll die ABAPs von Experten überprüft und bewertet. Bei dieser manuellen Sichtprüfung werden automatische Findings als „False Positive“ beurteilt, wenn sie sich bei der näheren Analyse als unkritisch herausstellen.

Unsere RBE+ ABAPs wurden Anfang 2017 offiziell nach dem Standard BIZEC APP/11 zertifiziert. Und auch zukünftig sehen wir Sicherheit als fortlaufenden Prozess an und werden in unseren ABAPs sich weiter verschärfende Sicherheitsaspekte kontinuierlich berücksichtigen. Insgesamt zeigt diese Maßnahme, dass wir unsere Informationssicherheit kontinuierlich weiterentwickeln. Dies dokumentiert auch unser ISMS Zertifikat nach ISO 27001, das wir seit 2013 jedes Jahr extern überprüfen lassen. Als IT-Dienstleister gewährleisten wir damit die Einhaltung von Standardsicherheitsmaßnahmen, weil für uns der verantwortungsvolle Umgang mit den Daten unserer Kunden höchste Priorität hat.

Kommentar erstellen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

18 + fünf =