Um die eigenen SAP-Systeme effektiv zu schützen, muss man die Dynamik von Angriff und Verteidigung verstehen und wie Hacker Angriffe planen und durchführen, um diese dann mit entsprechenden Gegenmaßnahmen zu verhindern.
Anders als statische Methoden der SAP-Sicherheit, bei denen Parameter und Konfigurationen im Vor- dergrund stehen, werden in diesem Seminar die wirklichen Angriffe, die „Hacks“ und „Threats“ in ihrer Gesamtheit im Vordergrund stehen. Spionage, Erpressung oder Sabotage sind Motivation für viele Hacker, diese wichtigen Unternehmens-Systeme anzugreifen. Und mit dieser kriminellen Energie werden die Angriffe ausgetragen.
Auch die Systeme in der „Cloud“, seien es eigene Systeme oder die SAP-Systeme und Services von Hyperscalern, müssen in die Sicherheitsbetrachtungen mit einbezogen werden. Wir untersuchen, wie Cloud-Komponenten angegriffen werden können und wie man das Unternehmen dagegen schützen kann.
In diesem Seminar werden wir an klassischen SAP-Angriffsmustern und deren Verteidigung zeigen, welche Möglich- keiten zum Hacking von SAP-Systemen im Umlauf sind. Das fängt bei dem Sammeln von Informationen über Unternehmen und Server an und geht über Netzwerke, gestohlene Identitäten bis hin zur finalen Übernahme eines SAP-Systems.
Potenzielle Hack-Angriffe werden live durchgespielt – die Sicht auf die Themen ist immer geprägt von „Team ROT – Angriff“ und „Team BLAU – Verteidigung“. Dies spiegelt sich auch so in den praktischen Übungen wider, die durchaus auch spannenden Unterhaltungswert haben.
Am Ende steht die Erkenntnis über die Absicherung vor Hacking-Angriffen – sei es nun der Gelegenheitsacker, der unzufriedene Mitarbeiter oder die „State Actors“, die Angriffe mit geopolitischem Hintergrund ausführen. Ein hoher Härtungsgrad der SAP-Systeme, ein stringentes Berechtigungskonzept sowie die permanente Kontrolle der relevanten Ereignisse sind der Schlüssel zur operativen SAP-Sicherheit. Weiterhin werden die Analyse des „Security Audit Log“ und SIEM-Systeme wie das SAP Enterprise Threat Detection betrachtet und die Umsetzung der SAP-Sicherheit durch die wichtigsten Projekte erläutert.
Sie sind nach dem Seminar in der Lage, die Schwächen von SAP-Systemen aufzudecken, die wichtigsten Angriffsmuster zu erkennen, die Absicherung der Systeme zu bewerten und das Projektvorgehen einzuschätzen.
Themen
Vor dem Hack – Reconnaissance und Zugang
- Sammeln von Erkenntnissen über die Ziel-Systeme
- Cloud-Systeme – Öffentlich und geschwätzig
- Identifizieren von Zielpersonen
- Kriterien zur Planung und Realisierung eines Angriffs: das Playbook
Das erste wichtige Ziel: Netzwerk-Zugriff
- Netzwerk Scan und SAP DIAG-Protokolle
- Hack für Firewall, Router und „Edges“
Cloud-Komponenten
- Wie sehen Komponenten in der „SAP-Cloud“ aus
- Identity-Management in der Cloud
- Umgang mit Hyperscalern
- Angriffe auf Cloud-Lösungen
Das nächste wichtige Ziel – Kennwörter
- Angriff durch Extraktion der Daten
- Mit Passwort-Hashes arbeiten
- Physikalische Attacken auf Kennwörter
- Der 5 Minuten-Hack im Mandant 066
Laterale Angriffe in der SAP-Landschaft
- Was ein Entwickler in einem SAP-Entwicklungssystem alles (nicht) können sollte
- Gefahren durch manipulierten kundeneigenen ABAP-Code
- Laterale Bewegung durch RFC und SM59
Angriffe auf die Datenbank
- Datenbankarchitektur und SAP HANA
- SAP DBA Konzept und bekannte Schwachstellen
RFC – Der Werkzeug-Kasten für universelle SAP-Angriffe
- RFC-Angriffe in Theorie und Praxis
- Zugriffsmöglichkeiten auf Daten durch Excel und Python
- Erstellen eines USB-Sticks zur Benutzung in beliebigen SAP-Netzwerken
- Metasploit, SAP und Reverse Shells
SAP Code-Sicherheit – Der Trojaner im ABAP
- Gefahren durch manipulierten kundeneigenen ABAP-Code
- Angriffsmuster in SAP ABAP Code, die „Evil ABAPs“
- Gegenangriffe zur Code-Sicherheit
- Forensik aus der Praxis: Wie verärgerte Entwickler zu einem hohen Sicherheitsrisiko werden
Wer sind die Angreifer? Sicherheits-Alltag und Forensik
- Die häufigsten bekannten Angriffsvektoren auf SAP-Systeme
- State Actor – Cyber-Angriffe und Industriespionage
- Threat Actors – Gelegenheitsverbrecher und organisierte Kriminalität
- Das Darknet – Funktionsweise
- Cyber Intelligence – was das eigene Unternehmen alles über Sicherheit wissen sollte
- Bug Bounty – warum es manchmal besser ist, die Hacker zu bezahlen
- Welche Logs gibt es und wie können die Angriffe dort gesehen werden
- SAP ETD – Die große Lösung für die meisten komplexen Angriffsmuster
- SIEM-Software – der Klassiker im SOC (Security Operation Center)