ebook img

Compliance, Performance und Qualität für SAP® ABAP Programmierung-MEHRWERK PDF

29 Pages·2012·1.23 MB·German
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Compliance, Performance und Qualität für SAP® ABAP Programmierung-MEHRWERK

MEHRWERK Compliance, Performance und Qualität für SAP ABAP ® Programmierung Compliance für SAP® Systeme Compliance für SAP Systeme ® Management • SoD Regelwerk • Compliance > 10 Regeln • WP Audit • Anwender/Rollen Prozesse • Arbeitsplatz e >100 Rollen • Lizenz Mgmt c n • WP Audit relevant a i l p m • Berechtigungskonzept Administration o • Antrag/Verwaltung/Freigabe von User C > 1.000 Rechten • Online Compliance Prüfung Funktionen/Rollen/Objekte • Dokumentation • Programmier Standards • Einhaltung SourceCode Security SourceCode • Umsetzung Compliance in >10.000 Programme SourceCode • Prüfung Eigenentwicklungen • Kontrolle externer SourceCode Seite 2 Compliance für SAP® Systeme SAP ist die Plattform für Geschäftsprozesse ®  SAP ABAP ist das Rückgrat Ihrer Geschäftsprozesse – durch ® Manipulationen sind Ihre Kronjuwelen in Gefahr!  Mehr als 90% der SAP -Anwendungen sind in ABAP ® geschrieben  Durch Kundenentwicklungen werden spezifische Funktionen realisiert  Selten erweiterte Produktdefinition zusätzlich zu den funktionalen Aspekten als Abnahmebedingung  Keine tiefergehende Prüfung außerhalb der geforderten Kernfunktionen Seite 3 Compliance für SAP® Systeme Risiken in der SAP ABAP Programmierung ® ABAP Command Hard-Code User Injection Names OS Command Execution Cross-Client Access to Missing Authority Checks business data Cross-Site Scripting Direct database SQL Injection modifications Etc. Etc. Empty Blocks / Nested Loops Modules Nested SELECT Micro Modules / WAIT statements Overlong Modules Usage of SELECT * Incomplete CASE Etc. Statements Insufficient Error Handling Seite 4 Compliance für SAP® Systeme Optimierung und Sicherheit für SAP ABAP ® Sicherheit & Kostenkontrolle Kontrolle: Qualität der Fremdentwicklungen messen Risikominimierung Transparenz : Detailliertes Reporting von kritischen Compliance : Faktoren Gewährleistung von Effektivität: Priorisierung der Applikationssicherheit klassifizierten Ergebnisse Testautomatisierung Audit: individuelle Know-How Transfer: Anleitung mit CodeProfiler. Dokumentation zur sicheren Codeprogrammierung Vermeiden von Fehlern Quality: Transparenz über vor dem Go-Live Sicherheit, Compliance, Performance, etc. Überprüfung von Qualitätsstandards Seite 5 Compliance für SAP® Systeme Projektbeispiele von Risiken… Beispiel 1: Durch eine Untersuchung mit „CodeProfiler“ wurden in einem SAP -System mit produktiven ® Finanzdaten mehrere sogenannte Code Injection Probleme gefunden Code Injection: Es ist möglich, dynamisch ABAP Quellcode in das System einzuschleusen  Sämtliche Prüfmechanismen für die Erstellung neuen Quellcodes werden umgangen (Transportprüfungen, Q/A)  Die neu erstellten Programme werden nicht in gewohnter Weise im SAP -System protokolliert, es ® gibt keine Einträge über das Datum der Erstellung sowie den Nutzer Die gefundenen Programme konnten auch dazu genutzt werden, den Code wieder zu entfernen Einige der gefundenen Programme verfügten über keinerlei Berechtigungsprüfungen  Auf diese Weise war es jedem Mitarbeiter mit einem Nutzer in besagtem SAP -System möglich, ® eigene Programme beliebigen Inhalts in das System hochzuladen, diese auszuführen und danach wieder zu löschen, ohne dass diese Manipulationen bemerkt würden Seite 6 Compliance für SAP® Systeme Projektbeispiele von Risiken… RISIKO: Geschäftlich: Durch die Möglichkeit finanzieller Manipulationen stand die Zuverlässigkeit des Jahresabschlusses in Frage. Die Zustimmung des Wirtschaftsprüfers zu den Finanzdaten war gefährdet. Technisch: Sämtliche SAP -Systeme des Konzerns mussten auf die Existenz der entsprechenden Programme hin ® untersucht werden. Es mussten umfangreiche Prüfungen durchgeführt werden, um nachzuweisen, dass die entsprechenden Programme nicht aufgerufen worden waren. Die Programme mussten gelöscht werden; zusätzliche Tests waren notwendig, um sicherzustellen, dass die Löschung von Programmen in produktiven Systemen nicht zum Ausfall von Funktionalität führte. Seite 7 Compliance für SAP® Systeme Projektbeispiele von Risiken… Beispiel 2: Durch eine Untersuchung mit „CodeProfiler“ wurden in einem SAP SRM Portal mehrere Backdoors ® identifiziert. Damit war ein vollständiger Zugriff auf alle Daten möglich. Backdoor: (un)absichtlich eingebaute Zugangsmöglichkeit, die an den vorgesehenen Schutzmechanismen vorbeigeht.  Sämtliche Prüfmechanismen auf das System werden umgangen  Der Zugriff ist für den Kunden nicht nachvollziehbar.  Auf diese Weise war es jedem Externen möglich, die komplette Anwendung zu nutzen. Es konnten alle Daten gelesen und geändert werden. Dem Kunden war nicht bewusst, dass diese Lücke von außen von jedem ausnutzbar war. Seite 8 Compliance für SAP® Systeme Projektbeispiele von Risiken… RISIKO: Geschäftlich: Der Kunde hat vertragliche und gesetzliche Anforderungen an Datenschutz und Vertraulichkeit nicht eingehalten. Zu den vertraulichen Informationen gehörten auch Entwürfe für neue Anlagen, die so einem Konkurrenten leicht zugänglich waren. Ein Teil der Geschäftsgeheimnisse lagen somit offen. Im Schadensfall wirkt sich dies auf die Reputation des Herstellers aus, da Anbieter nicht davon ausgehen können, dass Ihre Daten geschützt sind. Backdoors werden manchmal absichtlich eingebracht und gezielt für Wirtschaftsspionage genutzt. Technisch: Die Identifikation und Behebung der Sicherheitslücken durch „CodeProfiler“ konnte in kurzer Zeit erfolgen. Der Kunde konnte so mit wenig Aufwand ein großes Risiko ausschließen. Seite 9 Compliance für SAP® Systeme Der Ansatz zur SAP ABAP Prüfung ® CodeProfiler nutzt Daten- und Kontrollflussanalysen in Verbindung mit einem umfangreichen Bestand an Regeln, der viele Datenquellen und gefährliche ABAP Statements umfasst. Bei der Datenflussanalyse werden zunächst Datenquellen identifiziert, d.h. Stellen im Code, an denen (externe) Daten in Variablen eingelesen werden. Anschließend wird analysiert, ob es Verbindungen zwischen einer Datenquelle und einem potentiell gefährlichen Statement gibt. Jede identifizierte Verbindung (Datenfluss) zeigt an, dass das Statement mit großer Wahrscheinlichkeit eine Gefährdung darstellt und als Schwachstelle ausgenutzt werden kann. Auf Basis der Datenflussanalyse finden weitere Prüfungen wie Typisierung, Berechtigungsprüfung, Nutzung regulärer Ausdrücke etc. statt. Dadurch wird eine Priorisierung und damit Effizienzsteigerung im Prozess erreicht. Seite 10

Description:
Page 1 SAP® ABAP ist das Rückgrat Ihrer Geschäftsprozesse – durch. Manipulationen sind Ihre . Prüfbereiche der SAP® ABAP Analyse. Seite 12.
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.