Sicherheits-Testing-Tool für mobilen SAP-Zugriff

Der auf die Absicherung von ERP- und SAP-Systemen spezialisierte Anbieter Onapsis weite das Angebot nun auch für mobile Schnittstellen aus.

OnapsisOnapsis, ein Sicherheitsunternehmen aus Boston, wird in den nächsten Wochen ein Tool vorstellen, über das sich testen lässt, ob das SAP-Backend auch für den mobilen zugriff sicher konfiguriert ist. Nachdem Bei SAP derzeit rund 1000 Mitarbeiter damit beschäftigt sind, mobile Schnittstellen zu den verschiedenen Unternehmensprogrammen zu schaffen, wird das Thema immer wichtiger.

Die meisten mobilen Sicherheitslösungen würden sich derzeit darauf beschränken, das Gerät selbst abzusichern, was natürlich sehr wichtig ist, wie Onapsis-CEO Mariano Nunez in einem Blog erklärt.

“Wenn ihr Unternehmen SAP Mobile Application in den Tablets oder Smartphones der Nutzer verwende, dann hat man auch Server die dem Internet ausgesetz sind, damit diese diese Geräte bedienen können, und damit sind sind sie beinahe noch mehr gefährdet”, erklärt Nunez.

Ein Angreifer brauche für den Angriff lediglich einen Scan durchzuführe, um solche Komponenten zu erkennen. “Und er ist dabei nicht auf die Funktionalitäten beschränkt, die ihm die SAP Mobile App liefert. Er kann sich mit einem SAP-Server über eine Reihe von Angriffstools verbinden und so versuchen, Sicherheitslecks auszunutzen. Ist er damit erfolgreich, kann er die gesamte SAP-Infrastruktur remote über das Internet kompromittieren.”

Mit einem neuen Modul für die Sicherheits-Suite X1 adressiere Onapsis aber dieses Problem. X1 ist eine Lösung, die Compliance-Audits, Assesments und Angriffsszenarien für SAP-ERP durchführt. Das Tool prüft jedoch nur die Sicherheit der Infrastruktur und nicht die Sicherheit der Anwendung.

Dabei werde sich das Tool auf das Sybase Unwired Platform Development Center, das heute unter Mobile Plaform firmiert, konzentrieren. Mit diesem Tool können Entwickler die Anwendungen auf verschiedenen Plattformen zum Laufen bringen. Und natürlich wird das Tool die Verbindung zu dem SAP-Backend analysieren und dabei auf das NetWeaver Gateway besonderen Wert legen. Und gerade hier könne man als Anwender bei der Konfiguration der Systeme viele Fehler machen, warnt Nunez. Auch würden hier häufig nötige Patches nicht aufgespielt, oder die von SAP veröffentlichten Best Practices nicht eingehalten.

Ist beispielsweise eine Anwendung für den mobilen Zugriff falsch konfiguriert, kann man damit sehr schnell erhebliche Sicherheitslücken aufreißen. Das neue Tool soll im August auf den Markt kommen und ist für die Anwender von X1 kostenlos.