Availability

Smartphone oder Tablet um 90° drehen

NEXGAP Branding

OFFENSIVE SAP®

SECURITY

SAP® Lösungen bilden das Rückgrat der führenden Unternehmen unserer Zeit. Wir sind darauf spezialisiert, die Cybersecurity von SAP® Systemen zu maximieren und die operative Exzellenz unserer Kunden zu gewährleisten
Vereinbaren Sie jetzt ein Erstgespräch mit unseren Experten
Arrow Down
Erstgespräch vereinbaren
Arrow Down

SAP® Audit

Kritische Schwachstellen in SAP® aufdecken

Arrow Down

SAP® Audit

Kritische Schwachstellen in SAP® aufdecken

Arrow Down
Analyzing Containers

Programmierbefehle auf SAP® ABAP-Ebene

ABAP bietet die Möglichkeit, Komponenten und Daten zu lesen, erstellen, ändern, speichern, kompilieren sowie auszuführen.
Back Up and Restore

Integrierter Zugriff auf das OS

Darüberhinaus bietet ABAP jedem Benutzer die Möglichkeit, OS-Befehle auf dem Server auszuführen.
Expansion

Integrierter Zugriff auf das OS über das SAP® GUI

ABAP bietet die Möglichkeit, OS-Befehle über das SAP® GUI auf jedem verbundenen Client auszuführen.
Network Applicances

Integrierter nativer SQL-Zugriff auf SAP® HANA-Datenbanken

ABAP bietet die Möglichkeit, beliebige Datenbank-Befehle auszuführen wie z.B. SELECT und INSERT.
Security Intelligence

Läuft mit vollen Rechten im SAP® ABAP-Interpreter

ABAP bietet keine Möglichkeit (auch Administratoren nicht) die Ausführung von ABAP-Code im Runtime zu beschränken.
Unlock

Integrierter Zugriff auf Dateien

ABAP bietet die Möglichkeit, Dateien auf dem Server sowie auf dem OS eines jeden verbundenen Client zu lesen und zu verändern.
SAP Installation

Verursachte Schatteninfrastruktur durch SAP®

Die Verwendung von SAP® Systemen und die damit verbundene Installation sind tief in die Unternehmensstrukturen integriert. Sie schaffen eine Art "Schatteninfrastruktur", die parallel zur bestehenden IT-Landschaft läuft und diese erweitert.

Arrow Down
Was viele SAP®-Experten jedoch nicht wissen, ist die Tatsache, dass die Kompromittierung einer einzelnen Komponente zu der Kompromittierung des gesamten Unternehmensnetzwerks führen kann. Dieser Punkt wird oft unterschätzt, obwohl er gravierende Auswirkungen auf die gesamte IT-Sicherheitsstrategie eines Unternehmens hat. In einem SAP®-System sind zahlreiche Module und Anwendungen integriert, die alle miteinander interagieren und voneinander abhängig sind. Eine Sicherheitslücke in nur einem dieser Module kann somit das gesamte Netzwerk gefährden, indem sie unbefugten Zugriff auf sensible Daten und kritische Geschäftsprozesse ermöglicht.
Arrow Down
Alle Komponenten, darunter fallen beispielsweise Klienten oder der SM, samt den Linien, sind miteinander verbunden. Eine wenig geschützte Komponente führt zwangsläufig zu einem Kollateralschaden für alle weiteren. Diese enge Verknüpfung bedeutet, dass eine Schwachstelle in einem Bereich potenziell die gesamte IT-Infrastruktur gefährden kann.
Arrow Down
Eine Kompromittierung der SAP® Komponenten kann auf verschiedene Wege durchgeführt werden, um darauf folgend die IT/OT zu kapern:

Fallbeispiel 01

Der Einsatz von Drittanbieter-Software oder -Plugins in einer SAP®-Umgebung kann zusätzliche Risiken bergen im Bezug auf Schwachstellen

Fallbeispiel 02

Kriminelle können bösartigen Code in scheinbar legitimen Anwendungen oder Modulen verstecken, die in das SAP®-System integriert sind

Fallbeispiel 03

Exploits auf OS-Ebene sind äußerst gefährlich, da es keine geeigneten Maßnahmen dagegen gibt

Fallbeispiel 04

Kriminelle erhalten Zugriff auf SAP®-Datenbank um kritische Daten zu ändern, manipulieren oder zu löschen
Analyzing Containers

Programmierbefehle auf SAP® ABAP-Ebene

ABAP bietet die Möglichkeit, Komponenten und Daten zu lesen, erstellen, ändern, speichern, kompilieren sowie auszuführen.
Back Up and Restore

Integrierter Zugriff auf das OS

Darüberhinaus bietet ABAP jedem Benutzer die Möglichkeit, OS-Befehle auf dem Server auszuführen.
Expansion

Integrierter Zugriff auf das OS über das SAP® GUI

ABAP bietet die Möglichkeit, OS-Befehle über das SAP® GUI auf jedem verbundenen Client auszuführen.
Network Applicances

Integrierter nativer SQL-Zugriff auf SAP® HANA-Datenbanken

ABAP bietet die Möglichkeit, beliebige Datenbank-Befehle auszuführen wie z.B. SELECT und INSERT.
Security Intelligence

Läuft mit vollen Rechten im SAP® ABAP-Interpreter

ABAP bietet keine Möglichkeit (auch Administratoren nicht) die Ausführung von ABAP-Code im Runtime zu beschränken.
Unlock

Integrierter Zugriff auf Dateien

ABAP bietet die Möglichkeit, Dateien auf dem Server sowie auf dem OS eines jeden verbundenen Client zu lesen und zu verändern.
SAP Installation

Schatteninfrastruktur durch SAP®

Die Verwendung von SAP® Systemen und die damit verbundene Installation sind tief in die Unternehmensstrukturen integriert. Sie schaffen eine Art "Schatteninfrastruktur", die parallel zur bestehenden IT-Landschaft läuft und diese erweitert.

Arrow Down
Was viele SAP®-Experten jedoch nicht wissen, ist die Tatsache, dass die Kompromittierung einer einzelnen Komponente zu der Kompromittierung des gesamten Unternehmensnetzwerks führen kann. Dieser Punkt wird oft unterschätzt, obwohl er gravierende Auswirkungen auf die gesamte IT-Sicherheitsstrategie eines Unternehmens hat. In einem SAP®-System sind zahlreiche Module und Anwendungen integriert, die alle miteinander interagieren und voneinander abhängig sind. Eine Sicherheitslücke in nur einem dieser Module kann somit das gesamte Netzwerk gefährden, indem sie unbefugten Zugriff auf sensible Daten und kritische Geschäftsprozesse ermöglicht.
Arrow Down
Alle Komponenten, darunter fallen beispielsweise Klienten oder der SM, samt den Linien, sind miteinander verbunden. Eine wenig geschützte Komponente führt zwangsläufig zu einem Kollateralschaden für alle weiteren. Diese enge Verknüpfung bedeutet, dass eine Schwachstelle in einem Bereich potenziell die gesamte IT-Infrastruktur gefährden kann.
Arrow Down
Eine Kompromittierung der SAP® Komponenten kann auf verschiedene Wege durchgeführt werden, um darauf folgend die IT/OT zu kapern:

Fallbeispiel 01

Der Einsatz von Drittanbieter-Software oder -Plugins in einer SAP®-Umgebung kann zusätzliche Risiken bergen im Bezug auf Schwachstellen

Fallbeispiel 02

Kriminelle können bösartigen Code in scheinbar legitimen Anwendungen oder Modulen verstecken, die in das SAP®-System integriert sind

Fallbeispiel 03

Exploits auf OS-Ebene sind äußerst gefährlich, da es keine geeigneten Maßnahmen dagegen gibt

Fallbeispiel 04

Kriminelle erhalten Zugriff auf SAP®-Datenbank um kritische Daten zu ändern, manipulieren oder zu löschen
Kunden

Branchenführende Unternehmen

Unternehmen aus den Branchen der Industrie, Chemie, Lebensmittel, Konsumgüter, Maschinenbau, Rüstung und co. setzen auf unsere Expertise

Branchenführende Unternehmen

Unternehmen aus den Branchen der Industrie, Chemie, Lebensmittel, Konsumgüter, Maschinenbau, Rüstung und co. setzen auf unsere Expertise
+ weitere Unternehmen aus der Industrie
+ weitere Unternehmen aus der Industrie

360° Analyse

Die Sicherheit im SAP®-Umfeld ist von vielfältigen Aspekten geprägt. Dazu zählen IAM, Rollen und Berechtigungen (SoD-Richtlinien), Backups, Systemhärtung, Patch-Management und Custom-Code, um nur einige Beispiele zu nennen. Oftmals allozieren Unternehmen ihre Budgets jedoch ausschließlich auf wenige dieser Bereiche, ohne dabei den Gesamtüberblick zu wahren. Hierdurch können potenziell gefährliche Sicherheitslücken entstehen.
In unserer ganzheitlichen Betrachtung (SQ-360) führen wir eine umfassende Analyse der Sicherheit einzelner SAP®-Systeme oder ganzer Landschaften durch. Dabei bieten wir Ihnen einen ganzheitlichen Überblick über sicherheitskritische SAP®-Systeme und Komponenten. Zudem erhalten Sie wertvolles Feedback darüber, ob und welche Risiken bestehen, die bisher durch Ihre Prozesse und Sicherheitsmaßnahmen nicht ausreichend abgedeckt wurden.

Sicherheitsmaßnahmen im SAP®-Umfeld erfordern erhebliche Investitionen. Um das Budget optimal zu nutzen, ist eine umfassende Übersicht darüber erforderlich, welche Systeme als kritisch einzustufen sind und welche Risiken bisher nicht ausreichend abgedeckt wurden. Daher bestimmen wir in einem ersten Schritt die Kritikalität der zu untersuchenden Systeme und Komponenten. Diese Kritikalitätsbewertung gründet maßgeblich auf dem Wert der enthaltenen Geschäftsdaten, der Rolle des Systems für die Kontinuität der Geschäftsabläufe und den regulatorischen Anforderungen.

Im zweiten Schritt der SQ-360 Durchführung überprüfen wir, in welchem Umfang Sicherheitsrisiken im Betrieb von SAP® durch Prozesse und Schutzmaßnahmen abgedeckt sind. Mithilfe unserer Gap-Analyse erhalten Sie rasch einen Überblick darüber, ob Ihr Unternehmen bestimmte Risiken unzureichend adressiert hat.

In der dritten Phase überprüfen wir stichprobenartig, ob in kritischen Systemen oder Komponenten konkrete Sicherheitslücken existieren. Der Fokus liegt dabei auf den Risiken, die in der vorangegangenen Gap-Analyse identifiziert wurden. Als Ergebnis erhalten Sie eine umfassende Übersicht über aktuelle Risiken und Schwachstellen. Durch die Kombination mit der Liste kritischer Systeme haben Sie die Möglichkeit, Ihr Budget gezielt auf die bestehenden Handlungsbedarfe auszurichten.

SQ-CS Analyse

Internetkriminalität verzeichnet ein anhaltendes Wachstum und stellt eine expandierende Industrie dar. Schätzungsweise entstehen der Weltwirtschaft jährlich Verluste in Höhe von etwa 445 Milliarden Dollar. Insbesondere die Wirtschaftsmächte, darunter auch Deutschland, zählen zu den vorrangigen Zielen von Cyber-Angriffen. Die entstehenden Verluste resultieren aus dem Diebstahl von geistigem Eigentum (IP), finanziellen Vermögenswerten und Geschäftsgeheimnissen. Zusätzlich entstehen Opportunitätskosten, zusätzliche Aufwendungen zur Sicherung von Netzwerken sowie Kosten für gehackte Unternehmen, die sich von Cyber-Angriffen und den damit verbundenen Reputationsschäden erholen müssen.

Durch unsere Cyber-Security Analyse (SQ-CSA) haben Unternehmen die Möglichkeit zu überprüfen, ob die bestehenden Cyber-Schutzmaßnahmen ausreichend sind. Unsere Erkenntnisse ermöglichen es, technische und organisatorische Sicherheitslücken zu identifizieren und zu schließen.
Arrow Right
Informationssicherheit ist heutzutage für alle Unternehmen unerlässlich, um Wettbewerbsvorteile, Produktivität und den guten Ruf zu schützen. Angreifer setzen zunehmend raffinierte Schadsoftware ein, um Unternehmen auszuspionieren, zu sabotieren oder zu erpressen. Dabei steht das Risiko für kriminelle Bedrohungsakteure in einem geringen Verhältnis zu den potenziellen Gewinnen,
Arrow Right
Daher empfehlen wir Unternehmen dringend, ihre bestehenden Sicherheitskonzepte und kritischen Systeme in regelmäßigen Abständen von unabhängigen Dritten auf eventuelle Lücken und Schwachstellen überprüfen zu lassen. Unsere Experten führen Überprüfungen zur technischen Sicherheit von exponierten Systemen und Schnittstellen durch, um kritische Schwachstellen zu identifizieren, die potenziell als Einfallstore für Hacker in das Unternehmensnetz dienen könnten,
Arrow Right
Unser Bericht umfasst detaillierte Beschreibungen der identifizierten Schwachstellen sowie Schritte zu deren Nachvollziehbarkeit. Hierbei erfolgt eine Priorisierung nach Risikostufen. Zudem unterbreiten wir konkrete Vorschläge für effektive Maßnahmen zur Behebung der Schwachstellen und, falls erforderlich, Empfehlungen zur Verbesserung von Sicherheitsprozessen.
Selbstverständlich präsentieren und erörtern wir die kritischsten Ergebnisse in einem ausführlichen Abschlussgespräch, um dem Management ein realistisches Bild der aktuellen Lage zu vermitteln. In diesem Gespräch nehmen wir uns die Zeit, die identifizierten Schwachstellen im Detail zu besprechen, potenzielle Auswirkungen zu erläutern und konkrete Maßnahmen zur Verbesserung der Sicherheitslage vorzustellen. Unsere Experten stehen zur Verfügung, um Fragen zu klären und gemeinsam mit dem Management die nächsten Schritte zur Stärkung der Sicherheitsinfrastruktur zu planen. Durch diese kooperative Herangehensweise fördern wir eine umfassende und wirksame Sicherheitsstrategie im Unternehmen.

SAP® ABAP-Programmierung

Den Einschätzungen verschiedener Experten zufolge befindet sich durchschnittlich etwa ein kritischer Programmierfehler in 1000 Zeilen Quellcode. Jeder solche Fehler kann im produktiven Betrieb erheblichen Schaden verursachen. Sicherheitslücken bei der Verarbeitung personenbezogener Daten sind beispielsweise mit potenziellen Geldstrafen und Image-Schäden verbunden. Daher unterstreicht die Notwendigkeit von sorgfältigen Code-Analysen und Sicherheitsmaßnahmen die Bedeutung der Qualitätssicherung in der Softwareentwicklung.

Unser Training für sichere Programmierung (SQ-SPT) vermittelt Entwicklern nicht nur allgemeine Grundlagen, sondern vor allem praxisbezogenes Wissen für ihre tägliche Arbeit. Die Teilnehmer erlernen, Gefahren in ihren Anwendungen eigenständig zu erkennen und geeignete Schutzmaßnahmen zu treffen. Auf diese Weise werden viele Risiken durch Software von Anfang an vermieden.

Unsere Erfahrung zeigt, dass Entwickler am besten durch praxisnahe Aufgaben lernen, anstatt nur durch Theorie und Präsentationen. Aus diesem Grund sind unsere Trainings individuell auf die Entwicklerteams zugeschnitten und finden im täglichen Arbeitsbetrieb statt. Auf diese Weise haben die Entwickler die Möglichkeit, ihr neues Wissen unmittelbar anzuwenden und erhalten sofortige Unterstützung, wenn sie eine Thematik noch nicht hinreichend verstanden haben.

Für die individuelle Phase des Trainings analysieren wir im Vorfeld die Anwendungen der Entwickler auf Sicherheitsfehler. Anschließend erklären wir den Entwicklern die Kernursachen ihrer Fehler und vermitteln, wie dieses Wissen auch in Zukunft auf ähnliche Fälle angewendet werden kann. In Zusammenarbeit erarbeiten wir Lösungswege für robuste Gegenmaßnahmen und ausreichende Testverfahren.

In unseren Trainings legen wir besonders Wert darauf, die Entwickler nicht zu überfordern. Daher empfehlen wir einen kontinuierlichen Trainingsprozess mit kurzen Sitzungen über mehrere Wochen. Dies ermöglicht eine schrittweise Festigung des komplexen Wissens, und die Entwickler erhalten regelmäßiges Feedback zu den Programmen und Schutzmaßnahmen, an denen sie gerade arbeiten. Ein positiver Nebeneffekt besteht darin, dass das aktuelle Programmierprojekt parallel auditiert wird.

Statische SAP® ABAP Code-Analyse

Die Digitalisierung ist das Schlüsselwort für moderne Geschäftsprozesse. Bedauerlicherweise ist vielen Unternehmen nicht bewusst, dass dabei auch ihre Unternehmenswerte, Kundenkontakte und Alarmanlagen digitalisiert werden. Sie werden zu Datenbanken, Webanwendungen und Firewalls. Materie wird zu Software. Genauer gesagt zu einer umfangreichen Menge an Software. Im Unterschied zur Materie genügt jedoch bereits ein kleiner Denkfehler in der Software, um das gesamte Verteidigungssystem zum Einsturz zu bringen.

Durch unsere statischen Code-Analysen (SQ-CORE) erhalten Unternehmen die Möglichkeit zu überprüfen, ob selbst entwickelte Anwendungen und eigene Softwareprodukte kritische Programmierfehler enthalten. Darüber hinaus erhalten sie Einblicke, wie diese Fehler effizient und nachhaltig behoben werden können.

Unsere Sicherheitsexperten führen seit vielen Jahren erfolgreich Code-Analysen durch und haben maßgeblich an der Forschung und Entwicklung eines Code-Scanners über mehrere Jahre mitgearbeitet. Dadurch verfügen wir nicht nur über fundiertes Wissen über die Eigenheiten verschiedener Programmiersprachen und die typischen Denkfehler von Entwicklern, sondern auch über ein tiefgehendes Verständnis für die Grenzen von Code-Scannern. Wir schätzen die immensen Vorteile des menschlichen Querdenkens und können daher umfassende Einblicke in die Sicherheitsbewertung von Code liefern.

Natürlich ist eine umfassende Analyse großer Code-Mengen für die meisten Unternehmen nicht nur unwirtschaftlich, sondern nimmt auch erheblich viel Zeit in Anspruch. Dennoch sind Code-Analysen besonders bei kritischen Programmen von entscheidender Bedeutung. Dies betrifft beispielsweise Steuerungssysteme von Industrieanlagen, medizinische Geräte, Fahrzeugsteuerungen, Webshops mit hohen Umsätzen sowie Erweiterungen essentieller Bereiche des ERP-Systems. In diesen Fällen stellen Code-Analysen wichtige Stützpfeiler für die Sicherheit der Betreiber sowie deren Kunden und Mitarbeiter dar.

Relevan-C-Software

Relevan-C ist ein zentralisiertes Analyse-System, das umfassende SAP® Bedrohungen identifiziert und gemäß individueller Unternehmenskriterien priorisiert. Darüber hinaus ermöglicht Relevan-C die Durchführung von Compliance-Prüfungen, die speziell auf die Anforderungen Ihres Unternehmens zugeschnitten sind. Eine Sicherheitshistorie bietet fortlaufend Einblicke in die Wirksamkeit implementierter Maßnahmen sowie das Auftreten neuer Risiken.
Arrow Right
Kriminelle Bedrohungsakteure richten ihr Augenmerk oft auf das schwächste Glied in der Verteidigung. Aus diesem Grund untersucht Relevan-C kritische SAP Bedrohungen in den unterschiedlichen Domänen,
Arrow Right
Unsere innovative Analyse-Logik stellt eine einheitliche Risikobewertung bereit, die Schwachstellen auf dem betroffenen System identifiziert. Dies ermöglicht eine konsistente Bewertung und Priorisierung aller Schwachstellen in Ihrer IT-Landschaft. Sie können somit Ihre Ressourcen gezielt dort investieren, wo sie am dringendsten benötigt werden,
Arrow Right
Relevan-C wurde so konzipiert, dass es on-premise minimal-invasiv installiert werden kann. Diese Auslegung ermöglicht eine kurzfristige Einsatzfähigkeit unserer Lösung und vermeidet hohe Wartungskosten. Zudem behalten Unternehmen die alleinige Kontrolle über ihre Daten,
Arrow Right
Die Prüflogik von Relevan-C basiert auf den Erkenntnissen, die unsere Experten in vielen Jahren bei SAP Penetrationstests gesammelt hat. Daher sind die Empfehlungen zur Risikominimierung entsprechend fundiert. Bei herausfordernden Problemen stehen Ihnen unsere Experten beratend zur Verfügung,
Arrow Right
Die technische Kritikalität eines Risikos wird stets im Kontext aller relevanten Einflussfaktoren und Abhängigkeiten ermittelt. Nur so wird deutlich, ob durch eine Schwachstelle tatsächlich negative Auswirkungen zu erwarten sind.

Betrachtung aller SAP® Komponenten

Die Sicherheit im SAP®-Umfeld ist von vielfältigen Aspekten geprägt. Dazu zählen IAM, Rollen und Berechtigungen (SoD-Richtlinien), Backups, Systemhärtung, Patch-Management und Custom-Code, um nur einige Beispiele zu nennen. Oftmals allozieren Unternehmen ihre Budgets jedoch ausschließlich auf wenige dieser Bereiche, ohne dabei den Gesamtüberblick zu wahren. Hierdurch können potenziell gefährliche Sicherheitslücken entstehen.
In unserer ganzheitlichen Betrachtung (SQ-360) führen wir eine umfassende Analyse der Sicherheit einzelner SAP®-Systeme oder ganzer Landschaften durch. Dabei bieten wir Ihnen einen ganzheitlichen Überblick über sicherheitskritische SAP®-Systeme und Komponenten. Zudem erhalten Sie wertvolles Feedback darüber, ob und welche Risiken bestehen, die bisher durch Ihre Prozesse und Sicherheitsmaßnahmen nicht ausreichend abgedeckt wurden.

Sicherheitsmaßnahmen im SAP®-Umfeld erfordern erhebliche Investitionen. Um das Budget optimal zu nutzen, ist eine umfassende Übersicht darüber erforderlich, welche Systeme als kritisch einzustufen sind und welche Risiken bisher nicht ausreichend abgedeckt wurden. Daher bestimmen wir in einem ersten Schritt die Kritikalität der zu untersuchenden Systeme und Komponenten. Diese Kritikalitätsbewertung gründet maßgeblich auf dem Wert der enthaltenen Geschäftsdaten, der Rolle des Systems für die Kontinuität der Geschäftsabläufe und den regulatorischen Anforderungen.

Im zweiten Schritt der SQ-360 Durchführung überprüfen wir, in welchem Umfang Sicherheitsrisiken im Betrieb von SAP® durch Prozesse und Schutzmaßnahmen abgedeckt sind. Mithilfe unserer Gap-Analyse erhalten Sie rasch einen Überblick darüber, ob Ihr Unternehmen bestimmte Risiken unzureichend adressiert hat.

In der dritten Phase überprüfen wir stichprobenartig, ob in kritischen Systemen oder Komponenten konkrete Sicherheitslücken existieren. Der Fokus liegt dabei auf den Risiken, die in der vorangegangenen Gap-Analyse identifiziert wurden. Als Ergebnis erhalten Sie eine umfassende Übersicht über aktuelle Risiken und Schwachstellen. Durch die Kombination mit der Liste kritischer Systeme haben Sie die Möglichkeit, Ihr Budget gezielt auf die bestehenden Handlungsbedarfe auszurichten.

SQ-CS Analyse

Internetkriminalität verzeichnet ein anhaltendes Wachstum und stellt eine expandierende Industrie dar. Schätzungsweise entstehen der Weltwirtschaft jährlich Verluste in Höhe von etwa 445 Milliarden Dollar. Insbesondere die Wirtschaftsmächte, darunter auch Deutschland, zählen zu den vorrangigen Zielen von Cyber-Angriffen. Die entstehenden Verluste resultieren aus dem Diebstahl von geistigem Eigentum (IP), finanziellen Vermögenswerten und Geschäftsgeheimnissen. Zusätzlich entstehen Opportunitätskosten, zusätzliche Aufwendungen zur Sicherung von Netzwerken sowie Kosten für gehackte Unternehmen, die sich von Cyber-Angriffen und den damit verbundenen Reputationsschäden erholen müssen.

Durch unsere Cyber-Security Analyse (SQ-CSA) haben Unternehmen die Möglichkeit zu überprüfen, ob die bestehenden Cyber-Schutzmaßnahmen ausreichend sind. Unsere Erkenntnisse ermöglichen es, technische und organisatorische Sicherheitslücken zu identifizieren und zu schließen.
Arrow Right
Informationssicherheit ist heutzutage für alle Unternehmen unerlässlich, um Wettbewerbsvorteile, Produktivität und den guten Ruf zu schützen. Angreifer setzen zunehmend raffinierte Schadsoftware ein, um Unternehmen auszuspionieren, zu sabotieren oder zu erpressen. Dabei steht das Risiko für kriminelle Bedrohungsakteure in einem geringen Verhältnis zu den potenziellen Gewinnen,
Arrow Right
Daher empfehlen wir Unternehmen dringend, ihre bestehenden Sicherheitskonzepte und kritischen Systeme in regelmäßigen Abständen von unabhängigen Dritten auf eventuelle Lücken und Schwachstellen überprüfen zu lassen. Unsere Experten führen Überprüfungen zur technischen Sicherheit von exponierten Systemen und Schnittstellen durch, um kritische Schwachstellen zu identifizieren, die potenziell als Einfallstore für Hacker in das Unternehmensnetz dienen könnten,
Arrow Right
Unser Bericht umfasst detaillierte Beschreibungen der identifizierten Schwachstellen sowie Schritte zu deren Nachvollziehbarkeit. Hierbei erfolgt eine Priorisierung nach Risikostufen. Zudem unterbreiten wir konkrete Vorschläge für effektive Maßnahmen zur Behebung der Schwachstellen und, falls erforderlich, Empfehlungen zur Verbesserung von Sicherheitsprozessen.
Selbstverständlich präsentieren und erörtern wir die kritischsten Ergebnisse in einem ausführlichen Abschlussgespräch, um dem Management ein realistisches Bild der aktuellen Lage zu vermitteln. In diesem Gespräch nehmen wir uns die Zeit, die identifizierten Schwachstellen im Detail zu besprechen, potenzielle Auswirkungen zu erläutern und konkrete Maßnahmen zur Verbesserung der Sicherheitslage vorzustellen. Unsere Experten stehen zur Verfügung, um Fragen zu klären und gemeinsam mit dem Management die nächsten Schritte zur Stärkung der Sicherheitsinfrastruktur zu planen. Durch diese kooperative Herangehensweise fördern wir eine umfassende und wirksame Sicherheitsstrategie im Unternehmen.

Sichere SAP® ABAP-Programmierung

Den Einschätzungen verschiedener Experten zufolge befindet sich durchschnittlich etwa ein kritischer Programmierfehler in 1000 Zeilen Quellcode. Jeder solche Fehler kann im produktiven Betrieb erheblichen Schaden verursachen. Sicherheitslücken bei der Verarbeitung personenbezogener Daten sind beispielsweise mit potenziellen Geldstrafen und Image-Schäden verbunden. Daher unterstreicht die Notwendigkeit von sorgfältigen Code-Analysen und Sicherheitsmaßnahmen die Bedeutung der Qualitätssicherung in der Softwareentwicklung.

Unser Training für sichere Programmierung (SQ-SPT) vermittelt Entwicklern nicht nur allgemeine Grundlagen, sondern vor allem praxisbezogenes Wissen für ihre tägliche Arbeit. Die Teilnehmer erlernen, Gefahren in ihren Anwendungen eigenständig zu erkennen und geeignete Schutzmaßnahmen zu treffen. Auf diese Weise werden viele Risiken durch Software von Anfang an vermieden.

Unsere Erfahrung zeigt, dass Entwickler am besten durch praxisnahe Aufgaben lernen, anstatt nur durch Theorie und Präsentationen. Aus diesem Grund sind unsere Trainings individuell auf die Entwicklerteams zugeschnitten und finden im täglichen Arbeitsbetrieb statt. Auf diese Weise haben die Entwickler die Möglichkeit, ihr neues Wissen unmittelbar anzuwenden und erhalten sofortige Unterstützung, wenn sie eine Thematik noch nicht hinreichend verstanden haben.

Für die individuelle Phase des Trainings analysieren wir im Vorfeld die Anwendungen der Entwickler auf Sicherheitsfehler. Anschließend erklären wir den Entwicklern die Kernursachen ihrer Fehler und vermitteln, wie dieses Wissen auch in Zukunft auf ähnliche Fälle angewendet werden kann. In Zusammenarbeit erarbeiten wir Lösungswege für robuste Gegenmaßnahmen und ausreichende Testverfahren.

In unseren Trainings legen wir besonders Wert darauf, die Entwickler nicht zu überfordern. Daher empfehlen wir einen kontinuierlichen Trainingsprozess mit kurzen Sitzungen über mehrere Wochen. Dies ermöglicht eine schrittweise Festigung des komplexen Wissens, und die Entwickler erhalten regelmäßiges Feedback zu den Programmen und Schutzmaßnahmen, an denen sie gerade arbeiten. Ein positiver Nebeneffekt besteht darin, dass das aktuelle Programmierprojekt parallel auditiert wird.

Statische SAP® ABAP Code-Analyse

Die Digitalisierung ist das Schlüsselwort für moderne Geschäftsprozesse. Bedauerlicherweise ist vielen Unternehmen nicht bewusst, dass dabei auch ihre Unternehmenswerte, Kundenkontakte und Alarmanlagen digitalisiert werden. Sie werden zu Datenbanken, Webanwendungen und Firewalls. Materie wird zu Software. Genauer gesagt zu einer umfangreichen Menge an Software. Im Unterschied zur Materie genügt jedoch bereits ein kleiner Denkfehler in der Software, um das gesamte Verteidigungssystem zum Einsturz zu bringen.

Durch unsere statischen Code-Analysen (SQ-CORE) erhalten Unternehmen die Möglichkeit zu überprüfen, ob selbst entwickelte Anwendungen und eigene Softwareprodukte kritische Programmierfehler enthalten. Darüber hinaus erhalten sie Einblicke, wie diese Fehler effizient und nachhaltig behoben werden können.

Unsere Sicherheitsexperten führen seit vielen Jahren erfolgreich Code-Analysen durch und haben maßgeblich an der Forschung und Entwicklung eines Code-Scanners über mehrere Jahre mitgearbeitet. Dadurch verfügen wir nicht nur über fundiertes Wissen über die Eigenheiten verschiedener Programmiersprachen und die typischen Denkfehler von Entwicklern, sondern auch über ein tiefgehendes Verständnis für die Grenzen von Code-Scannern. Wir schätzen die immensen Vorteile des menschlichen Querdenkens und können daher umfassende Einblicke in die Sicherheitsbewertung von Code liefern.

Natürlich ist eine umfassende Analyse großer Code-Mengen für die meisten Unternehmen nicht nur unwirtschaftlich, sondern nimmt auch erheblich viel Zeit in Anspruch. Dennoch sind Code-Analysen besonders bei kritischen Programmen von entscheidender Bedeutung. Dies betrifft beispielsweise Steuerungssysteme von Industrieanlagen, medizinische Geräte, Fahrzeugsteuerungen, Webshops mit hohen Umsätzen sowie Erweiterungen essentieller Bereiche des ERP-Systems. In diesen Fällen stellen Code-Analysen wichtige Stützpfeiler für die Sicherheit der Betreiber sowie deren Kunden und Mitarbeiter dar.

Relevan-C-Software

Relevan-C ist ein zentralisiertes Analyse-System, das umfassende SAP® Bedrohungen identifiziert und gemäß individueller Unternehmenskriterien priorisiert. Darüber hinaus ermöglicht Relevan-C die Durchführung von Compliance-Prüfungen, die speziell auf die Anforderungen Ihres Unternehmens zugeschnitten sind. Eine Sicherheitshistorie bietet fortlaufend Einblicke in die Wirksamkeit implementierter Maßnahmen sowie das Auftreten neuer Risiken.
Arrow Right
Kriminelle Bedrohungsakteure richten ihr Augenmerk oft auf das schwächste Glied in der Verteidigung. Aus diesem Grund untersucht Relevan-C kritische SAP Bedrohungen in den unterschiedlichen Domänen,
Arrow Right
Unsere innovative Analyse-Logik stellt eine einheitliche Risikobewertung bereit, die Schwachstellen auf dem betroffenen System identifiziert. Dies ermöglicht eine konsistente Bewertung und Priorisierung aller Schwachstellen in Ihrer IT-Landschaft. Sie können somit Ihre Ressourcen gezielt dort investieren, wo sie am dringendsten benötigt werden,
Arrow Right
Relevan-C wurde so konzipiert, dass es on-premise minimal-invasiv installiert werden kann. Diese Auslegung ermöglicht eine kurzfristige Einsatzfähigkeit unserer Lösung und vermeidet hohe Wartungskosten. Zudem behalten Unternehmen die alleinige Kontrolle über ihre Daten,
Arrow Right
Die Prüflogik von Relevan-C basiert auf den Erkenntnissen, die unsere Experten in vielen Jahren bei SAP Penetrationstests gesammelt hat. Daher sind die Empfehlungen zur Risikominimierung entsprechend fundiert. Bei herausfordernden Problemen stehen Ihnen unsere Experten beratend zur Verfügung,
Arrow Right
Die technische Kritikalität eines Risikos wird stets im Kontext aller relevanten Einflussfaktoren und Abhängigkeiten ermittelt. Nur so wird deutlich, ob durch eine Schwachstelle tatsächlich negative Auswirkungen zu erwarten sind.
Malware

ABAP Malware als Eintrittspunkt

Malware basierend auf ABAP ist eine reale Gefahr für Unternehmen, die SAP® im Einsatz haben. Durch ABAP lässt sich sowohl die IT als auch die OT kompromittieren

ABAP Malware als Eintrittspunkt

Malware basierend auf ABAP ist eine reale Gefahr für Unternehmen, die SAP® im Einsatz haben. Durch ABAP lässt sich sowohl die IT als auch die OT kompromittieren
Speedometer

Hohes Potenzial

Das Potenzial von ABAP Malware ist endlos. Es werden nicht nur SAP® Systeme infiziert sondern auch die IT und OT kompromittiert.
Retrieve And Rank

Kompetenz um diese Malware zu entfernen

Weltweit gibt es eine Handvoll von Experten, die sich explizit mit ABAP Malware beschäftigen. Wir bündeln diese Experten bei NEXGAP.
Cloud Plattform

Kann sich lateral bewegen

ABAP Malware kann sich zwischen den SAP® Linien, die zwangsläufig miteinander verbunden sind, lateral bewegen.
Speedometer

Hohes Potenzial

Das Potenzial von ABAP Malware ist endlos. Es werden nicht nur SAP® Systeme infiziert sondern auch die IT und OT kompromittiert.
Retrieve And Rank

Kompetenz um diese Malware zu entfernen

Weltweit gibt es eine Handvoll von Experten, die sich explizit mit ABAP Malware beschäftigen. Wir bündeln diese Experten bei NEXGAP.
Cloud Plattform

Kann sich lateral bewegen

ABAP Malware kann sich zwischen den SAP® Linien, die zwangsläufig miteinander verbunden sind, lateral bewegen.
Report herunterladen und SAP® sichern
Report herunterladen und SAP® Infrastrukturen nachhaltig sichern
Arrow Right
+49 (0) 69 469-92-547
Sie erreichen uns während unseren regulären Geschäftszeiten von 09:00 bis 17:00 MEZ
legal@nexgap.com
Für allgemeine Anfragen oder zusätzlichen Informationen über unser Unternehmen
sales@nexgap.com
Wenn Sie Fragen zu unseren Produkten oder unseren Dienstleistungen haben
press@nexgap.com
Für Presseangelegenheiten wenden Sie sich bitte per E-Mail an unser Presseteam
¹
Wir gewähren Ihnen das nicht ausschließliche, nicht übertragbare und begrenzte Recht, die in dieser Website enthaltenen Webseiten als Kunde oder potenzieller Kunde von «NEXGAP» und oder Tochterunternehmen aufzurufen und anzuzeigen, sofern Sie diese Nutzungsbedingungen einhalten und sämtliche Urheberrechts-, Marken- und sonstigen Eigentumsvermerke beibehalten. Weitere Informationen können Sie unseren Nutzungsbedingungen entnehmen.
²
Wir bittet Sie, keine vertraulichen oder urheberrechtlich geschützten Informationen über diese Website an uns zu schicken. Bitte beachten Sie, dass wir jede Information oder jedes Material, das uns auf diesem Wege erreicht, als nicht vertraulich betrachten. Wenn Sie uns Informationen oder Materialien schicken, räumen Sie «NEXGAP» und oder Tochterunternehmen ein unbeschränktes, unwiderrufliches Recht ein, diese zu kopieren, zu reproduzieren, zu veröffentlichen, zu laden, bereitzustellen, weiterzuversenden, zu verteilen, zu veröffentlichen, auszuführen, zu modifizieren, für die Erstellung abgeleiteter Werke zu verwenden und anderweitig unbegrenzt zu nutzen oder zu verarbeiten. Persönliche Daten, die Sie für die Lieferung von Produkten und oder Services bereitstellen, werden in Übereinstimmung mit unseren Datenschutzrichtlinien verarbeitet. Weitere Informationen über die Datenschutzbestimmungen erhalten Sie hier.
NEXGAP © 2024. Alle Rechte vorbehalten.
Funktionsfähig
Incident und Response bei Hackerkontakt
¹
Wir gewähren Ihnen das nicht ausschließliche, nicht übertragbare und begrenzte Recht, die in dieser Website enthaltenen Webseiten als Kunde oder potenzieller Kunde von «NEXGAP» und oder Tochterunternehmen aufzurufen und anzuzeigen, sofern Sie diese Nutzungsbedingungen einhalten und sämtliche Urheberrechts-, Marken- und sonstigen Eigentumsvermerke beibehalten. Weitere Informationen können Sie unseren Nutzungsbedingungen entnehmen.
²
Wir bittet Sie, keine vertraulichen oder urheberrechtlich geschützten Informationen über diese Website an uns zu schicken. Bitte beachten Sie, dass wir jede Information oder jedes Material, das uns auf diesem Wege erreicht, als nicht vertraulich betrachten. Wenn Sie uns Informationen oder Materialien schicken, räumen Sie «NEXGAP» und oder Tochterunternehmen ein unbeschränktes, unwiderrufliches Recht ein, diese zu kopieren, zu reproduzieren, zu veröffentlichen, zu laden, bereitzustellen, weiterzuversenden, zu verteilen, zu veröffentlichen, auszuführen, zu modifizieren, für die Erstellung abgeleiteter Werke zu verwenden und anderweitig unbegrenzt zu nutzen oder zu verarbeiten. Persönliche Daten, die Sie für die Lieferung von Produkten und oder Services bereitstellen, werden in Übereinstimmung mit unseren Datenschutzrichtlinien verarbeitet. Weitere Informationen über die Datenschutzbestimmungen erhalten Sie hier.
NEXGAP © 2024. Alle Rechte vorbehalten.
Wir haben Ihre Beschreibung erhalten und werden uns schnellstmöglich um Ihr anliegen kümmern.
Versuchen Sie es zu einem späteren Zeitpunkt erneut.
«NEXGAP» verwendet Cookies — kleine Textdateien, die Informationen zu Ihrem Besuch aufzeichnen. Sie können unserer Verwendung von Cookies zustimmen, indem Sie auf «Alle akzeptieren» klicken, oder Sie können anpassen, welche Cookies wir verwenden dürfen, indem Sie auf «Einstellungen verwalten» klicken. Sie können Ihre Voreinstellungen jederzeit ändern, indem Sie unten auf einer beliebigen Seite auf «Cookie-Einstellungen» klicken.