Virtual Forge Security Advisory Service

Der Security Advisory Service von Virtual Forge unterstützt Sie bei der Erstellung und Umsetzung eines SAP® Security Patch Management Lifecycle. Der Service folgt einem mehrstufigen Ansatz, angefangen von einer detaillierten Untersuchung und Priorisierung aller von SAP veröffentlichten Sicherheitshinweise bis hin zu einer vollständigen Analyse, welche Auswirkungen für jedes System innerhalb Ihrer Systemlandschaft zu erwarten sind. Optional implementieren wir die Sicherheitshinweise auf Ihren Systemen.

Viele Kunden können den hohen Aufwand, der für die Installation und den Umgang mit SAP-Sicherheits-Patches erforderlich ist, nicht stemmen: produktive Systeme müssen neu gestartet werden, Anwendungen sind in ihrer Funktionalität betroffen und der manuelle Aufwand für die Implementierung von Sicherheitshinweisen und die Prüfung ihrer funktionalen Auswirkungen wird oft unterschtätzt. Typischerweise ist dies zudem Aufwand, der ungeplant ist; daher ist es wichtig zu verstehen, ob ein Sicherheitspatch auf das System anwendbar ist und wie sich das Geschäftsrisiko, nicht nur nach dem Rating der SAP, sondern vor allem nach den Kundenrichtlinien, darstellt.

Mit dem Security Advisory Service helfen wir Ihnen mit unserem Expertenwissen, einen SAP Security Patch Management Lifecycle zu etablieren. Unsere Security Advisory Services bestehen aus zwei Erweiterungsstufen und bieten optional Implementierungsunterstützung.

Informationsdienst für SAP® Sicherheitshinweise

Diese Ebene enthält eine detaillierte und systemunabhängige Analyse der jeweils veröffentlichten SAP-Sicherheitshinweise. Jeden Monat, sobald neue SAP-Sicherheitshinweise freigegeben werden, wird Virtual Forge den Inhalt überprüfen und so bald wie möglich eine Anleitung geben. Nicht alle Sicherheitshinweise sind ordnungsgemäß klassifiziert und manchmal fehlen weiterführende Informationen. Gegebenenfalls wird Virtual Forge Informationen zu Schwachstellen nach unserem SAP-Sicherheits-Know-how anreichern oder re-klassifizieren, bzw. Hinweise, die nicht offiziell als Sicherheitsnotiz eingestuft sind, aber für die Sicherheit relevant sind, mit in die Analyse einbeziehen.

Kundenbezogene Impact-Analyse für SAP-Sicherheitshinweise

Als weiterer Schritt in der Beratung wird Virtual Forge die SAP-Systemlandschaft gemeinsam mit dem Kunden beurteilen und alle SAP-Systeme nach ihrer Risikostufe auf der Grundlage bestehender Richtlinien, aber auch nach Vertraulichkeit, Integrität und Verfügbarkeit, klassifizieren. Jedes SAP-System wird dann mit einem Sicherheits-Patch-Plan verknüpft. Danach werden die Informationen aus den Sicherheitshinweisen nach Best-Practices-Maßstäben überprüft und umgesetzt. Dies legt den Grundstein für Transparenz auf Ebene der Sicherheits-Patches für die definierte SAP-Landschaft.

Implementierungsunterstützung für SAP Security Notes

Optional kann der Kunde bei der Umsetzung der entsprechenden Sicherheits-Patches Unterstützung anfordern. Wenn die Systeme längere Zeit nicht gepatcht wurden, können zusätzliche Nebenprojekte mit zusätzlichem Aufwand notwendig sein. Ein paar Beispiele für solche Schwachstellen sind: Gateway-Sicherheit, RFC-Callback-Security, usw.