Tobias Harmes
31. Juli 2024

Isolationsprobleme | Perspektive SAP IT – Juli 2024

Die IT-Aufräumarbeiten durch ein verkorkstes Update für eine Client Security Software dauern weltweit noch an. Die Auswirkungen auf den Alltag hat auch IT-Experten überrascht. Weniger Aufmerksamkeit hat dagegen der Einbruch in SAP AI Core erzeugt.

…zum Anschauen

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

…zum Lesen

Keine Gefahr für Faxbenutzer

Die Nachrichten über plötzliche weltweite IT-Ausfälle durch einen „Blue Screen of Death“ lösten im Juli bei mir Gänsehaut aus – und das bei 31 Grad Außentemperatur. Verursacht durch die Kombination von abgesagten Operationen, gestopptem Flugverkehr und ein bisschen apokalyptischer Fantasie.

Mein erster Gedanke war amoklaufende Malware und staatlich geführter Terrorismus. Dass die Ursache ausgerechnet in einem defekten Update für eine Sicherheitssoftware vom Cybersecurity-Spezialisten Crowdstrike lag, dürfte dieser Tage sicherlich das eine oder andere hämische Grinsen erzeugt haben bei allen Fax- und Rohrpost-Benutzern.

Mit Linux wäre das nicht passiert (vermutlich)

Doch es ist eine gute Erinnerung und Übung, wie krass abhängig wir von einer gut funktionierenden IT-Infrastruktur sind. Und wie sorgfältig vorgegangen werden muss, wenn man den Unterbau in diesem Bereich ändert und mit Updates versorgt. Wenn Sie ein wenig tiefer einsteigen wollen: Das Problem mit dem Blue Screen durch einen defekten Systemtreiber hätte mit dem bei Linux bereits eingesetzten Konzept eBPF (ein Eigenname, keine Abkürzung) verhindert werden können. Das kapselt Gerätetreiber und verhindert den Absturz, wenn der Treiber auf einen Fehler läuft. Ich empfehle dazu diesen Blogbeitrag von Intel-Mitarbeiter Brendan Gregg.

Angriff auf SAP AI Core

Auch in der SAP-Welt kommen ständig Bedrohungen dazu. Cybersecurity-Forscher von Wiz (dem Unternehmen, das Google unlängst für Milliarden kaufen wollte) haben es Anfang des Jahres geschafft, in SAP AI Core einzubrechen. Das Sicherheitsunternehmen entdeckte, dass sie durch die Ausführung legitimer KI-Trainingsverfahren und beliebigen Programmcodes umfassenden Zugriff auf die privaten Daten und Anmeldeinformationen von Kunden in verschiedenen Cloud-Diensten wie AWS, Azure und SAP HANA Cloud erlangen konnten.

Dazu gehörte das Lesen und Verändern von Docker-Images und Artefakten sowie Administratorrechte auf dem Kubernetes-Cluster von SAP. Der erfolgreiche Ausbruch aus der KI-Umgebung hätte es böswilligen Angreifern ermöglicht, auf Kundenumgebungen und zugehörige Dienste zuzugreifen und diese zu infizieren. SAP hat die im Januar gemeldete Schwachstelle dann im Mai behoben. Ein Security-Hinweis bei SAP auf „SAPwned“ habe ich nicht gefunden, nur die Erwähnung von Wiz.io in den Security-Credits von SAP vom Juli 2024.

Lokal ist schwerer

Wer jetzt bei der möglichen Kompromittierung von Kundendaten in der SAP Cloud in das „Wären-wir -mal-lokal -geblieben“-Horn stößt, der möge wieder auf das IT-Desaster durch Crowdstrike blicken. Denn was in der Presse-Berichterstattung nicht vorkommt, ist der eigentliche Grund für den Einsatz der Crowdstrike-Scanner. Es sind die ständigen Cyberangriff-Abwehrkämpfe, die lokal geführt (und auch finanziert) werden müssen. Eine ausreichende Isolierung von selbstgehosteten KI-Modellen für SAP und andere Datenquellen dürften da zusätzliche Maßnahmen erfordern, die über das Budget und die Möglichkeiten einer IT in einem mittelständischen Unternehmen weit hinaus gehen.

Trotzdem erzeugt es bei mir ein Stirnrunzeln, warum ich von diesem Security Breach von den Sicherheitsforschern erfahre und nicht von SAP. In Walldorf sollte doch klar sein, dass das zarte Vertrauen in die SAP Cloud- und AI-Fähigkeiten durch so etwas leicht verspielt wird.

Herzliche Grüße
Tobias Harmes

Zuletzt auf Instagram

 

Sieh dir diesen Beitrag auf Instagram an

 

Ein Beitrag geteilt von RZ10.de (@rz10_de)

Events & Webinare

17.09.2024 | SAP-Expertenforum Frankfurt: Countdown E-Rechnung in Deutschland – Fit werden für 2025

Rechtzeitig zum 01.01.2025 bereit für die E-Rechnung – leichter gesagt als getan. Bei unserem Expertenforum dreht sich alles um die Fragen: Wie genau ist die aktuelle Rechtslage zur E-Rechnungs-Pflicht? Und wie gelingt die Einführung des gewählten E-Rechnungs-Tools in SAP? Tauschen Sie sich vor Ort mit Experten und anderen Teilnehmenden bei gutem Essen in ungezwungener Atmosphäre aus und profitieren Sie von Best Practices.
Mehr Informationen und Anmeldungen

10.10.2024 | IBS Security Convention 2024

Unser Partner IBS Schreiber lädt zur IBS Security Convention vom 10 bis 11. Oktober 2024 in Hamburg ein. Verschiedene Experten halten spannende Vorträge rund um SAP, Compliance, Cloud Security und Datenschutz.
Mehr Informationen und Anmeldung

15.10.2024 | Day-1-Afterparty: DSAG-Jahreskongress Leipzig

Lassen Sie uns den ersten Abend des DSAG-Jahreskongresses, der vom 15. bis 17.10.2024 in Leipzig stattfindet, bei dem einen oder anderen guten Drink, leckerem Essen und in entspannter Atmosphäre ausklingen. Die Veranstaltung ist für Sie kostenlos. Wir freuen uns auf Sie!
Mehr Informationen und Anmeldung

Unsere Webinare im August & September

  • Am 13.08.2024: SAP Integration: Grundlagen & Best Practices für eine nahtlose Systemlandschaft
    Zur Anmeldung
  • Am 14.08.2024: E-Invoicing mit SAP sicher umsetzen
    Zur Anmeldung
  • Am 20.08.2024: SAP Build mit KI: Fachbereichsanforderungen meistern
    Zur Anmeldung
  • Am 22.08.2024: S/4HANA Embedded Analytics und SAP Analytics Cloud im Vergleich
    Zur Anmeldung
  • Am 28.08.2024: Ihr SAP-System im Sicherheitscheck: Von Security Audits bis Pentests
    Zur Anmeldung
  • Am 19.09.2024: Systeme zur Angriffserkennung: Was Prüfer fordern und was Sinn ergibt
    Zur Anmeldung

Selected Content

Case Study: Redesign des SAP-Berechtigungskonzepts vor dem Start von S/4HANA
Das SAP Berechtigungsredesign bei der Nassauischen Heimstätte | Wohnstadt zeigt, wie die Modernisierung eines historisch gewachsenen Berechtigungskonzepts vor der Migration zu S/4HANA durchgeführt wurde. Erfahren Sie, wie durch eine effiziente und nachhaltige Rollenzuweisung die Anzahl der Berechtigungen reduziert und die Verwaltung optimiert werden konnte, um eine reibungslose Umstellung zu gewährleisten.
Case Study lesen

SAP IdM abgelöst – Microsoft Entra ID als würdiger Nachfolger?
Auf den DSAG-Technologietagen Anfang Februar 2024 in Hamburg empfahlen Jürgen Müller, CTO bei SAP, und Sebastian Westphal Microsoft Entra als strategischen Nachfolger von SAP Identity Management (IdM). Diese Empfehlung ist mehr als nur eine Absichtserklärung, denn Microsoft und SAP arbeiten bereits an konkreten Arbeitspaketen, um Unterschiede auszugleichen und APIs anzupassen.
Artikel lesen

Neue KI-Möglichkeiten bei SAP Datasphere
Nutzer von SAP Datasphere können mithilfe von Künstlicher Intelligenz (KI) ein tieferes Verständnis aus Daten gewinnen und das Unternehmenswachstum steigern. Denn die neuen, KI-getrieben Entwicklungen der Software ermöglichen den Nutzern spannende Möglichkeiten. Entdecken Sie in diesem Beitrag, welche Neuerungen SAP Datasphere enthält, welche Branchen davon profitieren und welche Chancen und Herausforderungen daraus resultieren.
Artikel lesen

Schulungsangebote

Crashkurs Einführung in ABAP Core Data Services (Online-Classroom)
Der nächste Termin für diesen Kurs ist am 29.08.2024
Mehr Informationen und Anmeldung

Crashkurs S/4HANA und Fiori Berechtigungen (Online-Classroom)
Der nächste Termin für diesen Kurs ist am 05.09.2024
Mehr Informationen und Anmeldung

Crashkurs SAP Cloud Security und BTP Benutzerverwaltung (Online-Classroom)
Der nächste Termin für diesen Kurs ist am 18.09.2024
Mehr Informationen und Anmeldung

Crashkurs SAP HCM Berechtigungen (Online-Classroom)
Der nächste Termin für diesen Kurs ist am 06.11.2024
Mehr Informationen und Anmeldung

Best-of der neuen Inhalte | Juli 2024

SAP Basis & Security

SAP Trust CenterSAP Trust Center
Das SAP Trust Center ist eine zentrale Informationsplattform von SAP, die umfassende Einblicke in Sicherheitsmaßnahmen, Datenschutzrichtlinien, Compliance-Standards und die Verfügbarkeit von Cloud-Diensten bietet. Es unterstützt Unternehmen und Organisationen, die SAP-Dienste nutzen oder dies in Betracht ziehen, durch transparente und aktuelle Informationen.
Artikel lesen

Überblick: Einsatzbereiche von SAP Security Tools
Der Markt für SAP Security Tools ist äußerst unübersichtlich und bietet eine Vielzahl von Lösungen, die es Unternehmen nicht einfach machen, das passende Tool zu finden. Angesichts der zunehmenden Bedeutung von Datensicherheit und der wachsenden Anzahl an Bedrohungen ist der Einsatz von SAP Security Tools jedoch empfehlenswert.
Artikel lesen

SAP Formulare & Archivierung

Nachrichtenarten in der Nachrichtensteuerung
Im MM- und SD-Bereich spielt die Nachrichtensteuerung eine zentrale Rolle. Sie legt fest, welche Formulare und Nachrichten wann und wie erzeugt und an wen sie gesendet werden. Dieser Beitrag zeigt die vielfältigen Möglichkeiten der Nachrichtensteuerung in Bezug auf Nachrichtenarten und weist auf wichtige Besonderheiten hin. Ergänzt werden die klassischen Methoden durch die neuen Optionen der Ausgabesteuerung mit BRF+ (Business Rule Framework plus).
Artikel lesen

Datenarchivierung
Wer Daten in erheblichem Maße generiert, sammelt und speichert, ist mit seiner Organisation heute in der einen oder anderen Form auch von dem Thema Datenarchivierung betroffen. Erkenntnisse lassen sich nur dann aus den Daten ziehen und Anfragen der Behörden und Regulierungsstellen beantworten, wenn ein dauerhafter Zugang zu den Daten besteht.
Artikel lesen

Enterprise Mobility und Apps

Fiori Launchpad TCode
Die Arbeit mit SAP-Systemen kann sehr anspruchsvoll sein, weil so viele Funktionen und Transaktionen zur Verfügung stehen. Deutlich schneller und unkomplizierter geht es mit den TCodes, weil hier die Navigation durch Menüs entfällt. Und das funktioniert auch in Kombination mit der Benutzeroberfläche SAP Fiori Launchpad.
Artikel lesen

S/4HANA und SAP Entwicklung

Die Bedeutung der SAP CVI im Rahmen der S/4HANA-Geschäftspartnermigration
Die Geschäftspartnermigration auf SAP S/4HANA stellt Unternehmen vor zahlreiche Herausforderungen, insbesondere in Bezug auf die Datenintegration und -bereinigung. Ein kritischer Aspekt dieses Übergangs ist die Integration von Kunden- und Lieferantendaten in das neue SAP-Geschäftspartner-System mit Hilfe der SAP CVI (Customer Vendor Integration).
Artikel lesen

Keine Angst vor undurchsichtigen SAP-Lizenzen bei der SAP-Salesforce-Integration
Eine Integration von SAP und Salesforce lohnt sich: Mitarbeiter müssen Daten nicht manuell übertragen, wodurch Sie diese entlasten und dabei noch Zeit einsparen. Jedoch haben viele Unternehmen Sorge vor undurchsichtigen SAP-Lizenzen, die unerwartet auf sie zukommen können und somit mehr Kosten verursachen als gedacht.
Artikel lesen

SAP Analytics und Business Intelligence

Business Intelligence
Unser E-Book “Business Intelligence” bietet Ihnen einen umfassenden Überblick über die neuesten Trends und Technologien im BI-Bereich. Erfahren Sie, wie Sie mit Continuous Intelligence und Edge Analytics Ihre Entscheidungen in Echtzeit verbessern.
Download ansehen

MicroStrategy
Unternehmen haben heute ein großes Interesse daran, ihre datengetriebenen Entscheidungsprozesse zu verbessern. MicroStrategy ist ein Tool für die Business Intelligence, das dabei helfen soll. Die Skalierbarkeit und eine hohe Leistung stehen hier im Vordergrund. Lesen sie jetzt alles Wichtige zu MicroStrategy in unserem Knowhow.
Artikel lesen

ETL-Prozess
Für Unternehmen stellt die Datenintegration gerade im Zusammenhang mit Big Data heutzutage eine Herausforderung dar. Ein ETL Prozess unterteilt den Vorgang in mehrere Einzelschritte und spielt gerade für BI-Anwendungen eine große Rolle. Lesen Sie jetzt alles Wichtige zum ETL-Prozess nach.
Artikel lesen

Das war unser Best-of SAP IT vom Juli. Schön, dass Sie es bis hierhin geschafft haben. Oder scrollen Sie erst mal unverbindlich? Nicht schlimm. Wenn Sie mögen, gibt es mein monatliches Editorial auch bequem per Mail: Best-of SAP IT abonnieren

Tobias Harmes

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin SAP Basis & Security Experte, Speaker und Herausgeber von RZ10.de. Ich helfe anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!



Das könnte Sie auch interessieren

Die Serie „The Gentlemen“ blickt mit englischem Humor hinter die Fassade von scheinbar immer höflichen Menschen mit Macht. Doch man benötigt nicht unbedingt ein Netflix-Abo, um Fälle zu erleben, in […]

weiterlesen

Anwender dürfen sich über mehr Komfort beim Copy&Paste freuen. Die großen KI-Sprachmodelle müssen dagegen sehr wählerisch beim Kopieren sein. Es droht Gedächtnisverlust, wenn nicht beim Original gelernt wird. Und ein […]

weiterlesen

Im Juni fand die SAP Hausmesse Sapphire 2024 in Orlando und Barcelona statt. Das Line-Up war bestimmt durch KI, viele neue Partnerschaften und Produktfunktionen wurden angekündigt. Um gleich die Erwartungshaltung […]

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Kontaktieren Sie uns!
Sophie Weber
Sophie Weber Kundenservice