SAP Seiten
Wenn man gerade erst mit dem Thema SAP Security anfängt ist es nicht immer einfach gleich die richtigen Seiten zur Hand zu haben. Nachfolgend findet ihr ein paar wichtige Einstiegsseiten der SAP.
SAP Customer Influencer
SAP bietet Kunden die Möglichkeit ihre Ideen und Verbesserungsvorschläge einzubringen. Hierzu könnt ihr euch einfach über das Customer Influencer Programm einbringen. Am besten den Link noch in eurem Netzwerk teilen, je mehr Kunden dafür stimmen umso eher wird es seitens SAP aufgegriffen.
SAP Security Optimization Services Portfolio
Eine der zentralen SAP Security Einstiegseiten ist mit Sicherheit https://support.sap.com/sos. Hier findet ihr neben der SAP Secure Operations Map und dem SAP Security Baseline Template jede Menge nützliche Informationen rund um das Thema SAP Security.
SAP Trust Center
Wer sich mit dem Thema SAP Cloud Security beschäftigen muss kommt um das SAP Trust Center und das My SAP Trust Center nicht drum herum. Für zweiteres müsst ihr euch einfach anmelden. Hier findet ihr alles Relevante rund um das Thema Compliance und Zertifikate.
SAP Security Produkte und NIST Framework Core
Wer sich schon mal gefragt hat, wie die SAP Security Produkte mit dem NIST Framework Core zusammen passen wird hier fündig SAP solutions for cybersecurity and data protection.
Cloud Discovery Center
Im Cloud Discovery Center findet ihr alles rund um die Business Technology Plattform Services. Angefangen mit jede Menge Informationen, Links und Lernmaterial bis hin zu Lernmissionen.
SAP Development Tools
Auf der Website SAP Development Tools findet ihr alles mögliche zum downloaden und auch ausprobieren und testen.
SAP Whitepapers
Wer auf der Suche nach Security Whitepapers ist findet diese unter folgendem Quicklink https://support.sap.com/en/security-whitepapers.htm
SAP Ports
Wenn ihr euch schon mal gefragt habt welche Ports denn seitens SAP alles verwendet wird dann findet ihr vermutlich eine passende Antwort im SAP Port Viewer
SAP API Business Hub
Alles rund um APIs findet ihr im SAP API Business Hub.
Datenschutz
Seit der Datenschutzgrundverordnung hat das Thema Datenschutz fahrt aufgenommen. Grund hierfür sind vermutlich die hohen Strafen und die Präsenz in den Medien. Natürlich hat das Ganze auch Auswirkungen auf SAP und die Arbeit wird in diesem Bereich nicht so schnell ausgehen. Wer sich einen Überblick über das Thema verschaffen will, dem kann ich folgende Seiten empfehlen.
EU Law
Auf der Website der EUR-Lex findet ihr unter folgendem Link die Datenschutzgrundverordnung in den verschiedensten Sprachen zum downloaden und direkten vergleichen https://eur-lex.europa.eu/eli/reg/2016/679/oj
Übersicht über GDPR Strafen
Die Website GDPR Enforcement Tracker gibt eine schöne Übersicht über verhängte Strafen.
Weltweite Datenschutzregulierungen
Auf DataGuidance.com findet ihr eine Übersicht über die verschiedenen Datenschutzregulierungen auf der gesamten Weltkugel.
Whitepaper: „DSGVO: Prüfübersicht für SAP-Systeme
Als kleine Hilfestellung für Datenschutz und SAP findet mit dem Whitepaper: „DSGVO: Prüfübersicht für SAP-Systeme“ der Allianz für Cybersicherheit eine gute Starthilfe.
Lernstoff
Auch wenn man schon lange in der IT Branche tätig ist, kann man nicht alles wissen und so kommt man nicht drum herum sich steig weiterzubilden. Nachfolgend findet ihr ein paar Quellen die ich mir immer wieder mal zu Nutze mache.
Open SAP
Auf open.sap.com findet ihr jede Menge kostenlose Online Kurse. Ein Blick auf die Lernplattform zahlt sich aus. Je nach Kurs müsst ihr aber einige Stunden einplanen.
Open HPI
Auch ein Blick auf open.hpi.de zahlt sich aus, hier findet ihr jede Menge Lernmaterial. Gleich wie bei Open SAP müsst ihr einige Stunden für die Kurse einplanen.
The Morpheus Tutorials
Sehr hilfreich ist immer wieder der Youtube Kanal The Morpheus Tutorials von Cedric Mössner. Hier findet ihr über 2000 Videos zu den verschiedensten Themen. Sei es Grundlagen in der Informatik, Programmieren, Hacken oder auch Kryptographie. Hier ist für jeden etwas mit dabei.
Reports
Nicht wegzudenken sind Studien oder Berichte. Mit deren Hilfe kann man sich schnell mal einen Blick über Trends oder die aktuelle Lage verschaffen. Macht euch am besten selbst ein Bild davon und entscheidet was nützlich ist oder nicht.
Onapsis
Die Firma Onapsis veröffentlicht in ihrem Ressourcenzentrum immer wieder interessante Studien und Reports. Mit ihrem Forschungslabor tragen sie auch nicht unwesentlich bei der Schwachstellenfindung bei.
Hackerone
Auf hackerone.com findet ihr jede Menge Infos zum Thema Hacking und passende Reports dazu. Hier ist bestimmt für jeden etwas dabei.
Österreichisches Bundeskriminalamt
Das österreichische Bundeskriminalamt veröffentlicht jährlich einen Cybercrime Report – Lagebericht über die Entwicklung von Cybercrime
Deutsches Bundeskriminalamt
Auch das deutsche BKA veröffentlicht jährlich einen Bericht zur Lage der Nation: BKA Cybercrime Report
Empfehlungen, Standards und Frameworks
Was würde man ohne Empfehlungen, Standards oder Frameworks machen? Deshalb habe ich nachfolgend ein paar hilfreiche Links dazu zusammengefasst.
National Institute of Standards and Technology
Das National Institute of Standards and Technology (NIST) stellt mit dem Cybersecurity Framework oder den Computer Security Resource Center eine wichtige Informationsquelle bereit
MITRE ATT&CK
MITRE stellt mit ATT&CK eine Wissensdatenbank für Taktiken und Techniken bereit um Angriffe und Risiken besser einschätzen zu können. Interessant ist aber auch das Common Weakness Scoring System welches sich mit der Priorisierung und Einteilung von Schwachstellen beschäftigt.
The VERIS Framework
Ein hilfreiches Framework um Security Events und Incidents einzuteilen.
ISO/IEC-27000
Die Normfamilie 27000 ist eine Reihe von Standards für die Informationssicherheit. Leider sind die Normen nur käuflich zu erwerben. Einen guten Überblick bekommt man über die Website https://www.iso27001security.com/.
CVSS
Das Common Vulnerability Scoring System (CVSS) wurde ursprünglich vom US Ministerium für innere Sicherheit in Auftrag gegeben und ist mittlerweile eine wichtiger Industriestandard zur Beurteilung des Schweregrades einer Schwachstelle. Die Einträge können zum Beispiel über die National Vulnerability Database abgerufen werden.
BSI C5 Kriterienkatalog
Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) spezifiziert Mindestanforderungen an sicheres Cloud Computing. Ein Blick darauf zahlt sich in jedem Fall mal aus.
OWASP
Das Open Web Application Security Project (OWASP) bietet jede Menge hilfreiche Information rund um die Softwareentwicklung.
Anderes
CIS Center for Internet Security
Nicht ganz SAP Security aber vielleicht kommt auch hierzu mal ein Benchmark oder CIS Controls. CIS Center for Internet Security (cisecurity.org)