SAP Security Fokus Tag der International Association for SAP Partners e.V.
Datum: 16. Sep. 2008, 14:00 - 18:00
Ort: Konferenzraum 3, Partner-Port, Altrottstr. 31, Walldorf
Die frühere SAP Global Security Alliance setzt mit diesem Fokustag ihre Arbeit als neu gegründeter Arbeitskreis in der IA4SP fort, weiterhin von SAP tatkräftig unterstützt.
Wir laden Sie herzlich zu diesem ersten Fokustag ein, der ausschließlich dem Thema SAP Sicherheit gewidmet ist. Wir freuen uns auch über Gäste von SAP Partnerfirmen, die an SAP Security interessiert sind. Der Eintritt ist frei.
Bitte registrieren Sie sich mit einer kurzen Mail an gsa@ia4sp.org. Sie können sich auch im Falle von Fragen an diese Email-Adresse wenden.
Die Vorträge zu folgenden Themen halten internationale Sicherheitsexperten von RSA, SAP, VirtualForge, Corisecio & Workshare (Vortragssprache Englisch):
Managen von Informations-Risiken
Referent: Bret Hartmann, Chief Technology Officer, RSA, The Security Division of EMC
Sicherheitsorganisationen kämpfen oft damit, ihre Aktivitäten an den Geschäftszielen auszurichten. Das Vertrauen auf FUD und gruppeninternes Fachwissen, wo Geld für Sicherheitsmechanismen auszugeben ist, haben zu der Auffassung geführt, dass IT-Sicherheit in hohem Maße uneffektiv sei und in vielen Fällen das Geschäft behindere. Um sachdienlich zu bleiben, müssen sich die Sicherheits-Fachleute weiterentwickeln. Das Management von Informations-Risiken ist dabei eine Strategie, die diese Auffassung ändern kann. Sie enthüllt, wo und warum Investitionen in Sicherheit gemacht werden müssen und gleicht diese mit den geschäftlichen Schlüsselinitiativen der Organisation ab. Während Risikomanagement keinsfalls ein neues Konzept ist, stellt das Management von Informationsrisiken eine gangbare und effektive Strategie dar, denn:
(1) Sie ist Informations-zentriert. Information ist ein kritischer Aktivposten in unserer Wirtschaft. Der Fokus auf Information klärt zuerst und vor allem den geschäftlichen Kontext und deckt auf, wo sie auf ihrem Weg durch die IT-Infrastruktur möglicherweise verwundbar ist.
(2) Sie ist Risiko-basiert. Indem man Risiko als Vergrößerungsglas für den Invest in Sicherheitsentscheidungen benutzt, kann man sicherstellen, daß die bedeutsamsten Herausforderungen zuerst adressiert werden.
(3) Sie ist wiederholbar.
Diese Vorgehensweise hebt die Implementierung von Prozessen und Lösungen hervor, die auf Standards und Best Practices beruhen, für vielfältige Sicherheits- und Compliance-Initiativen wirksam eingesetzt werden können und so Geld, Zeit und Aufwand sparen.
Dieser Vortrag stellt dar, wie Organisationen den Ansatz, ihre Informationsrisiken zu managen, übernehmen können, und beschreibt Ergebnisse aus der realen Welt.
Business Secured by SAP
Referent: Kristian Lehment, Product Manager, SAP AG, SAP NetWeaver Security
Sichere Geschäftsprozesse sind für jeden SAP-Kunden und auch für SAP selbst geschäftskritisch. SAP kombiniert unterschiedliche Technologien, Lösungen und Services, um die drei Säulen der Sicherheit von Informationen zu adressieren: Menschen, Prozesse und Technologien.
Dieser Vortrag gibt einen Überblick und aktuelle Informationen zu diesem Thema.
(Un)Sicherer SAP-Code - eine neue Herausforderung an die Kunden
Referent: Dr. Markus Schumacher, CEO, VirtualForge
SAP ist sicher. Es gibt strenge Sicherheitsmechanismen: Rollenkonzept und Authorisierung, Verschlüsselung, Single-Sign-On, digitale Signaturen usw.
Trotzdem findet gerade ein Paradigmenwechsel statt. Seit SAP seine Technologie mehr und mehr öffnet, beginnen die Kunden, ihre Geschäftsprozesse ebenfalls zu öffnen, um sie an ständig sich ändernde Anforderungen anzupassen: SAP E-Recruitment, Internet Sales Applikationen basierend auf CRM und ESS/MSS-Szenarien sind nur ein paar davon.
In dieser offenen Welt gibt es viele Vorteile aber auch Risiken: Professionele Angreifer sind draußen unterwegs, um wertvolle Geschäftsaktiva zu jagen. Sie suchen nach Schwachpunkten in den Applikationen und nutzen sie aus. Sehr oft weiß es niemand, merkt es niemand und kümmert es niemand.
Dieser Vortrag zeigt die geschäftlichen Auswirkungen solcher Angriffe auf, indem er ein paar Beispiele heraushebt. Wir bestimmen die grundsätzliche Ursache: schlechter Code im Kundenprogramm - häufig von Beratern von Drittfirmen geschrieben, ohne Hintergrundwissen zu Sicherheit und häufig unter hohem Zeitdruck.
Schließlich zeigen wir auf, wie diese Herausforderung gemeistert werden kann. Code-Analysetools und Tests auf unbefugtes Eindringen sind 2 Beispiele, wie sich SAP-Applikationen auf Code-Ebene sichern lassen. Wir schließen, indem wir den Bedarf auf Kundenseite aufzeigen: dem Aufbau von Prozessen für sichere Softwareentwicklung. Auf diese Weise kann eine wichtige Lücke in der SAP Sicherheitslandschaft geschlossen werden.
Data Leakage Prevention (DLP) für SAP
Referent: Dr. Bruno Quint, CEO, Corisecio & Frank Bönung, VP Sales, Workshare
Der interne Verlust sensibler Informationen und Dokumente wächst unglücklicherweise ständig dramatisch an. Die Firmen müssen internen Sicherheitsmaßstäben besondere Aufwerksamkeit widmen, nicht nur wegen gesetzlicher Regelungen sondern auch wegen ihrer Kunden, Partner und Anteilseigner. Die Realität einer Vielzahl an unterschiedlichen Systemen wie SAP-Applikationen, Portale, Office- und Mobil-Anwendungen erfordert flexible und integrierte Lösungen, um Verlust, Diebstahl oder Mißbrauch sensibler Informationen innerhalb und außerhalb der Organisation zu verhindern.
Dieser Vortrag führt Sie in ein neues Konzept einer verfahrensgestüzten SOA-basierten Data Leakage Prevention (DLP) Lösung für SAP ein, die sicherstellt, dass sensible Daten nicht aus der Organisation heraussickern und die leicht - ohne irgendwelche Modifikation - in bestehende und neue Geschäftsprozesse basierend auf SAP und anderen Applikationen integriert werden kann.
Corisecio und Workshare werden auch vorstellen, wie Portale von DLP profitieren und wie Web-Services im NetWeaver durch DLP sicher gemacht werden können.