Anfang dieser Woche verbrachte ich einen Tag mit einem Kunden eines unserer Technologiepartner auf der EPI-USE Laboratorien Veranstaltung der Benutzergruppe in Sydney. Teil des Tages war ein Vortrag von David Powell, General Manager, IT Security Strategy bei der National Australia Bank (NAB), über die Bedeutung der IT-Sicherheit sowohl auf individueller als auch auf Unternehmensebene.

Die Präsentation war sowohl faszinierend als auch augenöffnend, um es vorsichtig auszudrücken.

David erzählte uns zum Beispiel, dass trotz aller Aufklärungsbemühungen 4.000 NAB-Kunden jeden Monat ihre Finanzdaten durch Phishing-E-Mails preisgeben. Bei etwa 1 von 3.500 E-Mails handelt es sich um Malware-Träger, so dass es von Zeit zu Zeit unvermeidlich ist, dass Malware persönliche Informationen direkt vor unseren Augen stiehlt.

David erwähnte, dass die Malware so ausgefeilt ist, dass die IT-Sicherheit der Banken ebenso ausgefeilt werden musste. Es wurde eine Software entwickelt, die den Unterschied zwischen einer echten menschlichen Mausbewegung und einer von einer Software erzeugten Mausbewegung erkennt. Dadurch wird die Übernahme der Malware durch den Kunden erkannt, bevor er sie selbst bemerkt.

Ein weiteres Sicherheitsrisiko besteht darin, dass man auf eine "angebliche" Bank-Website geleitet wird. David erwähnte, dass die NAB jeden Monat über 100 gefälschte Websites identifiziert und abschaltet. Erst heute Morgen habe ich eine SMS erhalten, in der ich aufgefordert wurde, über eine fragwürdige URL auf die Website meiner eigenen Bank zu gehen, um "meine Daten zu aktualisieren".

Auf der Unternehmensseite, und hier beginnen die Dinge haarig zu werden. In nur 12 Monaten sind die Cyberangriffe auf die IT-Infrastruktur der NAB von 7 Millionen auf 12 Millionen pro Monat gestiegen. Etwa 1500 dieser Angriffe gelangen auf die nächste Ebene. David wies schnell darauf hin, dass diejenigen, die durchkommen, sehr schnell identifiziert und behandelt werden.

Und das ist noch nicht alles: Mit Millionen von vernetzten Geräten, die mit dem IoT online gehen, entstehen täglich neue Quellen und Einfallstore für Cyberangriffe. David zitierte einen kürzlich erfolgten DNS-Angriff, der von einer Klimaanlage in Bulgarien ausging!

Davids Präsentation bildete einen gelungenen Abschluss des Tages.

Aber was hat das mit der SAP-Änderungskontrolle zu tun?

Eigentlich eine ganze Menge. Ist zum Beispiel die Prüfung von Schwachstellen im Code Teil Ihres Änderungskontrollverfahrens?

Ob manuell oder automatisiert, die Prüfung von Sicherheitslücken im Code kann als Teil Ihres SAP-Änderungskontrollprozesses durchgesetzt werden. So können Sie sicher sein, dass die Infrastruktur Ihres Unternehmens weniger leicht Opfer externer Betrügereien werden kann.

Durch eine Integration von Code-Scan-Software wie Virtual Forge CodeProfiler und der Automatisierungsplattform für die Änderungskontrolle von Rev-Trac kann neuer ABAP-Code automatisch geprüft und als "sicher" zur Abzeichnung freigegeben werden, bevor der neue Code zur Weiterleitung an QAS oder PRD freigegeben wird. Dieser Schritt kann für bestimmte Entwicklungstypen erzwungen werden, um den Teams zu versichern, dass solche Prüfungen für alle neuen Codes durchgeführt wurden.

Also zwei Dinge. Erstens: Berücksichtigen Sie die Notwendigkeit einer Code-Schwachstellenprüfung als Teil Ihres Code-Entwicklungsprozesses. Zweitens: Automatisieren und erzwingen Sie die Prüfungen durch eine Kombination aus Codeprüfsoftware und Rev-Trac-Software zur Automatisierung der Änderungskontrolle.

Ist die regelmäßige Überprüfung der Schwachstellen im Code Teil Ihres Änderungskontrollverfahrens? Ist dies ein Diskussionsthema? Ich würde gerne Ihre Meinung dazu hören.