BLASTRADIUS ist kein Produkt und keine Beratungsanzeige. Es ist ein Notizbuch zu SAP Security, öffentlich gemacht. Was hier steht, kommt aus der täglichen Arbeit an echten Landschaften, nicht aus Hochglanzfolien.
$ whoami
sap-security-architect
$ id
focus=(ETD, HANA, GRC, IdM, BTP)
landscape=(on-prem, S/4HANA, BTP)
stance=defense
$ cat /etc/motto
Patch schließt die Tür. Monitoring sieht, wer trotzdem klopft.
Worum es hier geht
SAP-Sicherheit wird oft entweder als reine Compliance-Pflichtübung behandelt oder in Marketing ertränkt. Beides hilft niemandem, der morgens vor einem Alert steht und entscheiden muss, ob es ernst ist.
Die Frage ist auch, was ist eigentlich SAP-Security? Die meisten denken sofort an SAP-Berechtigungen, aber dieser Teil ist nur ein Puzzlestück einer gesamten Betrachtung der SAP-Security. Es gibt Gateway-Server, Profilparameter und viele weitere, teils sehr komplexe Einstellungen. Hier kommen teilweise auch SAP-Basis Administratoren an die Grenzen des Wissens (wer stellt schon täglich exotische Parameter ein, mal konkret: rfc/allowoldticket4tt
Diese Seite versucht hier zu unterstützen: konkrete, nachprüfbare Notizen zu Threat Detection, HANA-Härtung, Sichere Konfiguration, GRC, Identitäten und BTP-Architektur. Defensiv gedacht, ehrlich und ohne Anbieter-Sprech. Aus der Praxis für die Praxis, hätte ich mir vor einigen Jahren sehr gewünscht. Wenn etwas in der Praxis nervt oder nicht hält, was die Doku verspricht, steht das hier auch.
Wer dahinter steckt
Hinter BLASTRADIUS steht ein SAP Security Architect, der zu lange in Audit-Logs, ETD-Patterns und SAP Security verbracht hat, um sie für sich zu behalten. Schwerpunkt ist die unbequeme Schnittstelle zwischen SAP-Basis, Security und Audit, also genau der Bereich, in dem die meisten Lücken entstehen, weil sich niemand zuständig fühlt.
Kein akademisches Whitepaper-Geschäft. Eher: was funktioniert, was scheitert, und warum.
Kleingedrucktes
Die Inhalte hier sind persönliche Einschätzung, nicht die Position eines Arbeitgebers. Alles defensiv ausgerichtet: Erkennung, Härtung, Einordnung. Keine Exploits, keine Anleitungen für die andere Seite.
Fehler gefunden? Widerspruch? Beides ist willkommen. Sicherheit lebt von Leuten, die nachhaken.