Grundlagen der SAP-Sicherheit

25.01.2018

Schon lange vor dem Zeitalter von IoT und Smart Phones wurden durch SAP Geschäftsprozesse wie Buchhaltung, Controlling, Vertrieb, Einkauf, Produktion, Lagerhaltung oder Personalwesen virtualisiert.

Heutzutage umfassen ERP-Systeme von Unternehmen zwischen 1.000 und 30.000 (menschliche) Nutzern und haben Zugang zu den dazugehörigen Ebenen wie Betriebssysteme, Application-Server, Datenbanken und Geschäftsprozesse.

 

Trotz der umfassenden Integration hakt es beim Thema IT-Sicherheit und es gibt bereits seit Jahren Kritik aus unterschiedlichsten Richtungen. SAP lebt von seiner Integrationsfähigkeit mit vielen Schnittstellen zu anderen Systemen, die dazu führen, dass es zahlreiche Schwachstellen und Schwachpunkte in den Installationen gibt. In der Regel werden diese Systeme nur durch unzureichende Sicherheitswerkzeuge geschützt.

SAP-Sicherheitssysteme beschränken sich auf das Monitoring und Scannen von Einstellungen wie Profilbarometer, spezielle Datenbanktabelleneinträge oder Identitätsmanagement, rollenbasierte Rechtevergabe und Zugriffskontrolle. Genau das macht sie angreifbar, denn der Fokus liegt im Bereich IT-Sicherheit auf Authentifizierung und Autorisierung. Die SAP- Landschaft, einzelne Subsysteme oder das angeschlossene Unternehmensnetzwerk sind häufig unzureichend gesichert. Langjähriges Wachstum der Systeme und Entwicklungen wie Cloud, Web-Applikationen oder mobile Geräte bieten ein weites Feld für Konfigurationsfehler und Schwachstellen.

 

Für IT-Verantwortliche ist das Risiko zur Gewohnheit geworden. Oftmals ist die Wartung und die Implementierung der von SAP derart aufwendig, dass Sicherheit hinten angestellt wird. Zwar gibt es SAP-Tools zur Absicherung, diese arbeiten in der Regel jedoch nur auf Abruf oder in festgesetzten Intervallen. Eine Analyse und Reaktion ist nicht möglich, trotzdem ist der Wartungsaufwand hoch.

Durch die veränderte Gefahrenlandschaft kann dies fatale Folgen haben: Angreifer  finden auf dem Transaktionslayer zahlreiche Möglichkeiten für Attacken und können dabei die gleichen Mechanismen einsetzen, die man aus der normalen IT- Welt kennt. Beliebtes Mittel sind beispielsweise der Missbrauch von privilegierten Accounts, um mit erhöhter Sicherheitsfrei- gabe eigentlich separierte Zugriffsrechte nutzen zu können.

Netzwerke und SAP-Systeme sind heutzutage zu komplex, um Protokolldateien manuell zu analysieren. Besonders bei SAP lassen sich kritische Änderungen und Anomalien nicht einfach so erkennen. Cyber- kriminelle sind sich dieser Gefahr bewusst und durch die weite Verbreitung von SAP sind Schwachstellen weitläufig bekannt.

 

Richtige Schutzmechanismen für SAP

 

SAP-ist einerseits eine komplexe Infrastruktur, ist aber gleichzeitig nicht autark. Daher müssen alle Schwachstellen in SAP und allen angeschlossenen Komponenten identifiziert und reportet werden. Durch den einseitigen Fokus ist die SAP-Sicherheitspolitik in der Regel nur unzureichend.

 

Trotzdem speichern Unternehmen häufig kritische Informationen in SAP-Systemen, daher sind diese beliebtes Ziel von Sabotage-, Betrugs und Spionageversuchen. Zu den allgemeinen Bedrohungen zählen beispielsweise anfälliger Code, fehlende Sicherheitspatches, nicht-kontrollierte Fernzugänge (RFC, SOAP) oder nicht-autorisierte Profiländerungen.

 

Der Aufbau solcher Systeme macht eine Integration von entsprechenden Sicherheitsmechanismen schwierig und kostspielig. Daher sollten IT-Verantwortliche eine Lösung Out-of-the-Box implementieren, um Sicherheit und Compliance ihrer Systeme zu gewährleisten. Entsprechen-

de Security Information and Event Management (SIEM) -Lösungen eignen sich besonders gut, da sie neben vollständige Erkennung von Anomalien und kritische Änderungen von Masterdaten auch Korrelationen bezüglich Geschäftsverstößen erkennen. Zudem sind sie leicht zu verwalten und erlauben granulare Anpassung an unterschiedliche Szenarien.

Neben klassischen Informationen aus der Netzwerkebene und Sicherheitslösungen wie Firewalls und Virenscanner werden auch Logs aus Datenbanken und Identity-Management-Systemen analysiert. SAP-Systeme wären für SIEM eine weite Informationsquelle, die durch Cross-Device und Cross Event-Korrelation eine präzise Auswertung durchführen – um Angriffe und fehlerhafte Konfigurationen umgehend zu erkennen.

 

Fazit

 

Die IT-Welt ist im ständigen Wandel, da neue Technologien den Markt immer wieder grundlegend verändern. Besonders aber beim Thema Sicherheit gelten immer die gleichen Prinzipien: IT-Verantwortliche brauchen ausreichend Visibilität über alle Systeme und Netzwerkssegmente, um das aktuelle Risiko einer Attacke einschätzen zu können. Im Falle eines Angriffs oder eines Breaches sollte diese umgehend erkannt und mitigiert werden. Mit der digitalen Evolution verändert sich auch die Gefahrenlandschaft. Nicht immer halten einzelne Sicherheitstools mit der Entwicklung Schritt. SAP ist ein Beispiel für ein unzureichend geschütztes System, dass z. B. durch Cloud-Migration noch risikobehafteter wird. Daher sollten IT-Sicherheitsbeauftragte reagieren. Die Analyse von SAP erlaubt eine geringere Anzahl und ein geringeres Risiko-Niveau bezüglich Auditor- Ergebnissen. Durch die Zusammenfassung von SAP-Tools kann ein ganzheitlicher Ansatz umgesetzt werden. Das bedeutet, dass ein Einsatz von SIEM nicht nur das Schutzniveau erhöht, sondern zudem auch interne Prozesse harmonisiert. 

 

Dieser Beitrag wurde vom Pascal Cronauer, Country Manager DACH für die Ausgabe Branchenbuch IT-Sicherheit 2018 geschrieben.