Interview zu SAP-Sicherheit

SAP HANA von Grund auf sicher konfigurieren

| Redakteur: Stephan Augsten

Auf die Default-Konfigurationen in SAP-Umgebungen sollte man sich besser nicht verlassen, meint Mariano Nunez.
Auf die Default-Konfigurationen in SAP-Umgebungen sollte man sich besser nicht verlassen, meint Mariano Nunez. (Bild: Archiv)

SAP-Landschaften können mitunter sehr komplex werden und beinhalten besonders sensible Daten. Insbesondere SAP-HANA-Implementierungen sind durch ihre Schnittstellen einem besonderen Risiko ausgesetzt. Mariano Nunez, CEO und Mitbegründer von Onapsis, hat sich gegenüber Security-Insider geäußert.

Security-Insider: SAP-HANA-Sicherheit hört sich nach dem x-ten Schlachtfeld der IT-Sicherheit an. Was unterscheidet dieses Schlachtfeld aber von anderen?

Mariano Nunez: Natürlich ist die Bedrohung von SAP-HANA-Strukturen einerseits die Fortführung von IT-Angriffen in anderen Bereichen. Aus anderen Bereichen bekannte Hacker-Mechanismen werden nun auch auf unsicher konfigurierte, individuelle SAP HANA-Implementierungen angewendet. Interne oder externe Angreifer suchen in HANA-Plattformen nach dem entscheidenden Firmenkapital Wissen oder versuchen, Geschäftsprozesse in ihrem Sinne zu manipulieren.

Andererseits erreicht die Bedrohung eine neue Qualität. Angriffe auf SAP HANA-Implementierungen sind brisant, weil diese Technologie sich mehr oder weniger schnell als Plattform für Geschäftsanwendungen und für die Verwaltung von Daten durchsetzen wird. Jede IT-Struktur wird mit zunehmender Verbreitung attraktiver und lukrativer.

Die Angriffe werden zudem tiefgreifender: Die SAP-HANA-Transaktionsschicht bindet Datenbanken und Anwendungen unmittelbar aneinander an und verbindet einen größeren Kreis von Usern mobil, über das Web oder über die Cloud. Eine solche Vernetzung erhöht die Angriffsfläche exponentiell, Anwendungen und Daten werden unmittelbar in Mitleidenschaft gezogen.

Unsere Experten stuften unlängst zum ersten Mal Lücken als „critical risks“ ein, weil sie die vollständige Kontrolle über verwundbare Systeme zulassen. Einige Lücken ermöglichen den vollständigen Zugang und die Kontrolle über alle Unternehmensdaten und Prozesse, andere ermöglichen die Löschung und Beschädigung von Dateien. Letzteres führt dazu, dass Systeme nicht mehr zur Verfügung stehen.

Mit der zunehmenden Komplexität von SAP-HANA-Landschaften steigt auch das Anforderungsprofil an die IT-Verantwortlichen und damit das Risiko. Auf der anderen Seite stellen wir fest, dass Angriffe einfacher werden: Professionelle Grundkenntnisse in Netzwerktechnologie und IT-Sicherheit genügen. Man muss kein SAP-Spezialist mehr sein – der Script-Kiddie-Status genügt.

Security-Insider: Wie sehen diese Angriffe nun aus?

Nunez: Die Grundelemente der Angriffe auf die individuellen SAP-HANA-Implementierungen sind nicht neu. Auch hier stehen die Änderung von Sicherheitskonfigurationen, die Erschleichung von Berechtigungen, das Ausnutzen von Default-Accounts oder die Kontrolle über die Kommunikation zwischen den einzelnen Schnittstellen – idealerweise per Fernzugriff – auf der Agenda. Unternehmenswissen lassen sich ebenso einfach auslesen, wie sich Informationen löschen lassen.

Doch es gibt auch einen quantitativen Sprung. Viele der neuen Bedrohungen stehen in Verbindung mit den TrexNet-Schnittstellen im Kern der HANA-Software. Diese Schnittstellen steuern die Kommunikation zwischen Servern in Hochverfügbarkeits-Umgebungen und gewährleisten die Funktionsfähigkeit großvolumiger Geschäftsabläufe. Auch wird es schwieriger, Lücken wieder zu schließen, weil aufwändige Änderungen von Systemkonfigurationen notwendig werden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43820559 / Datenbanken)