Sicherheitsprioritäten setzen Business-Kriterien zur SAP-Risikobewertung

Autor / Redakteur: Juan Perez-Etchegoyen* / Stephan Augsten

Die Bewertung von Risiken nach betriebswirtschaftlichen Kriterien stellt bei SAP-Implementierungen eine zentrale Aufgabe dar. Grundvoraussetzung für deren Erfüllung ist das Assessment von Sicherheitslücken sowie das Erkennen und die Abwehr von Gefahren.

Firmen zum Thema

Eine effektive SAP-Sicherheitspolitik muss jedes Risiko mit den betriebswirtschaftlichen Folgen erläutern.
Eine effektive SAP-Sicherheitspolitik muss jedes Risiko mit den betriebswirtschaftlichen Folgen erläutern.
(Bild: Onapsis)

Möglichkeiten für Fehlkonfigurationen gibt es viele. Die komplette Analyse einer gesamten SAP-Plattform über alle Systeme, also auch über Qualitätssicherungs- und Entwicklungssysteme hinweg, liefert nicht selten einen großen Katalog an Fehlkonfigurationen auf dem Transaktionslayer – der einem Betriebssystem ähnlichen Basis von SAP-Systemen, auf der Administratoren Zugriffsrechte und Datenverkehr steuern.

Die Menge an Schwachstellen ist angesichts von rund 1.500 Konfigurationsparametern pro Instanz, von denen etwa 15 Prozent sicherheitsrelevant sind, nicht verwunderlich. Jede Sicherheitslücke generiert aber unterschiedlich hohe betriebswirtschaftliche Risiken.

Risiken inventarisieren

Penetrationstests unserer Experten finden zum Beispiel in Produktionsunternehmen im Schnitt rund 480 verschiedene Lücken: Die Tests decken mehrere unsichere Konfigurationen auf, über die Angreifer die vollständige Kontrolle über einen SAP-Anwendungsserver im Fernzugriff erlangen könnten. Im Ernstfall lassen sich Dokumentationen von Herstellungsprozessen und Unterlagen zum Produktdesign stehlen oder Produktionsabläufe stoppen.

Ein nicht minder dramatisches Bild liefert die Pharmaindustrie: Analysen finden hier im Schnitt 130 Sicherheitslücken, darunter mehrere kritische Risiken, die dem Angreifer die komplette Kontrolle über einen SAP-Anwendungsserver im Fernzugriff ermöglichen. Im Ernstfall können Rezepturen für Arzneien eingesehen und kopiert werden.

Auch der Schutz von Informationen spielt eine bedeutende betriebswirtschaftliche Rolle, die mit den Anforderungen an den Datenschutz noch weiter steigen wird. Zur Insolvenz führten etwa die Angriffe auf USIS: USIS war einer der größten kommerziellen Anbieter von Hintergrundrecherchen für die US-Bundesregierung mit dem Ministerium für Heimatschutz (Department of Homeland Security, DHS) und dem Büro für Personalmanagement (Office of Personnel Management, OPM) als wichtigsten Auftraggebern.

Mutmaßlich chinesische Angreifer hatten sich Zugang zu geheimen, auf unsicher konfigurierten SAP-Systemen gespeicherten Informationen verschafft. Sechs Monate lang blieben die Aktivitäten unentdeckt. Öffentlichen Berichten zufolge wurden Datensätze von mindestens 27.000 Mitarbeitern des DHS und von verdeckten Ermittlern kompromittiert: darunter deren Namen und Adressen, Sozialversicherungsnummern, Ausbildungs- und Führungszeugnisse, Geburts- und Familiendaten sowie Informationen über Verwandte und Freunde.

Prioritäten setzen

Die SAP-Sicherheitspolitik in Unternehmen leidet oft unter einer fehlenden Entscheidungsgrundlage, die Fülle von ermittelten Risiken richtig zu gewichten. Das alleine oft schon deshalb, weil ein Assessment aller Sicherheitslücken nicht gegeben ist. Erfolgt es aber doch, ergeben sich dann oft Folgeprobleme.

Kein Unternehmen kommt angesichts des enormen Ressourcen-Mangels in der SAP-Sicherheit daran vorbei, bei der Organisation der Schutzmaßnahmen Prioritäten zu setzen. Und dafür braucht es Kriterien. Das entscheidende Kriterium ist dabei ein betriebswirtschaftliches: Welche Bedrohung beeinträchtigt am meisten und wie die Geschäftsprozesse eines Unternehmens?

Betriebswirtschaftliche Betrachtung

Bei einer rein technischen Inventarisierung der Sicherheitsrisiken fehlt aber eine aussagekräftige Diskussionsgrundlage für eine betriebswirtschaftliche Priorisierung der Gefahrenabwehr durch die verschiedenen Verantwortlichen, wie CISO, CDO, SAP-Basis-Teams, Netzwerkadministratoren, IT-Sicherheits-Teams oder Fachabteilungen. Die Verantwortlichen benötigen daher eine Übersetzung technischer Lücken in betriebswirtschaftliche Risiken und zugleich Informationen über den zu erwartenden Aufwand, um fokussiert die wichtigsten Lücken zu schließen.

Der Zwang zur Priorisierung ist aber oft auch eine Folge des Ressourcenmangels in Unternehmen. Schon für das Einspielen der aktuellen, von SAP gelieferten Patches verfügen Unternehmen oft über zu wenig Zeit und Personal. Unter Zeitdruck werden vorrangig solche Patches implementiert, die die Funktionalität des Systems verbessern und technische Probleme beseitigen.

Sicherheitsrelevante Aktualisierungen werden aber oft aufgeschoben oder unterlassen. Denn sie verlangen unter Umständen mehr Aufwand durch umfassende Neukonfigurationen, ohne erst einmal einen erkennbaren Nutzen zu schaffen. Aus der Perspektive der Sicherheitspolitik werden hier falsche Prioritäten gesetzt.

Prioritäten wollen aber auch individuell gesetzt werden. Unter Umständen müssen oder können Unternehmen zudem mit manchen Risiken ganz gut leben, sofern die Compliance-Vorgaben unterschiedlicher Branchen berücksichtigt werden. Dieser Mut zur Lücke lässt sich aber nur dann verantworten, wenn sich die Verantwortlichen der Folgen einer Lücke genau bewusst sind.

Übersetzen von Risiken

Eine effektive SAP-Sicherheitspolitik verlangt daher die Korrelation jedes Risikos mit den betriebswirtschaftlichen Folgen. Wie sieht diese Übersetzungsarbeit letztlich aus? Die Illustration im Aufmacherbild zeigt Beispiele für solche Übersetzungsmöglichkeiten bei einem ersten Assessment von SAP-Systemen.

Die Schilderung der Gefahren scheint zwar immer noch recht technisch, aber die Sprache ist doch deutlich. Denn Möglichkeiten zu Spionage, Betrug oder Sabotage durch Angriffe auf die Verfügbarkeit lassen sich so schnell erkennen und einschätzen. Wird mit weiteren Lösungen zu Assessment sowie zur Erkennung und Abwehr von Gefahren ein kontinuierlicher Assessment-Prozess etabliert, können Unternehmen die Sicherheitslage ständig beobachten und verbessern.

Prioritäten im Mitigationsprozess

Die Notwendigkeit zur Priorisierung gilt auch für das Feststellen tatsächlich vorhandener Lücken, das Melden einschlägiger Bedrohungen oder das kontinuierliche Beobachten von verdächtigem Verhalten. Dazu zählen etwa auffällige Zugriffsmuster auf Daten und Anwendungen, die auf böswillige Aktivitäten hindeuten.

Juan Perez-Etchegoyen
Juan Perez-Etchegoyen
(Bild: Onapsis)

Ein Angriff liegt zum Beispiel höchstwahrscheinlich vor, wenn ein Mitarbeiter aus der Research-and-Development-Abteilung plötzlich zu ungewöhnlichen Zeiten oder während seines Urlaubs auf Kundenlisten, Rechnungsdaten oder die Lieferanten-Datenbanken zugreift. Nur ein automatisches und kontinuierliches Assessment-, Detection- und Response-System gewährleistet auch hier eine stets aktuelle Prioritätenliste für die unmittelbare Reaktion oder den Einbau in den Mitigations-Plan – orientiert an den Common Vulnerability Scoring System (CVSS)-Kriterien.

* Juan Perez-Etchegoyen ist CTO bei Onapsis.

(ID:44025960)