Sicherheit von SAP-Systemen ist nicht nur „Einstellungssache“

Gezielte Spionage-Attacken auf SAP verhindern

Seite: 3/5

Firma zum Thema

Schwachstellen mit Penetration Testing aufspüren

„Penetration Testing ist wie Hacking, nur mit dem Unterschied, dass der Kunde freiwillig dafür zahlt“, stellt Wiegenstein ironisch fest. Penetrationstester arbeiten wie Hacker: Sie nutzen dieselben Tools und Methoden und erweitern laufend ihr Wissen über aktuelle Angriffsszenarien und Methoden.

Aus diesem Grund sind auch Sicherheitskonferenzen wie die einmal jährlich in Heidelberg stattfindende TROOPERS besonders wichtig. Dort treffen sich SAP-Sicherheitsexperten aus aller Welt, um sich über aktuelle Themen und Entwicklungen auf dem IT-Sicherheitsmarkt auszutauschen.

Bildergalerie

Bei einem SAP-Penetrationstest wird ein Angriff auf die SAP-Systeme und -Anwendungen des Kunden simuliert. So lassen sich die aktuellen Sicherheitsvorkehrungen überprüfen und potenzielle Sicherheitsanfälligkeiten ermitteln. Ziel ist es, möglichst viele Sicherheitslöcher zu finden, zu bewerten und schließlich Maßnahmen zu empfehlen, wie sie gestopft werden können.

Um einen Penetrationstest kommt man nach Auffassung von Wiegenstein nicht herum: „Automatisierte Schwachstellenerkennungssysteme und -Monitoring-Lösungen können zwar helfen, bekannte ‚Einfallstore‘ im laufenden Betrieb zu überwachen, sie arbeiten aber meistens isoliert und können übergreifende Zusammenhänge nicht so gut erkennen. Erst recht dann nicht, wenn laufend neue Angriffsvektoren bekannt werden, die noch nicht in den Lösungen berücksichtigt sind.“

Ungeachtet dessen benötigten Unternehmen oft eine unabhängige Bewertung der Gesamtsicherheitslage ihrer Systeme und Anwendungen, um ihre Anforderungen und Prioritäten in Bezug auf die Sicherheitsstrategie zu definieren. Spätestens wenn es darum gehe, die Risiken abzuschätzen und entsprechende Maßnahmen in ein effektives Risiko Management einfließen zu lassen.

Sicherheits-Updates zeitnah einspielen

In diesem Zusammenhang ist es auch wichtig, dass die herstellerseitigen Maßnahmen zum Schutz von Systemen und Standardanwendungen beachtet werden. SAP rollt beispielsweise monatlich Sicherheitsaktualisierungen aus, die möglichst zeitnah eingespielt werden sollten. Es empfiehlt sich auch, die Patches mit Blick auf die von SAP und unabhängigen Sicherheitsforschern vorgenommenen Bewertungen zu priorisieren.

Sicherheitslücken im SAP-Standardcode sowie in kundenspezifischen Programmerweiterungen können von Hackern sehr einfach ausgenutzt werden, um sich einen Zutritt zu verschaffen und Daten zu stehlen. Das ist besonders kritisch in der Übergangszeit zwischen der Veröffentlichung einer Schwachstelle seitens SAP und der Beseitigung der Schwachstelle durch den Kunden. In dieser Zeit sind die Systeme und Anwendungen besonders verwundbar.

In Bezug auf kundenspezifische Erweiterungen sollten unbedingt auch die Sicherheitsrichtlinien für SAP-Anwendungen beachtet werden, die der DSAG-Entwicklungsleitfaden (PDF, 1,9 MB) empfiehlt. Wiegenstein, der am Leitfaden mitgeschrieben hat, rät Kunden dazu, die Richtlinien im Rahmen einer übergreifenden Entwicklungsstrategie dauerhaft zu verankern und auch Lieferanten und Auftragsentwickler darauf zu verpflichten.

(ID:42658220)