Sicherheit von SAP-Systemen ist nicht nur „Einstellungssache“ Gezielte Spionage-Attacken auf SAP verhindern

Autor / Redakteur: Jannis Blume / Stephan Augsten

Ob staatlich oder privatwirtschaftlich veranlasste Cyber-Spionage: Die Angriffe auf westliche Unternehmen haben in den vergangenen Jahren quer durch alle Branchen zugenommen. Insbesondere Systeme für die Netzwerk- und Ressourcenplanung, darunter auch SAP, wollen bereits im Vorfeld umfassend abgesichert sein.

Firma zum Thema

Um die Sicherheit von SAP zu erhöhen, kann man an vielen Reglern drehen.
Um die Sicherheit von SAP zu erhöhen, kann man an vielen Reglern drehen.
(Bild: Virtual Forge)

Sicherheit ist nicht auf die Abwesenheit von Schwachstellen zurückzuführen sondern auf die Fähigkeit, mit selbigen umzugehen. Dies könnte der Leitgedanke einer Präsentation von Kevin Mandia gewesen sein, als er auf der diesjährigen RSA-Konferenz in San Francisco seinen „State of the Hack: One Year after the APT1 Report“ vorstellte.

Mandia ist Senior Vice President und COO von FireEye, einem globalen Anbieter von Lösungen im Bereich der Netzwerksicherheit und Abwehr von Cyber-Attacken. Seine Firma untersuchte im vergangenen Jahr die von der New York Times publik gemachten Vorwürfe der Spionageangriffe gegen US-staatliche Organisationen und Unternehmen seitens chinesischer Regierungsstellen, namentlich das Chinesische Verteidigungsministerium.

Bildergalerie

Die New York Times war selbst – ebenso wie viele weitere US-Unternehmen – zuvor Opfer eines Spähangriffs geworden. Dieser wurde durch eine sogenannte APT-Attacke (Advanced Persistent Threat) eingeleitet, eine besonders fortschrittliche Methode der Internet-Spionage.

Besonders ausgeklügelte Angriffe

APTs sind darauf ausgerichtet, das Opfer – zum Beispiel ein Unternehmen mit führender Technologie – zielgerichtet über einen längeren Zeitraum unentdeckt auszuspionieren. Ziel ist es in der Regel, an möglichst viele Informationen von wettbewerbswirtschaftlichem Nutzen zu gelangen.

Nun ist es kein Geheimnis, dass staatliche Spionageaktivitäten auch immer wieder gegen ausländische Unternehmen durchgeführt werden. Es dürfte nicht verwundern, dass die gewonnenen Informationen mitunter nationalen Unternehmen zugehen, an denen der Staat oft auch selbst beteiligt ist.

So hat auch der Folgereport, den Mandia in seiner Keynote vorgestellt hat, eindrucksvoll gezeigt, dass die Internet-Spionage durch insbesondere russische und chinesische Hacker-Ringe nicht nur zugenommen hat, sondern in ihren Methoden auch immer ausgeklügelter wird.

Scheinangriff ist die beste Verteidigung

Wie können sich Unternehmen vor APT-Attacken schützen? Das Problem ist, dass sich insbesondere westliche Unternehmen kaum wirksam zu schützen wissen, da sie einen ungleichen Kampf führen.

Auf der einen Seite sitzen die Hacker, die mit staatlicher Unterstützung und Infrastruktur strategisch-zielgerichtet angreifen. Auf der anderen Seite die Opfer, die sich dann oft auch nur mit staatlicher Hilfe zur Wehr setzen können, nachdem sie einen Angriff überhaupt erst festgestellt haben – oftmals zu spät.

Anders ausgedrückt: Die einen spielen auf Angriff, die anderen lediglich auf Schadensbegrenzung. Das ist keine Taktik, schon erst recht keine zur Verteidigung von fortschrittlichen Angriffstechniken wie einer APT-Attacke. Der beste Weg, eine wirksame Verteidigung aufzubauen, ist daher selbst anzugreifen – und zwar sich selbst.

Erfolgreicher SAP-Hack in einer halben Stunde

Ein Großteil der unternehmenskritischen Informationen wird in ERP-Systemen wie SAP verwaltet. Daher sind solche Systeme oft das Ziel von Cyber-Attacken. Sie bergen die relevanten Daten über die Organisation, Mitarbeiter, Produkte, Lieferanten, Kunden, Prozesse und Finanzen des Unternehmens.

„Einen wirksamen Schutz vor Spionagetätigkeiten durch fortschrittliche Angriffsmethoden bietet daher nur ein holistischer Ansatz zur Gewährleistung der Sicherheit von SAP-Systemen“, weiß Andreas Wiegenstein von der Firma Virtual Forge zu berichten. Sein Unternehmen befasst sich seit über zehn Jahren mit der Sicherheitsforschung für SAP-Anwendungen und -Systeme.

Viele der durch externe Sicherheitsforscher gemeldeten und behobenen Sicherheitslücken im SAP-Code gehen seitdem auf die Arbeit von Wiegenstein und seine Kollegen zurück. Ein holistischer Ansatz meint dabei, die SAP-Sicherheit landschaftsübergreifend auf den Prüfstand zu stellen und die verschiedenen Anwendungsoberflächen und -arten sowie alle angeschlossenen Systeme an eine SAP-Landschaft zu berücksichtigen.

Tweet von @CodeProfiler zum Penetration Testing für SAP-Systeme.
Tweet von @CodeProfiler zum Penetration Testing für SAP-Systeme.
(Bild: Jannis Blume)
Warum das so wichtig ist, teilte Wiegenstein alias @CodeProfiler in einem kaum einhundert Zeichen umfassenden Kommentar am Rande der diesjährigen TROOPERS-Konferenz auf Twitter mit: Es dauert keine 30 Minuten, bis ein SAP-System durch einen Penetration Test geknackt und die vollständige Kontrolle über das System erlangt wird.

Schwachstellen mit Penetration Testing aufspüren

„Penetration Testing ist wie Hacking, nur mit dem Unterschied, dass der Kunde freiwillig dafür zahlt“, stellt Wiegenstein ironisch fest. Penetrationstester arbeiten wie Hacker: Sie nutzen dieselben Tools und Methoden und erweitern laufend ihr Wissen über aktuelle Angriffsszenarien und Methoden.

Aus diesem Grund sind auch Sicherheitskonferenzen wie die einmal jährlich in Heidelberg stattfindende TROOPERS besonders wichtig. Dort treffen sich SAP-Sicherheitsexperten aus aller Welt, um sich über aktuelle Themen und Entwicklungen auf dem IT-Sicherheitsmarkt auszutauschen.

Bei einem SAP-Penetrationstest wird ein Angriff auf die SAP-Systeme und -Anwendungen des Kunden simuliert. So lassen sich die aktuellen Sicherheitsvorkehrungen überprüfen und potenzielle Sicherheitsanfälligkeiten ermitteln. Ziel ist es, möglichst viele Sicherheitslöcher zu finden, zu bewerten und schließlich Maßnahmen zu empfehlen, wie sie gestopft werden können.

Um einen Penetrationstest kommt man nach Auffassung von Wiegenstein nicht herum: „Automatisierte Schwachstellenerkennungssysteme und -Monitoring-Lösungen können zwar helfen, bekannte ‚Einfallstore‘ im laufenden Betrieb zu überwachen, sie arbeiten aber meistens isoliert und können übergreifende Zusammenhänge nicht so gut erkennen. Erst recht dann nicht, wenn laufend neue Angriffsvektoren bekannt werden, die noch nicht in den Lösungen berücksichtigt sind.“

Ungeachtet dessen benötigten Unternehmen oft eine unabhängige Bewertung der Gesamtsicherheitslage ihrer Systeme und Anwendungen, um ihre Anforderungen und Prioritäten in Bezug auf die Sicherheitsstrategie zu definieren. Spätestens wenn es darum gehe, die Risiken abzuschätzen und entsprechende Maßnahmen in ein effektives Risiko Management einfließen zu lassen.

Sicherheits-Updates zeitnah einspielen

In diesem Zusammenhang ist es auch wichtig, dass die herstellerseitigen Maßnahmen zum Schutz von Systemen und Standardanwendungen beachtet werden. SAP rollt beispielsweise monatlich Sicherheitsaktualisierungen aus, die möglichst zeitnah eingespielt werden sollten. Es empfiehlt sich auch, die Patches mit Blick auf die von SAP und unabhängigen Sicherheitsforschern vorgenommenen Bewertungen zu priorisieren.

Sicherheitslücken im SAP-Standardcode sowie in kundenspezifischen Programmerweiterungen können von Hackern sehr einfach ausgenutzt werden, um sich einen Zutritt zu verschaffen und Daten zu stehlen. Das ist besonders kritisch in der Übergangszeit zwischen der Veröffentlichung einer Schwachstelle seitens SAP und der Beseitigung der Schwachstelle durch den Kunden. In dieser Zeit sind die Systeme und Anwendungen besonders verwundbar.

In Bezug auf kundenspezifische Erweiterungen sollten unbedingt auch die Sicherheitsrichtlinien für SAP-Anwendungen beachtet werden, die der DSAG-Entwicklungsleitfaden (PDF, 1,9 MB) empfiehlt. Wiegenstein, der am Leitfaden mitgeschrieben hat, rät Kunden dazu, die Richtlinien im Rahmen einer übergreifenden Entwicklungsstrategie dauerhaft zu verankern und auch Lieferanten und Auftragsentwickler darauf zu verpflichten.

Der Default ist kein guter Ratgeber

Hingegen keine gute Idee ist es, die herstellerseitigen Standardeinstellungen und -services unbedacht beizubehalten. Aus der Hacker-Perspektive stellen diese günstige Einfallstore dar, die ohne viel Aufwand ausgenutzt werden können, um einen Zugang zu SAP-Systemen und -Anwendungen zu erlangen.

Allein 1.300 sicherheitskritische Einstellungen pro SAP-System zählt Patrick Boch, ein Kollege von Wiegenstein, der für eine sicherheitsbewusste Vornahme dieser Einstellungen wirbt und seinen Kunden dazu rät, nicht benötigte Anwendungen und Dienste zu deaktivieren.

Als prominentes Beispiel verweist Boch auf den sogenannten „Dilbert-Dienst“, den Sicherheitsforscher vor zwei Jahren in produktiven SAP-Anwendungen ausfindig gemacht hatten. Benannt nach der berühmten Comic-Figur handelte es sich um einen inoffiziellen SAP-Testservice, der vom Internet aus ohne weitere Berechtigungsprüfung via XML-Schnittstelle abgefragt werden konnte und als Antwort lustige Dilbert-Anekdoten zurückgab.

„Vereinfacht dargestellt“, führt Boch aus, „konnte durch diese Schwachstelle schadhafter XML-Code ins System eingeschleust und somit unbemerkt ein ‚Tunnel‘ errichtet werden, der es einem Hacker ermöglicht, die weitere Infrastruktur eines SAP-Systems zu kompromittieren.“

Boch beobachtet häufig bei seinen SAP-Kunden eine Art Leichtsinn im Glauben daran, SAP-Systeme könnten alleine durch Firewalls und eine strikte Berechtigungsvergabe ausreichend geschützt werden: „Der Dilbert-Dienst ist keine Ausnahme. Es gibt eine Vielzahl solcher Einstellungen und Dienste, die eine potentielle Angriffsfläche bieten, selbst wenn sie weit hinter einer Firewall betrieben werden.“

Ein „Configuration Drift“ ist nicht zu vermeiden

Erschwerend kommt hinzu, dass Einstellungen laufend geändert werden. Als Folge kann sich ein „Configuration Drift“ einstellen. Als solchen bezeichnet man einen unbeabsichtigten Sicherheitszustand in datenverarbeitenden Umgebungen, der unweigerlich durch eine Vielzahl von Änderungen in der bestehenden IT-Infrastruktur aus Hard- und Software im Laufe der Zeit hervorgerufen wird.

So stellt auch der IT Policy Compliance Blog die Behauptung auf, dass die von der IT-Abteilung getesteten Konfigurationseinstellungen und Berechtigungen in weniger als einer Woche bereits unbrauchbar sind:

„In less than a week, all the configuration controls, permissions and entitlements that IT spends time testing are useless. The sheer fact is that these are quickly changed by normal use, whether the changes are collateral from other changes being made, accidental or intentional“, heißt es dort.

Sicherheit durch konsequente Überwachung der Sicherheitsparamete

Patrick Boch von Virtual Forge stellt deshalb fest, dass es „ohne anständige Dokumentation“ nicht geht. Das Problem ist nur, dass sich eine verhältnismäßig komplexe SAP-System- und Anwendungslandschaft in Bezug auf alle relevanten Sicherheitseinstellungen nicht so einfach überblicken lässt.

Aufgaben und Verantwortung für einzelne Systeme und Anwendungen sind oft auf mehrere Personen verteilt. „Da weiß die rechte Hand häufig nicht was die linke tut.“ Eine gute Möglichkeit, dieses Problem in den Griff zu bekommen, stellen automatisierte Sicherheitslösungen dar.

Sie helfen SAP-Kunden nicht nur dabei, Konfigurationseinstellungen lückenlos und nachvollziehbar zu dokumentieren und zu überwachen, sondern können bei Bedarf auch selbständig Einstellungen vermeiden oder rückgängig machen, die gegen eine spezifische Security Policy verstoßen.

Interessant ist auch ein neuer Ansatz, den einige Anbieter von SAP-Sicherheitslösungen verfolgen: Nämlich ihr Know-how aus den Penetration Tests vermehrt in ihre Produkte einfließen zu lassen und den SAP-Kunden somit auch gleich einen umfangreichen Katalog an empfohlenen Sicherheitsmaßnahmen und -einstellungen an die Hand zu geben.

(ID:42658220)