Zu große Sorglosigkeit

Onapsis warnt vor vermeintlicher SAP-Sicherheit

| Autor / Redakteur: Martin Hensel / Nico Litzel

Gerhard Unger, Vice President EMEA/APAC von Onapsis.
Gerhard Unger, Vice President EMEA/APAC von Onapsis. (Bild: Onapsis)

Sicherheitsexperte Onapsis warnt, dass gefühlte Sicherheit häufig der erste Schritt in die reale Gefahr ist – auch in Sachen SAP-Security. Fünf typische Aussagen belegen eine zu große Sorglosigkeit bei den IT-Security-Verantwortlichen.

Trotz permanenter Anstrengungen seitens SAP sieht Onapsis weiteren Handlungsbedarf. Viele IT-Verantwortliche würden neu entstehende Gefahren übersehen oder den Aufwand unterschätzen, ihre SAP-Landschaften und Geschäftsprozesse abzusichern. Oft fehlen auch die nötigen Ressourcen. Viele Beteiligte wiegen sich daher in vermeintlicher Sicherheit. Onapsis hat nun die fünf häufigsten Mythen und Schutzbehauptungen rund um die Sicherheit von SAP-Umgebungen zusammengetragen:

Mythos 1: „Wir patchen regelmäßig unsere SAP-Systeme“

IT-Abteilungen in Unternehmen sind einen großen Teil ihrer Zeit damit beschäftigt, neue SAP-Patches zu implementieren. Viele kommen dieser Aufgabe kaum nach, weil die Installation sehr vieler Updates mit hohem Aufwand verbunden ist. Die meisten dieser Aktualisierungen sind allerdings nicht sicherheitsrelevant, sondern verbessern die Funktionalität des Systems und beseitigen technische Probleme. Wer sicherheitsrelevante Patches ohne eine vorherige Analyse der bestehenden Infrastruktur und der eigenen Geschäftsabläufe einspielt, schafft oft neue Risiken für den Ablauf der Geschäftsprozesse. Vielen IT-Verantwortlichen ist nicht bewusst, dass zwischen dem Auftreten einer neuen SAP-spezifischen Bedrohung und der Implementierung eines dafür entwickelten Patches im Schnitt rund 18 Monate vergehen – ein enorm langes Zeitfenster, in dem das Unternehmensnetzwerk potenziell gefährdet ist. Das haben Analysen von Onapsis ergeben.

Mythos 2: „Auf unsere SAP-Plattform kann man nur intern zugreifen“

Es gibt kein rein internes Netzwerk mehr. Fast jede IT-Infrastruktur verfügt mittlerweile über Zugänge, über die externe Anwender auf die Plattformen und Geschäftsprozesse zugreifen können. Viele SAP-Systeme sind beispielsweise über Web-Anwendungen, SAP HANA oder SAP Mobile, aber auch über SAP-Umgebungen, die in der Cloud eingerichtet werden, an das Internet angebunden. Dass ein Zugang über eine App auch den Zugang zu allen SAP-Instanzen bedeuten kann, ist vielen Anwendern und IT-Verantwortlichen nicht bewusst. Über gezielte Spear-Phishing-Attacken auf einzelne Mitarbeiter verschaffen sich Hacker die dafür notwendigen Zugangsdaten. Auch Zulieferer haben Zugang auf die SAP-Plattform. Diese können sie missbrauchen oder sie können durch Dritte für Angriffe missbraucht werden. Nicht zu vergessen sind auch die eigenen Mitarbeiter, die mobile Anbindungen etwa für ihre eigenen Zwecke nutzen können. Auch Kundenportale eignen sich als Einfallstor.

Mythos 3: „Unser SAP-Sicherheits-Team kümmert sich um die Gefahren“

Viele Teams fokussieren sich in Sachen Sicherheit vor allem auf den klassischen Segregation-of-Duties-Ansatz. Dieser regelt vermeintlich alle Aspekte der Sicherheit durch die Kontrolle von Nutzerrollen und Autorisierungen. Das ist sinnvoll, sorgt aber nicht für vollständige Sicherheit. Denn viele Angriffe zielen auf den Transaktions-Layer ab und hebeln den SoD-Ansatz aus. Vielen Verantwortlichen in den Fachabteilungen fehlen die Fähigkeiten, Hilfsmittel und Ressourcen, um Sicherheitslücken auf dem Transaktions-Layer zu beheben und Angriffe auf dieser Ebene abzuwehren. Zudem sind die Zuständigkeiten in Sachen SAP-Sicherheit oft schlecht verteilt. Nicht wenige CISOs beauftragen hierfür IT-Sicherheitsadministratoren, die keinen Überblick und Einblick in die SAP-Plattform haben. Bisweilen weisen sich Fachabteilungen, IT-Administratoren und CISOs die Verantwortungen gegenseitig zu. Fortschrittliche Unternehmen haben die Kompetenzen hingegen mittlerweile klar geregelt und technische Ressourcen bereitgestellt, damit jeder seine Aufgaben auch erledigen kann. Hier haben viele Organisationen noch Handlungsbedarf.

Mythos 4: „Das können nur hochkompetente Angreifer“

Diese Aussage greift zu kurz, denn es gibt diese Angreifer durchaus. Die technischen Fähigkeiten unlauterer Wettbewerber, verärgerter Mitarbeiter, Hacktivisten oder fremder Staaten dürfen Unternehmen in ihrer technischen Kompetenz nicht unterschätzen. Und selbst talentierte Skript-Skiddies finden mittlerweile im Internet genug Informationen und Anleitungen für Angriffe auf SAP-Systeme.

Mythos 5: „Wir werden auf SAP HANA migrieren, und damit sind wir sicher“

SAP HANA wird nicht alle Probleme lösen. Je weiter sich die Plattform verbreitert, umso attraktiver wird sie für Angreifer. Der Softwarehersteller ist sich der Problematik bewusst und reagiert. 2014 nahm die Zahl der Sicherheitspatches für SAP HANA gegenüber dem Vorjahr um 450 Prozent zu. 82 Prozent der Patches wurden als „High Priority“ eingeschätzt.

„Die Ergebnisse unserer Penetration-Tests zur Überprüfung der SAP-Sicherheit, die wir im Auftrag unserer Kunden durchführen, sprechen eine deutliche Sprache: Die Mehrzahl der Systeme weist enorme Sicherheitslücken auf“, erklärt Gerhard Unger, Vice President EMEA/APAC von Onapsis. „Auch HANA wird diese Problematik nicht lösen. Das kann man auch von keiner Plattform verlangen. Wichtig ist neben der umfassenden Unterstützung durch den Software-Hersteller und klassischen Sicherheitsansätzen wie SOD und GRC vor allem die grundlegende Überprüfung der Risiken auf der Transaktionsebene – sei es SAP Netweaver oder SAP HANA. Lösungen, die automatisch und schnell SAP-Instanzen auf ihre Schwachstellen überprüfen, in Echtzeit Angriffe entdecken und automatisch IT-Abteilungen zu Abwehrmaßnahmen anhalten sowie auffälliges Anwenderverhalten überwachen, bleiben weiter unentbehrlich“, ergänzt er.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43591876 / Datenbanken)