Schwachstellenmanagement

SAP-Sicherheit schützt Geschäftsprozesse

Seite: 2/3

Firmen zum Thema

Probleme der Zuständigkeit, der Ressourcen und der Technik

Diese Gefahren sind alles andere als hypothetisch. Viele der von uns untersuchten individuellen Konfigurationen von SAP-Systemen in den Unternehmen erweisen sich als unsicher, wenn Sicherheitsberater im Auftrag eines Kunden BlackBox-Hacks durchführen, bei denen keinerlei Zugangsdaten oder sonstige Informationen vorliegen. Eine solche Unsicherheit hat mehrere Gründe, vor allem aber den dramatischen Ressourcenmangel auf Seiten der Unternehmen. Oft mangelt es schon an einem Überblick aller Systeme oder dem Wissen, welche Instanzen etwa an das Internet oder an Cloud-Strukturen angebunden sind. Nicht wenige CISOs gestehen unter der Hand, dass sie die Audit-Verpflichtungen kaum erfüllen können.

Auch das oft komplexe Einspielen relevanter Patches unterbleibt, weil die Zeit fehlt. Der Zeitdruck ist enorm: Eigentlich kann es sich kein Verantwortlicher in Unternehmen leisten, auf offizielle Patches von Schwachstellen zu warten. In der Realität kommt er aber gar nicht mit dem Installieren von Patches nach. Daher vergehen zwischen dem Entdecken einer neuen Lücke und dem Einspielen eines Patches nach unseren Erfahrungen im Durchschnitt 18 Monate. Selbst einfache Aktualisierungen gestalten sich in der Praxis komplex. Daraus resultierende Verzögerungen verursachen gefährlich lange Zeitfenster, in denen die SAP-Landschaft angreifbar ist – mit der Folge, dass in der Praxis immer wieder Angriffe auf Sicherheitslücken gelingen, für die eigentlich seit langem Updates bestehen.

Bildergalerie

Unklare Kompetenzen verschärfen zusätzlich die Sicherheitssituation. GRC, SOD und IT-Sicherheit binden viele Akteure in die SAP-Sicherheit ein, die sich die Verantwortung dann aber oft gegenseitig zuschieben. Häufig gibt es nicht einmal regelmäßige Treffen zwischen dem CISO, IT-Administrator und ERP-Fachabteilungen. Ohne eine Assessment-Lösung zur Inventarisierung und Priorisierung bestehender Sicherheitslücken fehlt dafür ohnehin jede Diskussionsgrundlage.

Angriffe auf die deshalb vorhandenen Sicherheitslücken in SAP-Systemen zielen auf den Transaktionslayer von SAP-Systemen ab, der die Kommunikation zwischen einzelnen Instanzen regelt, Nutzerberechtigungen verwaltet und Konfigurationsparameter für die SAP-Server festlegt. Gestohlene oder nicht mehr überwachte Authentifizierungen – wie etwa mit Default-Werten konfigurierte, aus technischen Gründen angelegte Nutzer in Testumgebungen – ermöglichen den ungeschützten Zugang zu Administrationsdiensten. Inhalte, die mangelhaft verschlüsselt werden, lassen sich bei der Übertragung von Instanz zu Instanz abhören. Schnittstellen zur Datenübertragung können übernommen und ferngesteuert bedient werden. Die Verantwortlichen haben diese Gefahren im Einzelnen nicht im Blick.

(ID:43943918)