Schwachstellenmanagement SAP-Sicherheit schützt Geschäftsprozesse

Autor / Redakteur: Mariano Nunez* / Peter Schmitz

SAP-Anwendungen regeln alle relevanten Geschäftsprozesse und ermöglichen den Zugriff auf geschäftskritische Daten. Eine umso größere Rolle spielt daher deren Absicherung. Denn Angriffe auf unsicher konfigurierte und implementierte SAP-Strukturen wirken sich unmittelbar auf unternehmenskritische Geschäftsprozesse aus. Abhilfe bieten lediglich Lösungen, die Sicherheitslücken auf dem Transaktionslayer analysieren sowie mögliche interne wie externe Attacken in Echtzeit anzeigen.

Firmen zum Thema

Nicht immer stecken komplexe Advanced Persistent Threats hinter einem erfolgreichen Angriff auf ein SAP-System. Angreifer haben verschiedene Möglichkeiten um die klassischen Sicherheitsansätze der SAP-Welt, wie GRC oder Segregation of Duties (SoD) zu umgehen.
Nicht immer stecken komplexe Advanced Persistent Threats hinter einem erfolgreichen Angriff auf ein SAP-System. Angreifer haben verschiedene Möglichkeiten um die klassischen Sicherheitsansätze der SAP-Welt, wie GRC oder Segregation of Duties (SoD) zu umgehen.
(Bild: ribkhan - Fotolia.com)

Böswilligen Angreifern stehen umfangreiche Möglichkeiten zur Verfügung, mit denen sie klassische Sicherheitsansätze der SAP-Welt wie GRC oder Segregation of Duties (SoD) umgehen können. Wer mit einem erweiterten, neu angelegten oder gestohlenen User-Profil monatlich kleinere unauffällige Geldbeträge abzweigen will, kann sich selbst als einen fiktiven neuen Zulieferer anlegen, Rechnungen schreiben und den Betrag überweisen.

Solche Angriffe sind einfacher als man denkt. Nicht immer stecken komplexe Advanced Persistent Threats hinter einem erschlichenen Root-Zugang, der ohne Autorisierungsdaten auskommt. Auch weniger kompetente Täter können viele Angriffe durchführen. Zu einem solchen Betrug sind sowohl kompetente Hacker, aber auch Skript-Kiddies oder auch interne Mitarbeiter in der Lage.

Bildergalerie

Bedeutend sind neben dem Betrug auch die Gefahren durch Industriespionage. Schätzungen beziffern den weltweiten Schaden durch Unternehmensspionage auf rund 445 Milliarden US Dollar – nicht wenige Experten bewerten die Industriespionage als eine der größten gegenwärtig vorgehenden Verschiebungen von Vermögenswerten. Laut einer Studie (pdf) von Corporate Trust belief sich 2014 der jährliche finanzielle Schaden durch Industriespionage in Deutschland auf 11,8 Milliarden Euro. 77,5 Prozent der betroffenen Unternehmen hatten durch die Spionageangriffe einen finanziellen Schaden zu verzeichnen.

Bei einem Großteil der Firmen lag der Schaden zwischen 10.000 und 100.000 Euro. Immerhin 4,5 Prozent der Unternehmen hatten dabei sogar einen Schaden über 1 Million Euro zu beklagen - ganz zu schweigen von immateriellen Schäden wie Patentrechtsverletzungen (bei 54,3 Prozent der befragten Unternehmen) und Imageschäden, die 26,8 Prozent der befragten Unternehmen erwähnten. Die meisten der Angriffe starteten der Studie zufolge in Asien (38,8 Prozent), den Staaten der ehemaligen Sowjetunion (32,6 Prozent) und Osteuropa (31,7 Prozent).

Nicht nur Unternehmen müssen sich einer solchen Bedrohung stellen: Auch Regierungen, öffentliche Behörden, Organisationen, die für die nationale Sicherheit entscheidend sind, sowie Betreiber kritischer Infrastrukturen etwa in der Stromversorgung sind potentielle Opfer von zwischenstaatlicher Spionage. Die Sicherheitsüberprüfungen, die unsere Experten bei den G2000-Unternehmen durchführen dürften, zeigen immer wieder Unternehmensspionage als Hauptrisiko auf.

Als Ultima Ratio können Cyberhacker per Shut Down ein ganzes SAP-System abschalten oder damit drohen. Von diesem Schritt hält viele potenzielle Täter wohl nur die Überlegung ab, dass sie von einem aktiven System mehr haben als von einem abgeschalteten.

Probleme der Zuständigkeit, der Ressourcen und der Technik

Diese Gefahren sind alles andere als hypothetisch. Viele der von uns untersuchten individuellen Konfigurationen von SAP-Systemen in den Unternehmen erweisen sich als unsicher, wenn Sicherheitsberater im Auftrag eines Kunden BlackBox-Hacks durchführen, bei denen keinerlei Zugangsdaten oder sonstige Informationen vorliegen. Eine solche Unsicherheit hat mehrere Gründe, vor allem aber den dramatischen Ressourcenmangel auf Seiten der Unternehmen. Oft mangelt es schon an einem Überblick aller Systeme oder dem Wissen, welche Instanzen etwa an das Internet oder an Cloud-Strukturen angebunden sind. Nicht wenige CISOs gestehen unter der Hand, dass sie die Audit-Verpflichtungen kaum erfüllen können.

Auch das oft komplexe Einspielen relevanter Patches unterbleibt, weil die Zeit fehlt. Der Zeitdruck ist enorm: Eigentlich kann es sich kein Verantwortlicher in Unternehmen leisten, auf offizielle Patches von Schwachstellen zu warten. In der Realität kommt er aber gar nicht mit dem Installieren von Patches nach. Daher vergehen zwischen dem Entdecken einer neuen Lücke und dem Einspielen eines Patches nach unseren Erfahrungen im Durchschnitt 18 Monate. Selbst einfache Aktualisierungen gestalten sich in der Praxis komplex. Daraus resultierende Verzögerungen verursachen gefährlich lange Zeitfenster, in denen die SAP-Landschaft angreifbar ist – mit der Folge, dass in der Praxis immer wieder Angriffe auf Sicherheitslücken gelingen, für die eigentlich seit langem Updates bestehen.

Unklare Kompetenzen verschärfen zusätzlich die Sicherheitssituation. GRC, SOD und IT-Sicherheit binden viele Akteure in die SAP-Sicherheit ein, die sich die Verantwortung dann aber oft gegenseitig zuschieben. Häufig gibt es nicht einmal regelmäßige Treffen zwischen dem CISO, IT-Administrator und ERP-Fachabteilungen. Ohne eine Assessment-Lösung zur Inventarisierung und Priorisierung bestehender Sicherheitslücken fehlt dafür ohnehin jede Diskussionsgrundlage.

Angriffe auf die deshalb vorhandenen Sicherheitslücken in SAP-Systemen zielen auf den Transaktionslayer von SAP-Systemen ab, der die Kommunikation zwischen einzelnen Instanzen regelt, Nutzerberechtigungen verwaltet und Konfigurationsparameter für die SAP-Server festlegt. Gestohlene oder nicht mehr überwachte Authentifizierungen – wie etwa mit Default-Werten konfigurierte, aus technischen Gründen angelegte Nutzer in Testumgebungen – ermöglichen den ungeschützten Zugang zu Administrationsdiensten. Inhalte, die mangelhaft verschlüsselt werden, lassen sich bei der Übertragung von Instanz zu Instanz abhören. Schnittstellen zur Datenübertragung können übernommen und ferngesteuert bedient werden. Die Verantwortlichen haben diese Gefahren im Einzelnen nicht im Blick.

Aktionsplan für eine neue SAP-Sicherheitspolitik

Abhilfe tut not. Ein Aktionsplan zur SAP-Sicherheit setzt als ersten Schritt ein umfassendes, automatisches und regelmäßiges Assessment der gesamten SAP-Infrastruktur und aller Transaktions-Plattformen voraus. Dazu gehört auch die Untersuchung bereits existierender Plattformen wie NetWeaver, Business Objects und aller R/3-Lösungen, aber auch und insbesondere SAP HANA, das neue Sicherheitsherausforderungen auf die Agenda setzt. Alle Module eines SAP-Systems, jeder SAP-Client und jeder App-Server sollten regelmäßig, zumindest aber nach jedem SAP Security Patch Day untersucht werden. Das gilt auch für Entwicklungs-, Test- und Qualitätssicherungs-Umgebungen, da über das Pivoting viele Angreifer diese oft schlecht gesicherten Umgebungen als Eingangstore für den Angriff auf produktive Systeme nutzen.

Im nächsten Schritt interpretieren CISO, IT-Admin und Fachabteilung die Ergebnisse des Schwachstellen-Assessments. Wichtig für eine individuelle Bewertung der Gefahren ist die Korrelation der Risiken mit den möglichen Auswirkungen auf Geschäftsprozesse und Anwendungen. Darauf aufbauend werden die zu ergreifenden Abwehrmaßnahmen priorisiert. Bei einem kontinuierlichen Durchlaufen dieses Prozesses ergibt sich eine Verbesserung der Sicherheitslage durch die ständige Überprüfung des Sicherheitsstatus über den gesamten Lebenszyklus einer SAP-Infrastruktur hinweg. Ein wichtiger Zusatzeffekt ist außerdem, dass die Verantwortlichen gleichzeitig ihre Pflichten zu Audits und zum Belegen der Compliance-Anstrengungen erfüllen, indem Delta-Berichte die Schließung von Lücken dokumentieren.

Gefahren in Fast-Echtzeit erkennen

Die Inventur der Sicherheitslage und deren Interpretation kann auch die schnelle Abwehr von Bedrohungen beschleunigen. Die kontinuierliche Überprüfung der Sicherheitslage verzeichnet neu entstehende Lücken und fordert zu deren Schließung auf. So verzeichnet sie auch verdächtige Konfigurationsänderungen, wie etwa das Einrichten neuer Anwender mit kritischen Berechtigungen, verdächtige Log-Aktivitäten oder auch Aktivitäten von Dritten und Vertragspartnern, die in eine SAP-Struktur eingebunden sind.

Darüber hinaus spielt die Beobachtung auffälliger Aktivitäten innerhalb der SAP-Landschaft, die auf böswillige Aktivitäten von externen oder internen Angreifern hindeuten, eine wichtige Rolle. Wenn ein Mitarbeiter aus der Research-and-Development-Abteilung plötzlich zu ungewöhnlichen Zeiten oder während seines Urlaubs auf Kundenlisten, Rechnungsdaten oder Lieferanten-Datenbanken zugreift, deutet das auf kriminelle Aktivitäten durch den Mitarbeiter oder durch Externe hin, die die Berechtigungen des Mitarbeiters unter ihre Kontrolle gebracht haben.

Wirksame SAP-Sicherheit kann in Fast-Echtzeit durchgesetzt werden. Patches, Segregation of Duties und GRC-Regeln erhalten hier die entscheidende Ergänzung für eine praktikable und effektive Sicherung von SAP-Landschaften. Das gilt auch für die SAP-HANA-Landschaften der Zukunft.

* Mariano Nunez ist CEO und Mitbegründer von Onapsis und ist für die strategische Ausrichtung des Unternehmens verantwortlich.

(ID:43943918)