Eine Kette ist nicht stärker als ihr schwächstes Glied SAP-Sicherheitsrisiken richtig managen

Autor / Redakteur: Heiko Mannherz / Peter Schmitz

SAP ist einer der Marktführer für Informationsmanagement, dessen weltbekannte Produkte über 400 Millionen Menschen weltweit nutzen. Beeindruckende 77 Prozent des weltweiten Transaktionsumsatzes berühren irgendein SAP-System. Allerdings stellen die wachsenden Sicherheitsrisiken bei der SAP-Anbindung viele Unternehmen vor noch nie dagewesene Herausforderungen.

Firma zum Thema

Unternehmenssicherheit ist nur so stark wie ihr schwächstes Glied. Daher müssen nicht nur die CIOs ihre ERP-Insel aufgeben, sondern auch die CISOs.
Unternehmenssicherheit ist nur so stark wie ihr schwächstes Glied. Daher müssen nicht nur die CIOs ihre ERP-Insel aufgeben, sondern auch die CISOs.
(© yingyaipumi - stock.adobe.com)

Selbst nach mehr als 20 Jahren in der SAP-Welt sind die letzten Jahre für mich aufgrund des phänomenalen Anstiegs der dort entdeckten Schwachstellen absolut bemerkenswert. Es ist nur zu leicht, die heutigen Risiken auf eher seltene Vorfälle wie die berüchtigten CVE-2020-6287 zu reduzieren, die im Jahr 2020 von Onapsis Research Labs entdeckt wurde. Besser bekannt als SAP RECON-Schwachstelle (Remotely Exploitable Code On NetWeaver), tauchte diese Schwachstelle als erste mit einem CVSS-Score von 10 auf, aber sie ist ziemlich sicher bei weitem nicht die letzte.

Die CVE-Zahlen haben sich im Jahr 2020 gegenüber dem Vorjahr fast verdoppelt.
Die CVE-Zahlen haben sich im Jahr 2020 gegenüber dem Vorjahr fast verdoppelt.
(Bild: Cvedetails.com)

Die CVE-Zahlen haben sich im Jahr 2020 gegenüber dem Vorjahr fast verdoppelt und sind auf dem besten Weg, diesen Rekordwert im Jahr 2021 wieder zu übertreffen. Ja, es besteht ein erheblicher Unterschied zwischen dem Schweregrad dieser Sicherheitslücken. Sie reichen von einem geringen und akzeptablen Risiko bis hin zu einer massiven Auswirkung, die sensible Unternehmensdaten betreffen kann. Daher ist die Frage nicht mehr so sehr, ob oder wann der nächste RECON passieren wird, sondern was Sie tun können, um die Folgen für Ihr Unternehmen abzumildern oder zu minimieren.

All-in-Ansatz

Unternehmenssicherheit ist nur so stark wie ihr schwächstes Glied. Daher müssen nicht nur die CIOs ihre ERP-Insel aufgeben, sondern auch die CISOs. Die wachsenden Risiken erfordern eine noch stärkere Integration der SAP-Sicherheitmaßnahmen in die unternehmensweite Sicherheitsstrategie.

Unsichere Netzwerkzugänge ermöglichen Verbindungen von nicht vertrauenswürdigen Quellen, die einen unbefugten Zugriff auf wertvolle Daten ermöglichen. Man kann sich nur schwer vorstellen, wie viele NetWeaver-Applikationsserver offensichtlich Netzwerkzugriffe aus dem Internet zulassen. Wäre einer davon ein SAP Solution Manager, könnten sich die potenziellen Risiken ins Undenkbare steigern.

Security-by-default und Hardening von Altsystemen

Glücklicherweise bietet der Übergang zu S/4HANA für SAP-Landschaften auch die Chancen zum Übergang zu Security-by-Default. Für die älteren Systeme, für die Sicherheit leider noch nicht in dem Maße der Standard war, schafft zusätzliche Systemhärtung eine sichere Umgebung. Darüber hinaus kann die Systemhärtung weiter helfen, wenn ein Unternehmen beispielsweise in regulierten Umgebungen wie GxP oder SOX arbeitet. Dort gibt es in der Regel weit mehr als Security-by-Default zu beachten, um die vorgeschriebenen Standards zu erfüllen.

SAP HotNews und SAP Security Notes

Die SAP Security Notes und SAP HotNews sind für SAP-Kunden der Ausgangspunkt für jegliches Schwachstellen- oder Patch-Management. Sie sind auch Teil des SAP Product Security Response Space, in dem SAP seine Antworten auf CVEs vorstellt. Unternehmen müssen sich nicht nur auf die Antworten von SAP verlassen, sondern sollten auch direkt die CVE Details des Herstellers SAP abfragen oder den RSS-Feed-Link nutzen. SAP HotNews enthalten alle SAP-Sicherheitshinweise mit einem CVSS-Score von 9 oder höher.

Der knifflige Teil besteht jedoch darin, zu überprüfen, wo die in den SAP-Hinweisen beschriebenen Korrekturen angewendet werden müssen. Je nach Komplexität der SAP-Landschaft kann das einfach bis schwierig sein.

Regelmäßige Sicherheitsaudits und Change Management

Regelmäßige Sicherheitsaudits sind eine wichtige Säule in jeder Cybersecurity-Strategie eines Unternehmens, um den Status der Sicherheitsmaßnahmen zu verifizieren. Der Ausgangspunkt jeder Sicherheitsstrategie ist die Erkennung und Bewertung von Schwachstellen. Dann wird sichergestellt, dass diese Risiken proaktiv angegangen werden, damit das Unternehmen den potenziellen Auswirkungen immer einen Schritt voraus ist. Darüber hinaus prüft ein Audit den Nachweis, dass die vorgeschriebenen Richtlinien erfolgreich angewendet werden. Und das ist bei SAP-Anwendungen nicht anders.

Zusätzlich ist die Nachverfolgung von Systemänderungen eines der wichtigsten Elemente des Prozesses. Meistens sind menschliche Fehler die Ursache für Sicherheitsvorfälle. Solange wir menschliche Eingriffe bei der Durchführung von Systemänderungen, der Planung, Verfolgung, Genehmigung und Überprüfung der Änderungen nicht auf das notwendige Minimum einschränken, wird es zu Fehlern kommen.

Zuverlässige Wachsamkeit

Ein zuverlässiger und robuster Überwachungsprozess ist das Herzstück einer jeden Sicherheitsstrategie in Unternehmen. Es ist unerlässlich, die potenziellen Risiken und die angewandten Sicherheitsmaßnahmen streng zu überwachen. Allerdings zeichnet sich bei dem Thema Monitoring in den letzten Jahren ein leicht bedenklicher Trend ab, bei dem sich Überwachung in erster Linie auf die Anwendungs-Performance konzentriert.

Wenn es um die Sicherheit geht, ist die Überwachung von Performance nur wenig hilfreich. Kritischen Fragen, wie “sind die Standardpasswörter für die Systembenutzer konfiguriert”, “werden Systemänderungen in produktiven ABAP-Clients verhindert”, “ist das Audit-Log korrekt konfiguriert”, “laufen Zertifikate bald ab” brauchen eine den Sicherheitsanforderungen angepasste Alternative zur Unterstützung des SAP-Betriebs.

Diese Überprüfungen befreien Unternehmen zwar nicht vollständig von den Sicherheitsrisiken, aber sie können dazu beitragen, dass Schwachstellen nicht so einfach ausgenutzt werden und helfen, deren Auswirkungen zu begrenzen.

Und ja, diese Schwachstellen sollten häufiger während der Softwareentwicklung und beim Testen vor der Implementierung entdeckt werden. Aber wann wird eine Schwachstelle eine solche? Schon wenn sie im Code vorhanden ist, oder wird sie erst zum Leben erweckt, wenn die Software in einer bestimmten Umgebung läuft?

Wie auch immer die Antwort lautet: Unternehmen sind einem größeren Risiko ausgesetzt als je zuvor. Und selbst wenn ein Unternehmen einen Fehler in SAP NetWeaver nicht beheben kann, kann es dennoch genug tun, um diese Risiken zu mindern. Und damit zu verhindern, dass SAP-Sicherheitslücken aktiv ausgenutzt werden.

Über den Autor: Heiko Mannherz ist Chief Innovation Officer bei Avantra.

(ID:47711102)