Suchen

Insbesondere SAP braucht Schutzschilde, Integritäts-Monitoring und Scanning Zertifizierte Sicherheit für SAP-Systeme

Autor / Redakteur: Susanne Franke / Ulrike Ostler

SAP-Umgebungen sind bei Weitem nicht so sicher, wie mancher annimmt. Tatsächlich muss eine Security-Strategie alle Betriebsmodi sowie Ebenen, Infrastruktur, Middleware und Anwendungen in das Schutzkonzept einbeziehen. Ein Angebot wie „Deep Security“ von Trend Micro bietet Sicherheit von physischen und virtuellen Umgebungen und zertifizierte inhärente Sicherung von SAP Datenströmen.

Firmen zum Thema

SAP-Systeme brauchen besonderen Schutz, zum Beispiel mit virtuellem Patching.
SAP-Systeme brauchen besonderen Schutz, zum Beispiel mit virtuellem Patching.
(Bild: Olga Yakovenko/ Fotolia.com)

SAP-Systeme gehören zur unternehmenskritischen Infrastruktur, sind hochkomplex miteinander verwoben und verwalten typischerweise zwischen 1.000 und 30.000 Nutzer sowie nahezu alle geschäftskritischen Daten. Dabei wecken nicht nur sensible personenbezogene Daten, sondern auch Finanzinformationen oder umsatzrelevante Dokumente oder wettbewerbsspezifische Informationen hier Begehrlichkeiten.

Angriffe können auf allen Ebenen – von der Infrastruktur bis zu den Anwendungen – stattfinden und daher sollte eine ganzheitliche Sicherheitsstrategie für die SAP-Systeme erste Priorität haben. Dabei gilt es, Risiken sowohl technischer Natur als auch für die Compliance einzubeziehen.

Mit virtual Patching gegen Schwachstellen

Die Gefahren können durch Schwachstellen, Sicherheitslücken oder Probleme beim Patching der verschiedenen Betriebssysteme, Datenbanken, Storage- und Netzwerksysteme, Bedrohungen durch Änderungen an Dateisystemen oder durch nicht erkannte Angriffe entstehen. Ebenso müssen auch die Anforderungen an die Content-Sicherheit auf der Ebene des „Netweaver“ und der Anwendungen in einem Security-Konzept bedacht werden.

Mit anderen Worten bedarf es einer Architektur, die IT-Sicherheit als Teil der Infrastruktur begreift, fordert der Sicherheitsanbieter Trend Micro. Mit einer Lösung wie Deep Security etwa lässt sich grundsätzlich in einer On-premise- oder virtuellen SAP-Umgebung die Absicherung der Infrastruktur durchführen. Die Lösung übernimmt aber auch Malware-Scanning-Dienste über die zertifizierte Schnittstelle für Netweaver.

Guter Rat - schlechter Rat

Vielleicht eine der größten Risiken für SAP-Installationen und vor allem für deren Infrastruktur, liegt in der von SAP propagierten Good Practice, ein funktionierendes System nicht mehr zu ändern. „[...] Wenn Ihr System läuft und Sie keine Probleme damit haben, belassen Sie es dabei“, heißt es im „Praxishandbuch SAP Administration“, (2. Auflage 2010, SAP Press).

Was sicherlich ein gut gemeinter und ehemals nützlicher Ratschlag ist, um potenziell unnötige Unterbrechungen des Betriebs zu vermeiden, kann aber ins Gegenteil umschlagen, wenn dadurch auch Schwachstellen nicht behoben werden. Das heißt, weder Anwendungen noch die Infrastruktur, also Server, Datenbanken, Betriebssysteme und Speichersysteme erhalten regelmäßig und vor allem zeitnah die benötigten Patches und Updates.

Zwischenschritt: virtuelle Patches

Der Schutz von SAP-Anwendungen kann eine komplexe Sache werden.
Der Schutz von SAP-Anwendungen kann eine komplexe Sache werden.
(Bild: Trend Micro)
Dieser Spagat zwischen der Forderung nach möglichst wenig Änderungen und der nach dem Schutz der Infrastruktur vor der Ausnützung der vorhandenen Sicherheitslücken lässt sich mit der Methode des virtual Patchings meistern. Das auch virtual Shielding genannte Verfahren mit Deep Security wirkt wie ein Software-Patch auf der Basis von schützenden Netzwerkregeln. Die virtuellen Patches sind jedoch kein Ersatz für die „echten“, verschaffen jedoch der IT-Abteilung mehr Zeit für das Aufspielen der Updates.

Im Lösungsmodul für Intrusion Detection and Prevention (IDS/IPS) schirmen die Regeln bekannte Schwachstellen in über das Netzwerk erreichbare Ressourcen, wie Anwendungen und Server, ab und verhindern, dass die Lücken ausgenützt werden. Darüber hinaus bieten die IDS/IPS-Regeln auch Schutz vor Zero-Day-Sicherheitslücken, für die es noch keinen Patch gibt, und blockieren unbekannte Schwachstellen durch die Überprüfung auf Protokollabweichungen, Regelübertretungen und Zeichen eines Angriffs des gesamten ankommenden und abgehenden Verkehrs.

Integrität der verschiedenen Systeme

Auch eine weitere SAP-Gepflogenheit kann zu Risiken für die Infrastruktur führen: Unternehmen, die SAP-Systeme „richtig“ betreiben wollen, nutzen prinzipiell drei komplett getrennte, idealerweise identische Umgebungen – eine Entwicklungs-, eine Test- und eine Produktionsplattform. Der Gedanke dahinter ist es, zu gewährleisten, dass etwa jede neu entwickelte oder aktualisierte Eingabemaske und Anwendung erst getestet werden kann, bevor sie auf die Produktionssysteme eingespielt wird.

Diese drei Plattformen sind aber in der Regel nicht ganz identisch, weder vom Standpunkt der Hardware noch von der Konfiguration her. Damit der saubere Übergang der Neuentwicklungen auf die Testplattform und dann in die Produktionsumgebung gewährleistet ist, sollten Abweichungen bezüglich des Patch-Standes der Betriebssysteme und in der Konfiguration dokumentiert sein.

Hier kann Deep Security die Integritätsüberwachung übernehmen. Die Software erkennt Änderungen im Dateisystem und in der Registry, zeigt die Unterschiede zwischen den drei Plattformen auf und kann sie bei Bedarf beseitigen.

Machen Sie einen Recommendation Scan!

Deep Security von Trend Micro erlaubt eine agentenlosen Security-Administration.
Deep Security von Trend Micro erlaubt eine agentenlosen Security-Administration.
(Bild: Trend Micro)
Bei so genannten Recommendation Scans untersucht die Trend Micro-Lösung ein Referenzsystem auf Betriebssystem und installierten Applikationen inklusive eventueller Patch-Level und erstellt danach eine Liste mit Empfehlungen für die anderen Umgebungen. Dazu gehören sowohl Regeln, die zu aktivieren sind, zum Beispiel wenn das System für einen Angriff offen ist und der Virtual Shield nicht aktiviert wurde, als auch Regeln, die inzwischen überflüssig geworden sind, etwa weil der „echte“ Patch mittlerweile eingespielt wurde.

Gerade für SAP-Systeme bietet es sich an, diese Scans auf den Testumgebungen als „Referenz“ durchzuführen. Die Empfehlungen können dann natürlich, nach evtueller. manueller Prüfung, auch auf die Produktionssysteme übertragen werden.

Virtualisierung im SAP-Umfeld spielt bei immer mehr großen Unternehmen eine Rolle. Diese hauptsächlich mit VMware virtualisierten Umgebungen bedürfen einer darauf abgestimmten Sicherheit, unter anderem um die Performance aufrecht zu erhalten oder auch den Verkehr zwischen den virtuellen Maschinen zu schützen.

Sicherheit per Hypervisor

Für virtualiserte SAP-Umgebungen können die Module von Deep Security als Funktionalität des Hypervisors bereitgestellt werden, also: ohne Installation von Software-Agenten im Gastsystem. Neben Performance-Vorteilen durch die Konsolidierung der Funktionalität in einer dedizierten Appliance vereinfacht die agentenlose Arbeitsweise auch die Administration.

Dennoch empfiehlt sich, für einige Funktionen auf Agenten zurückzugreifen: Ein Recommendation Scan etwa liefert aussagekräftigere Daten, wenn ein Agent die Möglichkeit hat, in ein System selbst hineinzusehen.

Content Sicherheit über Netweaver-Schnittstelle

SAP bietet eigene Sicherheitsmechanismen an. Zu dem Foto gehört die Überschrift "Protect your data – and your business – with our security solutions" (siehe : Link)
SAP bietet eigene Sicherheitsmechanismen an. Zu dem Foto gehört die Überschrift "Protect your data – and your business – with our security solutions" (siehe : Link)
(Bild: SAP)
Neben der Sicherheit für die Infrastruktur geht es im Rahmen der Content-Sicherheit um Malware-Schutz für die Netweaver-Plattform. Hinzu kommen die Anti-Malware-Funktionen für die SAP-Middleware. SAP sieht hier in erster Linie die Notwendigkeit, Bedrohungen durch externe Dateien und aktiven Content entgegenzuwirken.

Beispielsweise können über Rekrutierungs-Webseiten von Unternehmen kompromittierte Dokumente ins HR-Module des SAP-Systems gelangen, wenn hochgeladene Dokumente der Bewerber infiziert sind. Öffnet nun ein Mitarbeiter einen solchen Anhang, so kann etwa ein Trojaner in die Systeme gelangen.

Um für solche Szenarien Malware-Schutz zu ermöglichen, stellt SAP eine Viren-Scan-Schnittstelle (VSI) in der Applikationsplattform Netweaver zur Verfügung, die externe Sicherheitsanbieter in ihren Antivirus- und Content Security-Produkte umsetzen können. 2012 hat SAP die VSI 2.0 veröffentlicht und definiert die Anforderungen an diese so genannte Viren-Scan-Adapter.

Hilfe per Cross Site Scripting

Sie sind dafür zuständig, externe Dateien und aktiven Content, HTML-Seiten und Javascript zu scannen und zu analysieren. Waren es in früheren Versionen nur die Dateien, die in SAP-Datenbanken lagen, so sind es mit der Version 2.0 auch die Daten in den Anwendungen, die in den Schutz etwa gegen Angriffe über Cross Site Scripting einbezogen werden.

Deep Security ist das einzige Sicherheitsprodukt, das für VSI 2.0 zertifiziert ist. Das bedeutet unter anderem, dass die Lösung Dateitypen integriert hat, die nur innerhalb der SAP-Applikationen bekannt sind und verwendet werden.

Zertifizierung beruhigt und verstärkt den Schultzschild

Die Zertifizierung bietet Kunden den Vorteil, die Gewissheit zu haben, das Deep Security reibungslos in die SAP-Systeme integriert ist. Auch profitieren die Anwender von dem "Trend Micro Smart Protection Network", einem riesigen Netzwerk für Sicherheitsintelligenz, das eine hohe Malware-Erkennungsrate garantiert.

Ein auf dem System installierter Deep Security-Agent erhält von den SAP-Anwendungen den zum Scannen und Analysieren vorgesehenen Content und liefert das Ergebnis zurück. Es sind immer die Anwendungen die aufgrund von SAP-internen Scan-Regeln entscheiden, welcher Content analysiert wird und was danach damit zu geschehen hat. Das bedeutet auch, dass für die Trend Micro-Lösung die SAP-Welt – sowohl die ABAP- als auch die Java-Applikationen -- eine „Blackbox“ bleibt.

Schließlich empfiehlt Trend Micro Unternehmen, die rechtlichen Aspekte nicht außer Acht zu lassen. Das bedeutet unter anderem, für die SAP-Sicherheit in Frage kommende Anbieter daraufhin zu überprüfen, ob sie alle erforderlichen Zertifizierungen besitzen und Prozesse wie für den BSI-Grundschutz, ISO 27001 oder Common Criteria EAL 4+ durchlaufen haben.

Die Autorin:

Susanne Franke ist eine erfahrene, freie Fachautorin.

Artikelfiles und Artikellinks

(ID:42278249)