SAP® Hack: SAP-Systeme aufspüren und angreifen

Die Vernetzung der Systeme nimmt immer weiter zu. Industrie 4.0 sowie IoT sind hier wesentliche Faktoren. Doch ein Faktor im IT-Betrieb scheint unverändert gültig zu bleiben:
Die Systeme müssen „laufen“. Patch-Management und Security erhalten daher nicht immer die erforderliche Priorität. Dies führt letztlich zur Anbindung von Systemen an das Internet, die veraltete Releases nutzen oder nicht die neuesten Security-Patches erhalten.

Anhand dieser Systeme lässt sich anschaulich skizzieren wie Hacker SAP-Systeme identifizieren und angreifen. Das Verständnis wie ein Hack eines solchen SAP-Systems abläuft, dient hier der Sensibilisierung der Systemverantwortlichen. Dies wiederum sollte sodann zur Härtung der SAP-Systeme führen.

Warum ist die Internet-Anbindung ein Risiko?

Die globale Erreichbarkeit des Systems durch die Anbindung an das Internet sorgt für eine deutliche Steigerung der Gefährdung des Systems. Dies liegt einfach daran, dass ab dem Moment der Internet-Anbindung jeder dieses System aufspüren und angreifen kann.

Jedes System bietet auch im Normalfall eine gewisse Angriffsfläche. Denn ein System wird in der Regel zu einem bestimmten Zweck an das Internet angeschlossen und bietet für diesen Zweck vorgesehene Dienste im Internet an. Beispielweise bieten die im Internet bekannten Web-Server ihre Webseiten über einen Web-Dienst (HTTP/HTTPS) an.

Dienste können bekanntlich Schwachstellen haben. Dies gilt auch für SAP-Systeme. Hier sind 4 bekannte und „gefixte“ Schwachstellen in SAP-Systemen aufgeführt, die  für potentielle Angriffe aus dem Internet nutzbar sind:

  • 1445998 – Deaktivieren des Invoker-Servlets
    • SAP NetWeaver AS Java 6.40 bis 7.20 verwundbar
  • 2234971 – Directory-Traversal in AS Java Monitoring
    • SAP NetWeaver AS Java 7.10 bis 7.50 verwundbar
  • 1682613 – Fehlende Berechtigungsprüfung im Core-Service
    • SAP NetWeaver AS Java 6.40 bis 7.31 verwundbar
  • 2101079 – Mögliche Änderung/Offenlegung von persist. Daten in BC-ESI-UDDI
    • SAP NetWeaver AS Java 7.11 bis 7.50 verwundbar

Wie hoch ist nun die Wahrscheinlichkeit potentiell verwundbare Systeme im Internet zu finden? Beispielsweise in einem technologisch fortschrittlichem Land wie Deutschland…

SAP-Systeme mit Shodan.io finden

SAP-Systeme lassen sich relativ zuverlässig und kostenlos mit Shodan.io aufspüren. Die hier ausgesuchten Schwachstellen beziehen sich auf Systeme des Typs SAP NetWeaver AS Java. Solche Systeme findet diese Suche bei Shodan „sap as Java„. Insgesamt werden 2391 Systeme gefunden.

2391 SAP-Systems found
Shodan Suche

Anhand des Server Tags in der Ergebnisliste lässt sich einfach die Version ablesen:

Server: SAP NetWeaver Application Server 7.21 / AS Java 7.31

Dieses System wäre potentiell für 3 der 4 genannten Schwachstellen anfällig.

Schränkt man die Suche auf Deutschland ein („sap as Java country:DE„), so werden immer noch 183 Systeme gefunden.

Hack Vorbereitung: Karte mit potentiellen Ziel-Systemen in Deutschland
Shodan Karte für Deutschland

Darunter sind durchaus neuere Systeme:

server: SAP NetWeaver Application Server 7.45 / AS Java 7.50

Jedoch könnten immer noch 2 der 4 Schwachstellen vorhanden sein.

Es lässt sich jedoch auch gezielt nach älteren Systemen suchen: „SAP J2EE Engine„. Hier werden 1078 Systeme gefunden. Vornehmlich veraltete Systeme.

server: SAP J2EE Engine/7.00

Auch in Deutschland stehen noch 70 solcher Systeme.

Hack Vorbereitung: Karte mit veralteten Systemen in Deutschland
Karte für ältere Systeme in Deutschland

Zwei potentielle Schwachstellen lassen sich diesen älteren Versionen zuordnen.

Shodan zeigt sich wirklich auskunftsfreudig zu diesen Systemen.

Hack Zielauswahl: Ergebnisseintrag in Shodan mit Details
Detailansicht in Shodan

An dieser Stelle kann man soweit festhalten, dass mit wenig Aufwand und kostenlos eine immense Liste an potentiell verwundbaren Systemen identifiziert werden kann.

An 4 theoretischen Beispielen lässt sich nun die Gefährdung solcher Systeme nachvollziehen.

Beispiel Hack 1: Anonymer Datei Download (SAP Hinweis 2234971)

Ein Angreifer kann unter Kenntnis der URL der verwundbaren Komponente beliebige Dateien des Servers herunterladen. Dies sogar ohne gültiges Login. Auf diesem Weg kann sich ein Angreifer Zugriff auf den Passworttresor (SecStore) des Systems verschaffen. Diesen kann er im Anschluss knacken (decodieren) und erhält die darin enthaltenen administrativen Zugangsdaten. Mit diesen Logindaten hat er dann Vollzugriff auf das System.

Beispiel Hack 2: Anonymer Dateitransfer (SAP Hinweis 1682613)

In dem Kernservice des P4-Dienstes von SAP Netweaver AS Java Systemen klafft bis zur Version 7.31 eine schwerwiegende Lücke. Diese kann ein Angreifer wie folgt ausnutzen. Zunächst prüft er ob der betroffene Dienst bei dem System aus dem Internet erreichbar ist. Sofern dies der Fall ist kann er eine anonyme Verbindung ohne Logindaten zu diesem Dienst aufbauen. Über diese Verbindung kann er dann jede beliebige Datei aus dem System lesen. Wie zuvor kann ein Angreifer damit Zugriff auf den SecStore erhalten und die administrativen Zugangsdaten auslesen.

Beispiel Hack 3: CTC Servlet (SAP Hinweis 1445998)

Diese Schwachstelle hat viel Aufsehen erhalten, selbst das US-CERT hat eine Warnung zu dieser Schwachstelle veröffentlicht. SAP selbst beschreibt die Schwachstelle mit diesen Worten:

Der Zugriff auf Servlets ist unabhängig von in der Datei web.xml definierten Sicherheitsbeschränkungen anonym über einen anderen Pfad möglich.

Konkret bedeutet dies, dass ein Angreifer lediglich eine bestimmte URL des Servers aufrufen muss. Damit kann er dann beliebige Systembefehle ausführen. Weiterhin kann er Benutzer anlegen und beliebige Berechtigungen zuweisen.  Mit diesen Mitteln ist er in der Lage das System vollkommen unter seine Kontrolle zu bringen.
Besonders gefährlich bei dieser Lücke ist, dass ein Patch nicht generell das Problem behebt sondern lediglich eine bestimmte Konfigurationseinstellung deaktiviert. Diese kann jederzeit wieder aktiviert werden und damit das System erneut verwundbar machen.

Beispiel Hack 4: SQL-Injection (SAP Hinweis 2101079)

Es existiert eine SQL-Injection Schwachstelle in der Komponente SAP NetWeaver AS Java UDDI. Diese Schwachstelle kann anonym ohne Zugangsdaten ausgenutzt werden. Doch ganz so einfach ist dieser Weg dann doch nicht. Zunächst benötigt man einen Benutzernamen im System. Dieser ist für den Angriff zwingend nötig. Es gibt jedoch weitere Schwachstellen in den Systemen zu diesen Releases. Diese erlauben das anonyme Anzeigen der Benutzer im System. Hierzu reicht es aus eine von zwei möglichen URLs aufzurufen und sich die Benutzer anzuzeigen. In der Liste der Benutzer sucht man nun nach einem administrativen Account wie J2EE_ADMIN.

Mit Kenntnis des Benutzernamens kann über die SQL-Injection Schwachstelle nun auf dessen im System gespeicherten Passworthash zugegriffen werden. Dieser Hash kann aufgrund eines weiteren Fehlers in diesen Systemen sehr leicht in ein klartext Passwort überführt werden.

Damit kennt ein Angreifer nun die Zugangsdaten und erhält somit administrativen Vollzugriff auf das System.

SAP-Systeme schützen

Die Beispiele zeigen eindrucksvoll, dass es mit dem notwendigen Know-how relativ einfach ist SAP-Systeme erfolgreich aufzuspüren und zu hacken.

Abwehrstrategien scheitern vor allem an zu wenig Ressourcen und mangelndem Verständnis für Sicherheitslücken sowie dem fehlenden Know-how zur Ermittlung des tatsächlichen Sicherheitsstatus eines Systems. Mit dem werthAUDITOR von Werth IT ist es möglich die Systemsicherheit zu prüfen bevor und während die Systeme mit dem Internet verbunden sind. Damit lassen sich nicht nur die hier vorgestellten Risiken mindern, sondern auch Problemstellungen im ABAP-Coding, den Berechtigungen, der Systemkonfiguration und weiteren sicherheitskritischen Systemeigenschaften lösen. Trotz limitierter Ressourcen kann so ein dauerhaft sicherer Betrieb und die Einhaltung der Compliancevorgaben erreicht werden.

Mehr Informationen zu unserem SAP Security Service erhalten Sie hier.

 

US Cloud Act als Hintertür im Datenschutz

Ohne parlamentarische Anhörung hat der US-Kongress Ende März 2018 mit dem „Cloud Act“ ein Gesetz verabschiedet, dass Dienstleister ungeachtet des physischen Server Standorts die dort gespeicherten Kundendaten herausgeben müssen.

Cloud Act Bill
Cloud Act Bill

Damit stellt die US-Regierung US-Recht über das geltende Recht des Landes in dem die Daten physikalisch gespeichert sind.

Auslöser

Einer der Auslöser für diesen Beschluss war der Streit zwischen Microsoft und den US-Behörden. Der US-Supreme Court hat sich bereits mit diesem Fall beschäftigt und für dieses Jahr wurde mit einem Urteil gerechnet.

Im Kern war zu entscheiden ob Microsoft E-Mails von einem in der EU betriebenen Server herausgeben muss. Mit dem in Kraft treten des neuen Gesetzes hat der Supreme Court den Fall nun für erledigt erklärt.

Damit ist bereits die erste Anwendung nach dem Neuen Gesetz auf dem Weg und Microsoft ist verpflichtet die angeforderten Daten herauszugeben.

Der Cloud Act und seine Folgen – Daten(un)sicherheit

Der Justiziar Neema Singh Guliani der US-Bürgerrechtsorganisation American Civil Liberties Union (ACLU) hat wesentliche Datenschutz-Probleme in dem Gesetz erkannt:

  • For the first time, the bill allows foreign governments to wiretap and intercept communications in real-time, without even requiring governments to adhere to critical privacy protections in the Wiretap Act (such as notice, probable cause, or a set duration); and

The bill permits broad information sharing between governments, allowing countries (including the U.S.) to obtain information from foreign partners under standards that may be lower than their own domestic law.

Auch die Electronic Frontier Foundation (EFF) warnt vor dem Cloud Act:

Grants real-time access and interception to foreign law enforcement without requiring the heightened warrant standards that U.S. police have to adhere to under the Wiretap Act.

Fails to require notice on any level – to the person targeted, to the country where the person resides, and to the country where the data is stored. (Under a separate provision regarding U.S. law enforcement extraterritorial orders, the bill allows companies to give notice to the foreign countries where data is stored, but there is no parallel provision for company-to-country notice when foreign police seek data stored in the United States.)

Ein Abhören von Zielpersonen ist damit deutlich vereinfacht, ebenso gibt es nahezu keine Informationspflichten mehr.

Für Unternehmen, die Dienstleistungen von US-Firmen in Anspruch nehmen, bedeutet dies ein mögliches Scheitern der DSGVO-Compliance. Denn hier können Dritte auf Daten zugreifen. Noch etwas weiter gedacht wird klar, dass US-Behörden nach eigenem Ermessen auf sämtliche Daten eines Unternehmens zugreifen können, die bei dem US-Dienstleister gespeichert sind. Dazu können auch Geschäfts- und Betriebsgeheimnisse sowie Informationen zu den getroffenen IT-Sicherheitsmaßnahmen oder bekannten Cyber-Schwachstellen zählen.

Auswege

Ein möglicher Ausweg könnte der Einsatz eines „Datentreuhändlers“ sein. So betreibt beispielsweise T-Systems als Dienstleister den Cloud-Dienst für Office 365 Deutschland. Doch ob diese Konstellation Zugriffswünsche wirkungsvoll eindämmt ist nur schwer vorherzusagen.

Besonders brisant wird es für Unternehmen die IT-Sicherheitsdienstleistungen wie Schwachstellenmanagement an US-Anbieter vergeben haben. Überspitzt gefragt kann man sagen: Wer möchte schon seine Schwachstellen frei Haus an die NSA liefern?

Zur eigenen Sicherheit muss hier hinterfragt werden ob es nicht einen EU-Anbieter mit Datenspeicherung in der EU als Alternative gibt.

Der Markt bietet hier einige Alternativen – teils sogar Lösungen die ausschließlich innerhalb der Unternehmens-IT arbeiten und keine Daten in die Cloud oder zum Anbieter übertragen.

Der werthAUDITOR ist eine solche Lösung und prüft IT- und SAP-Systeme auf Schwachstellen und die Daten bleiben dabei garantiert in der sicheren Unternehmens-IT.

Der Cloud Act trägt deutlich die Handschrift der „America First“ Initiative und sollte zum Nachdenken anregen welche Daten wie und wo sicher gespeichert und verarbeitet werden. Idealerweise verlassen sensible Daten gar nicht erst das eigene Unternehmen.

 

 

Erfahrungsbericht SAP-Security-Audit und Kundenbewertung

Oftmals fragen sich Unternehmen welche Erfahrungen andere Unternehmen mit dem Thema SAP-Security-Audit gemacht haben. Dabei stehen meist die nachfolgenden Fragen im Vordergrund:

  • Gab es Komplikationen?
  • Welcher Nutzen ist entstanden?
  • Wie Aufwändig ist ein solches Projekt?
  • Wie geht es danach weiter?

Es gibt sehr wenige öffentliche Erfahrungsberichte von Unternehmen, die anderen Unternehmen Einblick in SAP-Security-Audits geben können. Daher möchte ich mit freundlicher Genehmigung der Queisser Pharma GmbH an dieser Stelle einen Erfahrungsbericht publizieren:

Erfahrungsbericht von Queisser Pharma GmbH & Co. KG mit dem von der OSC AG durchgeführten SAP Security-Audit

Da das Thema Sicherheit für Unternehmen essentiell und überlebenswichtig ist, lassen wir zurzeit unsere Systeme von externen Partnern auf mögliche Sicherheitslücken überprüfen. Es ist von Vorteil, die eigenen Anstrengungen bzgl. Sicherheit auch mal extern begutachten zu lassen.

Nachdem wir letztes Jahr einen Penetration-Test durchführen ließen, haben wir uns als nächstes entschlossen, unser SAP System von OSC mit dem WerthAUDITOR prüfen zu lassen.

Mit der Software wurden bei uns 660 Einzeltests durchgeführt. Hierbei ging es unter anderem um die Berechtigungen, die Datenbank, die Schnittstellen, die relevanten Themen bzgl. Wirtschaftsprüfung, kritischen ABAP-Code etc..

In der ersten Kurzübersicht konnte man sich sehr schnell einen ersten Überblick verschaffen. In einem Workshop mit OSC haben wir uns dann die Details angesehen und die erforderlichen Maßnahmen besprochen. Auf dieser Grundlage haben wir die erforderlichen Aufgaben aufgeteilt, in Punkte die wir selber durchführen können und in Maßnahmen, die wir von OSC durchführen lassen.

Durch das Security-Audit haben wir nun einen klaren Leitfaden, wie wir unser SAP System noch sicherer machen können.

Positiv überrascht hatte uns, dass wir nahezu keinen eigenen Aufwand bei der Durchführung der Tests hatten. Die breite Palette an verschiedenen Tests hat uns sehr gefallen.

Da die Tests selber ohne großen Aufwand für uns durchgeführt werden konnten und wir bei den erforderlichen Maßnahmen das Tempo je nach eigener Auslastung selber bestimmen können, ist solch ein Test jederzeit durchführbar. Wir sind sehr zufrieden mit dem Security-Audit und können es jedem empfehlen.

Als Essenz aus dem Erfahrungsbericht lässt sich folgendes  festhalten:

  • Das Thema Sicherheit ist für Unternehmen essentiell und überlebenswichtig.
  • Es ist von Vorteil die Sicherheit auch mal extern begutachten zu lassen.
  • Der Prüfungsumfang muss umfassend sein: Berechtigungen, die Datenbank, die Schnittstellen, die relevanten Themen bzgl. Wirtschaftsprüfung, kritischen ABAP-Code etc..
  • Die Kurzübersicht liefert sehr schnell einen ersten Überblick, Maßnahmen lassen sich leicht ableiten.
  • Der Security-Audit haben gibt einen klaren Leitfaden, wie das SAP System noch sicherer wird.
  • Es gibt nahezu keinen eigenen Aufwand für den Kunden bei der Durchführung der Tests.
  • Der Test ist jederzeit durchführbar und es gibt eine klare Weiterempfehlung.

Jetzt informieren: SAP Audit

SAP HANA Sicherheitsübersicht – Neue BSI-Publikation von WERTH

Mit der Markteinführung von HANA 2011 als zukünftige Standard-Datenbank für SAP-Systeme hat SAP ein ehrgeiziges Ziel ausgegeben. Um dieses Ziel zu erreichen wurde die In-Memory-Datenbank HANA konsquent ausgebaut. Zunächst kam mit HANA XS der Schritt zur Plattform und 2015 erschien mit S/4HANA die erste SAP-Komplettlösung auf HANA-Basis.

Damit rückt HANA immer stärker in das Zentrum einer SAP-Landschaft. In Kombination mit dem Schutzbedarf der dort hinterlegten Daten wird schnell klar, dass ein angemessener Schutz von HANA-Systemen unabdingbar ist.
Hierzu gilt es unter anderem die Netzwerksicherheit zu gewährleisten, den korrekten Umgang mit dem System Benutzer vorzunehmen, für eine verschlüsselte Kommunikation zu sorgen und die persistenten Daten sowie die Enrcyption Keys richtig zu handhaben. Ebenso müssen die Benutzer und die Authentifizierung sicher verwaltet und konfiguriert werden.
Auch das Auditing und Logging hat seinen Anteil an der Gesamtsicherheit des HANA-Systems und ist entsprechend manipulationssicher einzurichten. Aufgrund zunehmender öffentlich bekannter Schwachstellen ist ebenfalls ein effektives Patchmanagement von Nöten. Werden Eigenentwicklungen unter HANA XS erstellt, so sind die Entwicklungen „sicher“ vorzunehmen.
Es zeigt sich also die Sicherheit von HANA ist komplex.
Eine Übersicht zu dem Thema und den notwendigen Schritten finden Sie in unserer neuesten BSI-Publikation „SAP HANA Sicherheitsübersicht

Neuer BSI-Leitfaden von WERTH: Forensische Analyse von SAP-Systemen

Die Partnerschaft zwischen WERTH und dem Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit hat weitere Früchte getragen.

Der neue BSI-Leitfaden von WERTH zur forensischen Analyse von SAP-Systemen wurde kürzlich veröffentlicht. Der Leitfaden beschreibt wie eine forensische Auswertung eines SAP-Systems erfolgen kann und welche Vorraussetzungen und Einschränkungen zu beachten sind.

„Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung desTatbestandes und der Täter durch ErfassungAnalyse und Auswertung digitaler Spuren.“ (Quelle: Wikipedia)

Der Leitfaden hilft somit im Falle eines Falles die richtigen Nachforschungen anzustellen. Zur Vorbeugung von ernsten Vorfällen sollten entsprechende Sicherheits-Maßnahmen ergriffen werden, um das Risiko erfolgreicher Angriffe zu senken:

  • SAP Empfehlungen und Guides befolgen
  • Regelmäßge Security Audits
  • SAP Patches einspielen
  • ABAP Code Kontrolle
  • Pflege und Prüfung des Berechtigungskonzepts
  • Protokollierung aktivieren und prüfen.

Nutzen Sie den WERTH AUDITOR zur proaktiven Absicherung Ihrer SAP-Systeme.

SAP-Sicherheit für CI(S)Os – Neue BSI-Publikation von WERTH

SAP-Systeme verarbeiten und speichern die unternehmenskritischen Daten. In diesem System finden sich die Kunden-, Lieferanten- und Personaldaten. Ebenso werden hier die Finanzdaten wie Bilanzen, Bankkonten und Buchungen verarbeitet. Zusätzlich trifft man Planungsdaten, Konstruktionsdaten und Vertriebsinformationen wie Preislisten an. Jeder einzelne Datenbereich ist bereits sensibel und in Kombination hoch kritisch.

Ein Ausfall des Systems und ein ausbleibender Zugriff auf diese Daten bei gleichzeitigem Verarbeitungsstillstand führen in der Regel zu einem Betriebsausfall. Damit sind SAP-Systeme ein lohnendes Ziel für Cyber-Angriffe. Egal ob Spionage, Sabotage oder Betrug die Motivation ist, die Daten in dem SAP-System geben ein attraktives Ziel ab. Cyberattacken auf SAP-Systeme können großen Schaden im Unternehmen verursachen.

Um sich wirkungsvoll vor ihnen zu schützen, sollten Sie wissen, welche Motive professionelle Hacker verfolgen, wie Sie sich Zugang in das Herz Ihres Unternehmens verschaffen und welche Folgen ein Hackerangriff haben kann. Diese Informationen finden Sie in unserer neuesten BSI-Publikation.

BSI: Allianz für Cybersicherheit veröffentlicht Leitfaden zur Erkennung und Abwehr von Risiken in SAP-ERP-Systemen

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde.

 

Der Leitfaden dient der Sensibilisierung von SAP-Verantwortlichen und zeigt oft übersehene Angriffsflächen in SAP-Systemen auf. Diese werden an Beispielen verständlich beschrieben. So wird das Gefährdungspotential von kritischen Berechtigungen, Standardzugangsdaten, der RFC-Schnittstelle und unverschlüsselter Kommunikation nachvollziehbar präsentiert. Zusätzlich wird beschrieben, wie man das eigene System schnell und einfach auf potentielle Risiken testen kann.

 

Das Dokument wird von dem Partnerunternehmen Werth IT zur Allianz für Cybersicherheit beigesteuert. Die Werth IT hat sich zum Ziel gesetzt, das Know-How der deutschen Wirtschaft zu schützen.

 

Bekannt ist die Werth IT für ihre preisgekrönte Software Werth Auditor. Die Lösung ermöglicht die schnelle und einfache Beurteilung der Sicherheit von SAP Systemen.
Der Werth Auditor gehört zu den technisch führenden Sicherheitslösungen und vereint als einzige umfassende Prüfungen, die sonst nur unter Einsatz verschiedener Programme möglich wären. Dies umfasst unter anderem die Analyse von Custom ABAP-Code unter verschiedenen Sicherheitsaspekten. Sowie die Prüfung des Systems über alle relevanten Schnittstellen auf technische Schwachstellen, Fehlkonfigurationen, kritische Berechtigungen, problematische Rechte-Kombinationen (SoD). Der Einsatz der Lösung erfordert dabei weder Änderungen an dem bestehenden SAP System noch die Installation zusätzlicher Server. Die intuitiv zu bedienende Lösung erlaubt somit die Identifikation, Priorisierung und Behebung von Risiken in SAP Systemen.

Cyber-Risk-Insurance Einstiegsübersicht – Neue BSI-Publikation von WERTH

Jeder der sich mit IT-Security beschäftigt hat früher oder später den Satz „100%ige IT-Sicherheit gibt es nicht“ zu hören bekommen.
Viele Experten teilen diese Aussage und die öffentlichen Berichte über erfolgreiche Cyber-Angriffe können ebenso als Beleg für diesen Satz angesehen werden.
Für einen bestmöglich Schutz empfiehlt es sich daher neben der kontinuierlichen Überwachung der Systeme das verbleibende Restrisiko mittels einer Cyber-Versicherung abzusichern.
Das Thema Cyber-Risk-Insurance behandelt eine noch recht junge Versicherungssparte und ist noch nicht allgegenwärtig bekannt.
Um den Einstieg zu erleichtern und die richtige Entscheidung treffen zu können finden Sie in unserer neuesten BSI-Publikation „Cyber-Risk-Insurance Einstiegsübersicht“ eine Übersicht zu dem Thema und Empfehlungen zur Auswahl einer Cyber-Risk-Versicherung.
Wenn Sie auch 100% Schutz für Ihre Systeme erreichen möchten, kontaktieren Sie unseinfach und unkompliziert.

Die Haftungsfrage im Schadensfall mit Blick auf SAP-Systeme

Laut der Ponemon Institute – SAP Cybersecurity Studie haben 30% der befragten Teilnehmer Niemanden der sich um die Sicherheit der SAP-Systeme kümmert. Auf den weiteren Plätzen werden erst danach die IT-Basis und Security-Teams genannt.
Als Top-Verantwortlicher im Schadensfall sehen 30% Niemanden jedoch wird mit 26% der CIO an zweiter Stelle genannt.

Das wirft nun die Frage auf, wie die Verantwortung für die Sicherheit der SAP-Systeme wirklich aussieht und welche Rolle der CIO dabei spielt?

Dazu schaut man zunächst auf die Gesetzeslage in Deutschland.
Hier besteht die Rechtspflicht zur Gewährleistung einer effizienten IT-Sicherheit. Dies ergibt sich aus der geforderten Einrichtung, Dokumentation und Kontrolle eines aktuellen und effizienten Risikomanagementsystems. Fehlt dies, ist es unvollständig oder ungeeignet oder fehlt auch nur die Dokumentation so bestätigen diverse Gerichtsentscheide (Landgericht München I, Urteil vom 05.04.2007) hier schon einen erheblichen Gesetzesbruch.
Für einen CIO der zugleich auch Vorstand oder Geschäftsführer ist reicht so ein Fall bereits zur außerordentlichen Kündigung und für zivilrechtliche Haftungsansprüche aus.

Zusätzlich sind die viel zitierten Rechtsbestimmungen wie KonTraG, TransPuG, Sarbanes Oxley Act, EuroSOX, APAG, MO-REQ, Basel / Solvency, GoBD zu beachten. Diese fordern umgangssprachlich formuliert einen technisch sicheren Umgang mit Informationen.

In einem Schadensfall der auch wichtige Betriebsdaten betrifft bedeutet dies nun konkret für einen CIO, dass sich Haftungsrisiken nur durch den Nachweis des Einsatzes des jeweils aktuellen Stand der Technik und strikte Umsetzung von Kontroll- und Überwachungsmaßnahmen mindern lassen. Gerichtsurteile (OLG Hamm, 01.12.2003)hierzu verlangen eine zuverlässige IT-Sicherheit für Firmen- und Personendaten.
Die Haftung kann bei der Nutzung von Outsourcing-Angeboten nicht an den Dienstleister übertragen werden.

Der CIO hat somit präventiv und reaktiv bestandsgefährdende Risiken durch ein geeignetes Ma­na­ge­ment­sys­te­m für In­for­ma­ti­ons­si­cher­heit und Notfallmanagement zu gewährleisten. Kann ihm hier eine grob Fahrlässige Verletzung seiner Pflichten nachgewiesen werden, haftet er persönlich. Im Falle einer Vorstands oder Geschäftsführer Position ist die Beweislast sogar umgekehrt.

Datenschutz- und Datensicherheitsrechtliche Organisationspflichten liegen grundsätzlich beim CIO. Fehlende Kontrollmechanismen (wie Patchmanagement oder die sonstige Beseitigung von Sicherheitslücken) oder ein unzureichendes oder unvollständiges Datensicherheitskonzept können zu einer Haftung des CIO führen.

Weiterhin muss er generell für eine Umsetzung der IT-Sicherheit sorgen und effiziente Schutzmechanismen einrichten. Für SAP-Systeme beispielsweise die Härtung der Systeme, das Berechtigungskonzept, Absicherung der Netzwerkschnittstellen, Sicherheit der Custom-ABAP-Entwicklungen usw.

Bei einem Outsourcing der SAP-Systeme hingegen ist der CIO verpflichtet den Dienstleister bezüglich der Datensicherheit zu überwachen und zu kontrollieren.

Aufgrund der gestiegenen Anforderungen der IT-Sicherheit und dem ständig steigenden Bedrohungen (Spionage, Sabotage) muss ein CIO Risiken für die IT-Infrastruktur (und SAP-Systeme) sowie für das geistige Eigentum des Unternehmens frühzeitig erkennen können, um persönliche Haftungsrisiken ( auch Dritten gegenüber) ausschließen zu können.
Hierzu dient die Dokumentation seiner Managementsysteme und seine Berichte an das Top-Management. Zur Bewertung der aktuellen Sicherheit der unternehmenskritischen SAP-Systeme unterstützen den CIO automatisierte Prüfprogramme wie der Werth Auditor. Deren Prüfberichte dienen zugleich zur Dokumentation im Rahmen der Managementsysteme und dem Reporting des CIO an das Top-Management.

Dieser Beitrag stellt eine Zusammenfassung des Artikels Die Haftung des CIO und des IT-Sicherheitsbeauftragten dar.

Quizfrage: Was haben Passwortsicherheit und das 4-Augen-Prinzip mit schwedischen Gardinen gemeinsam?

Dieser Post dreht sich um eine wahre Begebenheit die am 27.01.2015 begann und am 15.03.2017 endete. Im Mittelpunkt stehe eine Mitarbeiterin einer Finanzbehörde die laut deren Vorgesetzten eine ausgewiesenen Fachfrau für Buchhaltungsfragen ist.
Zitat:

„Eine solche Mitarbeiterin wünscht man sich.“ [1]

Die Zutaten zu dieser Story aus dem Leben entstammen aus dem 1×1 der SAP- und IT-Sicherheit. In der Theorie unterliegen Passwörter gewissen Richtlinien zur sicheren Auswahl und sind geheim zu halten. Ebenso ist die Sicherheit und der ordnungsgemäße Betrieb unternehmenskritischer Systeme wie bei SAP-ERP-Systemen einzuhalten und nachzuweisen. Dies zu kontrollieren ist teilweise Aufgabe der Wirtschaftsprüfer sowie der internen Revision und des internen Kontrollsystems. In diesem Fall war es jedoch ein Gericht, dass über all dies urteilen durfte.

Besagte Mitarbeiterin arbeitete bei dem städtischen Service-Zentrum Kasse.Hamburg – die Sicherheitsvorgaben und -prüfungen der Behörde sind hier nicht weiter bekannt.

Die junge Frau konnte sich das Passwort Ihrer Kollegin beschaffen. Im Rahmen der Gerichtsverhandlung und der öffentlichen Berichterstattung wurde hierzu folgendes Bekannt:

Anfang 2015 hatte sich die damals 26-Jährige das Passwort ihrer Kollegin beschafft, das allerdings auch in fahrlässiger Weise offen zugänglich war, wofür es im Nachhinein auch eine Rüge gab. [2]

Mit den Zugangsdaten der Kollegin war die Mitarbeiterin in der Lage Bankdaten anzulegen und zu ändern sowie Zahlungen auszuführen. Ob hier das 4-Augen Prinzip verletzt wurde, lässt sich aus den öffentlichen Informationen nicht sicher ermitteln, jedenfalls wird deutlich darauf hingewiesen, dass erst der Zugang im Namen der Kollegin dies möglich machte:

Mit dem Passwort war die Angeklagte in der Lage, Gelder der Finanzbehörde auf ihr Privatkonto zu überweisen – ohne dass es sofort auffiel.[2]

Ob allein im Namen der Kollegin oder im Zusammenspiel mit Ihrem eigenen Zugang – im Weiteren hat die Mitarbeiterin Gelder der Behörde abgezweigt. Niemanden fielen die ungewöhnlichen Zahlungen oder die Mehrfachnutzung des Zugangs der Kollegin auf. Ein Dutzend Zahlungen zwischen 50€, 5000€ oder 6000€ sind auf diesem Weg erfolgt.

Erst bei einer Überweisung von 394.440 Euro ist jemand aufmerksam geworden. Dies nicht von der internen Revision oder durch einen Alarm des internen Kontrollsystems. Nein – es war ein Mitarbeiter der Sparkasse bei der die Behörde Ihre Konten führt. Dieser war alarmiert, da eine so hohe Überweisung auf ein Privatkonto führte und fragte entsprechend nach. Dies setzte die Ermittlungen in Gang, die letztlich zur Anklage führten. Zunächst gegen beide Mitarbeiterinnen, wobei sich der Passwortdiebstahl im weiteren Verlauf entlastend für die eigentlich unbeteiligte Mitarbeiterin auswirkte.

Zur Motivation der Innentäterin wurde nichts bekannt:

Das Motiv konnte oder wollte sie nicht nennen. [1]

Möglicherweise trifft hier einfach das Sprichwort „Gelegenheit macht Diebe“ zu und die Versuchung war zu groß – trotz eines guten Jobs bei der Behörde.

Das Gericht jedenfalls zeigte wenig Mitleid mit der Mutter von zwei kleinen Kindern und verordnete 2 Jahre und 10 Monate hinter schwedischen Gardinen.

Ein paar offene Fragen bleiben:

Ob ein besserer Sicherheitsstandard bei der Behörde die Mutter von zwei Kindern vor einem schwerwiegenden Fehler geschützt hätte?

Wieso schlug das interne Kontrollsystem nicht bereits bei den kleinen Beträgen an?

Wieso waren die Passwörter und Accounts nicht hinreichend geschützt, um einen mehrfachen Missbrauch zu verhindern?

Warum hatte der Zugang der Kollegin so eine weitreichende Berechtigungen?

Immerhin hat die Behörde nun eine spezielle Software angeschafft, um Betrug zu erkennen. Warum man jedoch die Anschaffung eines „Rauchmelder“ statt Maßnahmen „zur Verhinderung eines Feuers“ öffentlich hervorhebt  bleibt unbeantwortet…

Quellen:
[1]: https://www.ndr.de/nachrichten/hamburg/Ueber-zwei-Jahre-Haft-wegen-schwerer-Untreue,untreue164.html
[2]: https://www.welt.de/regionales/hamburg/article162875904/Als-sie-sich-395-000-Euro-ueberwies-flog-der-Betrug-auf.html