BSI: Allianz für Cybersicherheit veröffentlicht Leitfaden zur Erkennung und Abwehr von Risiken in SAP-ERP-Systemen

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde.

 

Der Leitfaden dient der Sensibilisierung von SAP-Verantwortlichen und zeigt oft übersehene Angriffsflächen in SAP-Systemen auf. Diese werden an Beispielen verständlich beschrieben. So wird das Gefährdungspotential von kritischen Berechtigungen, Standardzugangsdaten, der RFC-Schnittstelle und unverschlüsselter Kommunikation nachvollziehbar präsentiert. Zusätzlich wird beschrieben, wie man das eigene System schnell und einfach auf potentielle Risiken testen kann.

 

Das Dokument wird von dem Partnerunternehmen Werth IT zur Allianz für Cybersicherheit beigesteuert. Die Werth IT hat sich zum Ziel gesetzt, das Know-How der deutschen Wirtschaft zu schützen.

 

Bekannt ist die Werth IT für ihre preisgekrönte Software Werth Auditor. Die Lösung ermöglicht die schnelle und einfache Beurteilung der Sicherheit von SAP Systemen.
Der Werth Auditor gehört zu den technisch führenden Sicherheitslösungen und vereint als einzige umfassende Prüfungen, die sonst nur unter Einsatz verschiedener Programme möglich wären. Dies umfasst unter anderem die Analyse von Custom ABAP-Code unter verschiedenen Sicherheitsaspekten. Sowie die Prüfung des Systems über alle relevanten Schnittstellen auf technische Schwachstellen, Fehlkonfigurationen, kritische Berechtigungen, problematische Rechte-Kombinationen (SoD). Der Einsatz der Lösung erfordert dabei weder Änderungen an dem bestehenden SAP System noch die Installation zusätzlicher Server. Die intuitiv zu bedienende Lösung erlaubt somit die Identifikation, Priorisierung und Behebung von Risiken in SAP Systemen.

Die Haftungsfrage im Schadensfall mit Blick auf SAP-Systeme

Laut der Ponemon Institute – SAP Cybersecurity Studie haben 30% der befragten Teilnehmer Niemanden der sich um die Sicherheit der SAP-Systeme kümmert. Auf den weiteren Plätzen werden erst danach die IT-Basis und Security-Teams genannt.
Als Top-Verantwortlicher im Schadensfall sehen 30% Niemanden jedoch wird mit 26% der CIO an zweiter Stelle genannt.

Das wirft nun die Frage auf, wie die Verantwortung für die Sicherheit der SAP-Systeme wirklich aussieht und welche Rolle der CIO dabei spielt?

Dazu schaut man zunächst auf die Gesetzeslage in Deutschland.
Hier besteht die Rechtspflicht zur Gewährleistung einer effizienten IT-Sicherheit. Dies ergibt sich aus der geforderten Einrichtung, Dokumentation und Kontrolle eines aktuellen und effizienten Risikomanagementsystems. Fehlt dies, ist es unvollständig oder ungeeignet oder fehlt auch nur die Dokumentation so bestätigen diverse Gerichtsentscheide (Landgericht München I, Urteil vom 05.04.2007) hier schon einen erheblichen Gesetzesbruch.
Für einen CIO der zugleich auch Vorstand oder Geschäftsführer ist reicht so ein Fall bereits zur außerordentlichen Kündigung und für zivilrechtliche Haftungsansprüche aus.

Zusätzlich sind die viel zitierten Rechtsbestimmungen wie KonTraG, TransPuG, Sarbanes Oxley Act, EuroSOX, APAG, MO-REQ, Basel / Solvency, GoBD zu beachten. Diese fordern umgangssprachlich formuliert einen technisch sicheren Umgang mit Informationen.

In einem Schadensfall der auch wichtige Betriebsdaten betrifft bedeutet dies nun konkret für einen CIO, dass sich Haftungsrisiken nur durch den Nachweis des Einsatzes des jeweils aktuellen Stand der Technik und strikte Umsetzung von Kontroll- und Überwachungsmaßnahmen mindern lassen. Gerichtsurteile (OLG Hamm, 01.12.2003)hierzu verlangen eine zuverlässige IT-Sicherheit für Firmen- und Personendaten.
Die Haftung kann bei der Nutzung von Outsourcing-Angeboten nicht an den Dienstleister übertragen werden.

Der CIO hat somit präventiv und reaktiv bestandsgefährdende Risiken durch ein geeignetes Ma­na­ge­ment­sys­te­m für In­for­ma­ti­ons­si­cher­heit und Notfallmanagement zu gewährleisten. Kann ihm hier eine grob Fahrlässige Verletzung seiner Pflichten nachgewiesen werden, haftet er persönlich. Im Falle einer Vorstands oder Geschäftsführer Position ist die Beweislast sogar umgekehrt.

Datenschutz- und Datensicherheitsrechtliche Organisationspflichten liegen grundsätzlich beim CIO. Fehlende Kontrollmechanismen (wie Patchmanagement oder die sonstige Beseitigung von Sicherheitslücken) oder ein unzureichendes oder unvollständiges Datensicherheitskonzept können zu einer Haftung des CIO führen.

Weiterhin muss er generell für eine Umsetzung der IT-Sicherheit sorgen und effiziente Schutzmechanismen einrichten. Für SAP-Systeme beispielsweise die Härtung der Systeme, das Berechtigungskonzept, Absicherung der Netzwerkschnittstellen, Sicherheit der Custom-ABAP-Entwicklungen usw.

Bei einem Outsourcing der SAP-Systeme hingegen ist der CIO verpflichtet den Dienstleister bezüglich der Datensicherheit zu überwachen und zu kontrollieren.

Aufgrund der gestiegenen Anforderungen der IT-Sicherheit und dem ständig steigenden Bedrohungen (Spionage, Sabotage) muss ein CIO Risiken für die IT-Infrastruktur (und SAP-Systeme) sowie für das geistige Eigentum des Unternehmens frühzeitig erkennen können, um persönliche Haftungsrisiken ( auch Dritten gegenüber) ausschließen zu können.
Hierzu dient die Dokumentation seiner Managementsysteme und seine Berichte an das Top-Management. Zur Bewertung der aktuellen Sicherheit der unternehmenskritischen SAP-Systeme unterstützen den CIO automatisierte Prüfprogramme wie der Werth Auditor. Deren Prüfberichte dienen zugleich zur Dokumentation im Rahmen der Managementsysteme und dem Reporting des CIO an das Top-Management.

Dieser Beitrag stellt eine Zusammenfassung des Artikels Die Haftung des CIO und des IT-Sicherheitsbeauftragten dar.

Quizfrage: Was haben Passwortsicherheit und das 4-Augen-Prinzip mit schwedischen Gardinen gemeinsam?

Dieser Post dreht sich um eine wahre Begebenheit die am 27.01.2015 begann und am 15.03.2017 endete. Im Mittelpunkt stehe eine Mitarbeiterin einer Finanzbehörde die laut deren Vorgesetzten eine ausgewiesenen Fachfrau für Buchhaltungsfragen ist.
Zitat:

„Eine solche Mitarbeiterin wünscht man sich.“ [1]

Die Zutaten zu dieser Story aus dem Leben entstammen aus dem 1×1 der SAP- und IT-Sicherheit. In der Theorie unterliegen Passwörter gewissen Richtlinien zur sicheren Auswahl und sind geheim zu halten. Ebenso ist die Sicherheit und der ordnungsgemäße Betrieb unternehmenskritischer Systeme wie bei SAP-ERP-Systemen einzuhalten und nachzuweisen. Dies zu kontrollieren ist teilweise Aufgabe der Wirtschaftsprüfer sowie der internen Revision und des internen Kontrollsystems. In diesem Fall war es jedoch ein Gericht, dass über all dies urteilen durfte.

Besagte Mitarbeiterin arbeitete bei dem städtischen Service-Zentrum Kasse.Hamburg – die Sicherheitsvorgaben und -prüfungen der Behörde sind hier nicht weiter bekannt.

Die junge Frau konnte sich das Passwort Ihrer Kollegin beschaffen. Im Rahmen der Gerichtsverhandlung und der öffentlichen Berichterstattung wurde hierzu folgendes Bekannt:

Anfang 2015 hatte sich die damals 26-Jährige das Passwort ihrer Kollegin beschafft, das allerdings auch in fahrlässiger Weise offen zugänglich war, wofür es im Nachhinein auch eine Rüge gab. [2]

Mit den Zugangsdaten der Kollegin war die Mitarbeiterin in der Lage Bankdaten anzulegen und zu ändern sowie Zahlungen auszuführen. Ob hier das 4-Augen Prinzip verletzt wurde, lässt sich aus den öffentlichen Informationen nicht sicher ermitteln, jedenfalls wird deutlich darauf hingewiesen, dass erst der Zugang im Namen der Kollegin dies möglich machte:

Mit dem Passwort war die Angeklagte in der Lage, Gelder der Finanzbehörde auf ihr Privatkonto zu überweisen – ohne dass es sofort auffiel.[2]

Ob allein im Namen der Kollegin oder im Zusammenspiel mit Ihrem eigenen Zugang – im Weiteren hat die Mitarbeiterin Gelder der Behörde abgezweigt. Niemanden fielen die ungewöhnlichen Zahlungen oder die Mehrfachnutzung des Zugangs der Kollegin auf. Ein Dutzend Zahlungen zwischen 50€, 5000€ oder 6000€ sind auf diesem Weg erfolgt.

Erst bei einer Überweisung von 394.440 Euro ist jemand aufmerksam geworden. Dies nicht von der internen Revision oder durch einen Alarm des internen Kontrollsystems. Nein – es war ein Mitarbeiter der Sparkasse bei der die Behörde Ihre Konten führt. Dieser war alarmiert, da eine so hohe Überweisung auf ein Privatkonto führte und fragte entsprechend nach. Dies setzte die Ermittlungen in Gang, die letztlich zur Anklage führten. Zunächst gegen beide Mitarbeiterinnen, wobei sich der Passwortdiebstahl im weiteren Verlauf entlastend für die eigentlich unbeteiligte Mitarbeiterin auswirkte.

Zur Motivation der Innentäterin wurde nichts bekannt:

Das Motiv konnte oder wollte sie nicht nennen. [1]

Möglicherweise trifft hier einfach das Sprichwort „Gelegenheit macht Diebe“ zu und die Versuchung war zu groß – trotz eines guten Jobs bei der Behörde.

Das Gericht jedenfalls zeigte wenig Mitleid mit der Mutter von zwei kleinen Kindern und verordnete 2 Jahre und 10 Monate hinter schwedischen Gardinen.

Ein paar offene Fragen bleiben:

Ob ein besserer Sicherheitsstandard bei der Behörde die Mutter von zwei Kindern vor einem schwerwiegenden Fehler geschützt hätte?

Wieso schlug das interne Kontrollsystem nicht bereits bei den kleinen Beträgen an?

Wieso waren die Passwörter und Accounts nicht hinreichend geschützt, um einen mehrfachen Missbrauch zu verhindern?

Warum hatte der Zugang der Kollegin so eine weitreichende Berechtigungen?

Immerhin hat die Behörde nun eine spezielle Software angeschafft, um Betrug zu erkennen. Warum man jedoch die Anschaffung eines „Rauchmelder“ statt Maßnahmen „zur Verhinderung eines Feuers“ öffentlich hervorhebt  bleibt unbeantwortet…

Quellen:
[1]: https://www.ndr.de/nachrichten/hamburg/Ueber-zwei-Jahre-Haft-wegen-schwerer-Untreue,untreue164.html
[2]: https://www.welt.de/regionales/hamburg/article162875904/Als-sie-sich-395-000-Euro-ueberwies-flog-der-Betrug-auf.html

Zertifizierung von ERP-Systemen nach „Trusted ERP“

Wie alle IT-Systeme sollten auch SAP-Systeme einer regelmäßigen Sicherheitsuntersuchung unterzogen werden. In Zusammenarbeit mit der KonzeptAcht GmbH und der TÜV TRUST IT GmbH ist ein Zertifizierungsverfahren entstanden, mit dem Ihr SAP / ERP-System nach „Trusted ERP“ überprüft und zertifiziert wird. Mit dieser Zertifizierung, die aus einer technischen und organisatorischen Prüfung besteht, führen Sie einen unabhängigen Nachweis über ein dem „Stand der Technik“ entsprechendes Sicherheitsniveau.

Ihr Nutzen:

  • Unabhängige Überprüfung der SAP/ERP-Sicherheit
  • Zertifikat als objektiver Nachweis des Sicherheitsniveaus
  • Umfassender Ergebnisbericht inkl. Optimierungsmaßnahmen
  • Wirksamer Wettbewerbsvorteil und ein ideales Instrument zur Gewinnung neuer Kunden
  • Onlinestellung des Zertifikats auf der Webseite der TÜV TRUST IT
  • TÜV-Siegel zur Nutzung für Ihr Marketing

Sprechen Sie uns an!

Hochkarätiger Cyber-Sicherheitstag lockt Fachpublikum nach Kamen

Im Fokus des 18. Cyber-Sicherheitstages am 14.09.2017 in der Stadthalle Kamen steht die Sicherheit von SAP-ERP-Systemen. Im Gegensatz zu isolierten Software-Systemen, die einzelne Unternehmensbereiche abdecken, ist das Besondere an SAP-Systemen die umfassende Integration und zeitgleiche Verarbeitung sämtlicher betriebswirtschaftlicher, logistischer, Produkt- sowie Finanzdaten in einem integrierten System. Änderungen in Einzelbereichen können zu „Dominoeffekten“ in sämtlichen verbundenen Daten und Prozessen führen – und stellen damit ein hochinteressantes Angriffsziel für
Cyberangriffe dar. In einem Bereich „gehackt“, wird der Zugriff auf sämtliche verbundene Unternehmensdaten möglich und kann zu gravierenden wirtschaftlichen Schäden führen.
So wurden bei einem spektakulären Cyberangriff in den USA einem Dienstleister gleich mehr als 27.000 Datensätze zu US-Regierungsangestellten aus einem SAP-System gestohlen. Die US-Regierung kündigte daraufhin dem Dienstleister, der als Folge in die Insolvenz gehen musste.

Am kommenden Cyber-Sicherheitstag wird ein breites Spektrum zur SAP-Sicherheit angesprochen: Testangriffe auf eigene Systeme, Cyber-Angriffe auf
Produktionssteuerungsanlagen – wie der Cyber-Angriff auf iranische Atomanlagen-, Angriffe auf Smartphones sowie das Trend-Thema Cyberversicherung. Renommierte Experten, u.a. von CISCO, SAP und TÜV Rheinland stellen im Rahmen der kommenden Veranstaltung Lösungsansätze zum Schutz gegen Cyberangriffe vor. Raum wird auch
den Fragen der Teilnehmer gegeben.

Dem Geschäftsführer der Werth IT GmbH, Thomas Werth, gelang es damit, das Expertenforum des BSI (Bundesamt für Sicherheit) nach Kamen zu holen.
Die Werth IT GmbH, angesiedelt im Gründerzentrum Kamen, wurde bereits 2014 auf der Cebit vom BMWi mit dem Sonderpreis für „IT-Sicherheit im Unternehmen“ ausgezeichnet und hat sich inzwischen als führender Lösungsanbieter für SAP-Sicherheit etabliert.
Inzwischen hat sie auch gemeinsam mit dem TÜV ein „Trusted ERP Zertifikat“ entwickelt, mit dem Unternehmen die technische und organisatorische Sicherheit ihres SAP-Systems durch einen Audit nachweisen können. Zudem freut sich die Werth IT über die erfolgreiche Anbindung ihrer Software „werthAUDITOR“ an das SAP „Enterprise Thread
Detection“ System zur Echtzeiterkennung von Cyberangriffen.

Top-Themen und professionelle Referenten versprechen eine hochkarätige Veranstaltung, die insbesondere SAP-Entscheider nicht verpassen sollten.

 

Titel: 18. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit

Termin: 14. September 2017
ab 9:00 Uhr Registrierung
ab 17:15 Networking

Veranstaltungsort: Stadthalle Kamen, Rathausplatz 2
59174 Kamen

Anmeldung erforderlich: bis 08.09.2017

Teilnehmeranzahl: begrenzt

Teilnahme: kostenfrei

Webseite: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Termine/ACS/DE/20170914_Teilnehmertag-18.html

Prüfung des Berechtigungskonzept – Kontrolle der Rechtetrennung (SOD)

Die Rechtetrennung in SAP-Systemen ist ein wichtiger Sicherheitsaspekt, der bei der Vergabe von Berechtigungen berücksichtigt werden muss.

Eben jene Funktionstrennung dient zur konkreten Vorbeugung gegen kostspielige Risiken in den Gehehmigungsprozessen.

 

Ein einfaches Beispiel veranschaulicht die Aufgabe der Rechtetrennung in SAP Systemen:

Ein Benutzer, der Lieferanten anlegen und gleichzeitig Zahlungen an diese durchführen kann, hätte die Möglichkeit Finanzmittel zu unterschlagen. Hierzu muss er lediglich einen fiktiven Lieferanten anlegen und Zahlungen an diesen ausführen.

 

Es liegt natürlich im Eigeninteresse eines Unternehmens, dass die Genehmigungsprozesse eingehalten werden und sicher sind.

Wirtschaftsprüfern hingegen obliegt die Aufgabe der Kontrolle, dass die vergebenen Berechtigungen die Grundsätze der ordnungsgemäßen EDV-gestützten Buchführungssysteme einhalten.

 

Die Menge an Berechtigungen und Rollen, die in einem produktiven SAP-System erstellt und eingesetzt werden, erschwert allerdings die Kontrolle wie auch die konkrete Einhaltung der Funktionstrennung.  Auch der Überblick ist generell schwierig zu wahren.

Die Benutzer- und Rechtepflege ist ein sehr lebendiger Prozess. Schnell wird einem Benutzer eine weitere Rolle hinzugefügt, die im Zusammenhang mit den bestehenden Berechtigungen einen kritische Berechtigungskombination ergibt.

Dies gilt es in alle Bereichen (BC, CS, LE, PP, FI, SD, MM) mit den jeweils individuellen Vorgaben zu beachten. Zusätzlich gilt es ebenfalls kritische Berechtigungen zu erfassen. Beispielsweise sollte klar definiert sein, wer Benutzer anlegen darf und die Berechtigung nur restriktiv vergeben werden.

 

Der Aufwand zur Kontrolle des Berechtigungskonzepts in SAP Systemen addiert sich so schnell auf mehrere Hundert Tests. Doch jeder einzelne Test ist notwendig, um die Einhaltung der GoB Anforderungen zu kontrollieren. Ohne eine automatisierte Software-Lösung ist der Zeitaufwand für diese Aufgabe immens.

 

Hier unterstützt Sie der Werth Auditor mit seinen umfassenden Tests und hilft Ihnen schnell einen Überblick der Benutzer mit kritischen Berechtigungen und Berechtigungskombinationen zu erhalten und kritische Kombinationen sofort zu erkennen. Eine regelmäßige Überprüfung der Berechtigungen sorgt dafür, dass die vorgesehenen Genehmigungsprozesse nicht unterlaufen werden können.
Nutzen Sie jetzt die Möglichkeit zur automatischen und gründlichen Prüfung der Genehmigungsprozesse in SAP Systemen mit dem Werth Auditor.

Erkennung von Angriffen auf SAP Systeme durch Analyse des SAP Security-Audit-Logs

Das SAP Security-Audit-Log ist ein wesentlicher Bestandteil zur Überwachung der Sicherheit eines SAP Systems. Denn es bietet Monitoring und Kontrollfunktionen, um zu prüfen welche sicherheitskritischen Aktivitäten in der Vergangenheit auf dem System vorgefallen sind.

 

Das Audit-Log wird in der SAP Hilfe wie folgt beschrieben:

Das Security-Audit-Log ist ein Werkzeug für Auditoren, die sich die Ereignisse im SAP-System detailliert ansehen müssen. Wenn Sie das Security-Audit-Log aktivieren, zeichnen Sie die Aktionen auf, die Sie für die Verfolgung als relevant einstufen. Sie können dann in Form eines Audit-Analysereports auf diese Informationen zugreifen und sie auswerten.

Oberstes Ziel des Audit-Log ist die Aufzeichnung von:

  • sicherheitsbezogenen Änderungen an der SAP-Systemumgebung (z. B. Änderungen an Benutzerstammsätzen)
  • Informationen, die mehr Transparenz bieten (z. B. erfolgreiche und erfolglose Anmeldeversuche)
  • Informationen, die der Nachvollziehbarkeit einer Reihe von Ereignissen dienen (z. B. erfolgreiche oder erfolglose Transaktionsstarts)

Ist das Audit-Log aktiviert, bietet es eine Kontrolle der protokollierten Ereignisse und somit einen guten Einblick in die Sicherheitslage des Systems.

 

So kann rückblickend festgestellt werden, wann welcher User, welche Berechtigungen oder Profil angelegt wurden.

Auch lässt sich feststellen wer Änderungen an der Audit-Log Konfiguration durchgeführt hat. Im Falle einer Aufarbeitung eines möglicherweise sicherheitsrelevanten Vorfalls sind dies wichtige Informationen.

Doch eine Analyse des Audit-Logs ermöglich es ebenso verdächtige Aktivitäten und Spuren von Angriffen zu erkennen. So wird detailliert protokolliert wann und von wo sich Standard-User wie SAP* eingeloggt haben. Ebenso lassen sich Passwort-Rate Angriffe anhandgescheiterter Logins erkennen.

Auch die RFC-Schnitstelle wird gründlich überwacht. Da diese oftmals ein El-Dorado für Angreifer ist, sollte man auf diese Log-Einträge besonders gründlich schauen.

Insbesondere gilt es heraus zu arbeiten ob kritische RFC-Funktionen aufgerufen wurden oder dies versucht wurde.

Beispielsweise könnte ein (gescheiterter) Aufruf der Funktion RFC_READ_TABLE für den (versuchten) Abfluss von sensiblen Daten stehen. Doch auch nach Funktionen, die (unfreiwillig) die Ausführung von Systembefehlen oder Datenbankabfragen erlauben ist zu suchen.

Auch erfolgreiche oder fehlgeschlagene RFC-Logins geben Aufschluss über mögliche Passwort-Rate-Angriffe.

Sicher sollte eine Anmeldung eines Standardbenutzers wie EARLYWATCH von einem Benutzer-Terminal aus den Argwohn eines Auditors erwecken.

Genauso wie eine Häufung von fehlgeschlagenen Transaktionsaufrufen eines Benutzers, insbesondere wenn es sich hierbei um kritische Transaktionen mit Möglichkeiten zur Rechteausweitung handelt.

 

Mit einer wie zuvor beschriebenen Analyse des Audit-Logs kann man somit beurteilen, ob das System in der Vergangenheit potentiellen Angriffen ausgesetzt war. Weiterhin hat man so auf einen Blick eine Übersicht über alle sicherheitsrelevanten Vorkommnisse auf dem System und kann Turnusmäßig den Status kontrollieren.

 

Aufgrund der vielen Einträge in dem Security-Audit-Log ist eine Automatisierung der Auswertung absolut empfehlenswert. Der Werth Auditor unterstützt Sie hierbei vollständig und hilft Ihnen damit direkt bei der Überwachung Ihres SAP Systems.
Prüfen Sie regelmäßig Ihr Audit-Log und bei Verdachtsfällen kontrollieren Sie das Audit-Log für den relevanten Zeitraum auf die hier beschriebenen kritischen Einträge.

Prüfung der Sicherheit von SAP Systemen – umfassendes Risikomanagement

SAP Systeme sehen sich wachsenden Cyber-Gefahren [12] gegenüber. Die Notwendigkeit einer Prüfung der Sicherheit von SAP Systemen wird täglich akuter. Aufgrund des vorherrschenden Fachkräftemangels ist jedoch bereits die Auswahl des “richtigen” Audits oder Anbieter eine Herausforderung für sich.
Dabei lassen sich die Anforderungen an einen Audit schnell zusammen fassen:

  • Der Audit muss von höchster Qualität sein. Er muss zuverlässige und reproduzierbare Ergebnisse liefern.
  • Als Ergebnis ist eine Zusammenfassung für die Leitungsebene vorzulegen sowie ein Bericht für die Systemverantwortlichen inklusive Risikobewertung und Lösungswege.
  • Die Ausführung des Audits darf keine Änderungen an dem System erfordern.
  • Der Audit muss alle relevanten Bereiche abdecken und darf keine blinden Flecken besitzen! Es dürfen keine ungeprüften Bereiche zugelassen werden, die einem Angreifer als Hintertür den Einstieg in das System erlauben.

Welche Tests hat ein umfassender SAP Audit konkret zu beinhalten?

  1. Prüfung der Einzelberechtigungen und Berechtigungskombinationen
    Die regelmäßige Prüfung der Berechtigungen ist sicherlich ein wesentlicher Aspekt der SAP Sicherheit. Sie dient der Aufdeckung von kritischen Einzelberechtigungen oder Berechtigungskombinationen. Beispielsweise könnte ein Mitarbeiter der Lieferanten anlegen/pflegen darf und gleichzeitig Rechnungen anlegen/pflegen darf, einen fiktiven Lieferanten anlegen und eine Rechnung erzeugen, die im automatischen Durchlauf beglichen wird. Somit könnten unautorisierte Zahlungen veranlasst werden. Die Kontrolle der Berechtigungen dient somit dem Schutz vor Betrug durch legitime Benutzer, den so genannten Insider-Angriffen. Hier ist eine umfassende Prüfung des Systems erforderlich, die auch den Anforderungen einer Wirtschaftsprüfung gerecht wird.
  2. Prüfung der System-Konfiguration
    Elementare Einstellung der Systemsicherheit erfolgen in der System-Konfiguration. Hierzu gehören die Passwort-Richtlinien, die Einstellungen des Audit-Logs, die Verschlüsselung der Kommunikation oder auch die Absicherung der Gateway-Schnittstelle.
    Sichere Einstellungen in der System-Konfiguration mindern Risiken wie Passwort-Angriffe auf existierende Benutzer. Ebenso erlaubt ein aktives Audit-Log die Erkennung und Verfolgung von Angriffen und “Ungereimtheiten” im System. Generell mindert eine sichere Konfiguration die Risiken von ungewollten System- und Datenzugriffen.
  3. Prüfung der System-Schnittstellen auf technische Schwachstellen
    Über technische Schwachstellen kann ein Angreifer Zugriff auf das System oder seine Daten ganz ohne Zugangsdaten erhalten. Auch kann es möglich sein die Rechte eines vorhandenen Benutzers auszuweiten, um Zugriff auf das System zu erhalten.
    Die Erstellung eines Benutzers mit SAP_ALL Rechten oder die Zuweisung dieser Rechte an einen vorhandenen Benutzer sind typische Auswirkungen eines solchen Angriffs. Ebenso kann auf diesem Weg ein vollständiges Auslesen der Datenbank erfolgen.
    Um diese Risiken zu mindern sollten regelmäßig die Sicherheits-Updates eingespielt und das System auditiert werden . Dabei sind auch die im Netzwerk erreichbaren Schnittstellen (Msg-Server, J2EE, RFC, Gateway, Sap Start, Sap Host Control, Datenbank) unbedingt zu prüfen. Eine reine Prüfung des Systems von Innen ist nicht ausreichend, da wesentliche Angriffspunkte dann nicht geprüft werden können.
  4. Prüfung der Custom ABAP Programme
    Der SAP Standard wird in fast jeder Installation mit eigenen ABAP Programmen ergänzt, um den internen Ablauf im Unternehmen zu optimieren. Diese hinzugewonnene Funktionalität und Prozess-Optimierung kann jedoch auch Auswirkung auf die Sicherheit des Systems und seiner Daten haben. Fehlende Berechtigungsprüfungen können Benutzern unberechtigten Zugriff auf Daten gewähren. Damit kann das Prinzip der Rechtetrennung verletzt werden und die Einhaltung von Compliance-Vorgaben wie SOX ist nicht mehr gewährleistet. Es können sich auch weitere Risiken ergeben wie die Umgehung der Mandatentrennung oder Hintertüren in den Code eingebaut werden.
    Daher gehört zu einem umfassenden Audit auch die Prüfung der ABAP-Eigenentwicklungen auf potentielle Schwachstellen.

 

Für eine vollständige und aussagekräftige Prüfung der Sicherheit von SAP Systemen sind somit alle vier genannten Bereiche zu betrachten. Nur eine Berücksichtigung aller sicherheitsrelevanten Aspekte kann eine umfassende Messung der Sicherheit des System leisten. Andernfalls besteht die Gefahr Sicherheitsrisiken für das System zu übersehen und einen falschen Eindruck der Systemsicherheit zu erhalten.
Prüfen Sie jetzt die Sicherheit Ihrer SAP Systeme!
Profitieren Sie von den vielen Vorteilen einer automatisierten Sicherheitsprüfung Ihrer (Kunden-)Systeme .

SAP-Mobile-Security

SAP ist dem Trend gefolgt Business Daten mobil verfügbar zu machen, allgemein ist dies unter dem Begriff SAP Mobile bekannt. Hier ist offensichtlich ein neuer Trend gestartet.
Doch wie sieht es mit der Sicherheit auf diesem Gebiet aus? Welche Risiken existieren hier und wie behandelt man diese?

Zunächst ist zu klären was genau ist eigentlich SAP Mobile?
Meistens wird in diesem Kontext SAP Fiori (Übersicht) und SAP Mobile Platform (SMP) verwendet.
SAP Fiori sind SAP-Anwendungen auf HTML5 Basis, welche mittels responsive Design „passend“ auf dem mobilen Endgerät dargestellt werden.

SMP erlaubt die Entwicklung mobiler Anwendungen für eine Vielzahl an unterstützten Geräten. Das SDK erlaubt die Kommunikation mit den SAP Mobile Diensten von SAP.

SAP UI5 und SAP Fiori mausern sich zur neuen Oberfläche von SAP und haben das Potential die SAP GUI langfristig abzulösen. So bietet Fiori Apps für die meisten SAP-Funktionen und kann von allen Endgeräten genutzt werden.
Selbst die Kommunikation mit dem NetWeaver Gateway ist problemlos möglich .

Doch auch SMP hat seine Alleinstellungsmerkmale. So erlaubt das SDK die Kommunikation mit dem Mobile Dienst und kann zur Kommunikation mit ERP, CRM, SCM und SRM Systemen verwendet werden. Ebenso kann das NetWeaver Gateway genutzt werden, um Daten zwischen dem System und den mobilen Endgeräten auszutauschen. Zusätzlich wird Afaria angeboten, um die mobilen Geräte sicher zu verwalten.

Wo lauern die Gefahren und wie werden diese minimiert?
Der Schlüssel zum Erfolg lieget in der sicheren Entwicklung der mobilen Anwendungen.
Dies fängt bei der Authentifizierung an.
Einige Apps nutzen anonyme Verbindungen ohne Zugangsdaten, diese werden dann meist einen generischen Benutzer im SAP-System zugeordnet. Damit kann Jeder einen solchen Zugriff verwenden und verfügt über die Rechte des generischen Benutzer.

Häufig wird die Verwendung einer HTTP Basic Authentifizerung bei den Apps gesehen. Doch hier muss man beachten, dass das Password lediglich Base 64 encodiert wird und ohne eine sichere HTTPS-Verbindung problemlos abgefangen und decodiert werden kann.

Sicherer ist da schon die Nutzung eines Token (SAP Single Sign-On) zur Anmeldung. Doch auch hier empfiehlt es sich nicht auf eine HTTPS-Verbindung zu verzichten, da ein findiger Angreifer möglicherweise auch ein im Klartext übermitteltes Token attackieren kann.

Eine Zertifikat basierte Authentifizierung stellt den sichersten Weg dar. Dies wird jedoch nur sehr selten verwendet, da die Umsetzung wesentlich komplexer ist. Man benötigt Client- und Server-Zertifikat. Eine passgenaue Zertifikatsprüfung und die richtige Konfiguration im Server.

Hat man die Hürde der sicheren Anmeldung gemeistert, ist fortan eine sichere Kommunikation zu verwenden.
Der häufigste Weg ist die Nutzung einer HTTPS-Verbindung mit Zertifikatsprüfung. Alternativ kann man auch ein VPN nutzen.
Wichtig ist jede Anfrage und Antwort auf diesem Weg zu senden. Selbst-Signierte Zertifikate zerstören die Sicherheit einer HTTPS-Verbindung, da diese nicht verifiziert werden können (ohne das Stammzertifikat eigenhändig in den Trusted Sec Store einzubinden) und somit bekannte Spoofing-Angriffe ermöglichen.
Die sichere Kommunikation erfordert jedoch nicht nur Augenmerk bei der App-Entwicklung, sondern auch im späteren Betrieb. Insbesondere SSL war zuletzt häufig wegen Sicherheitsproblemen in der Presse (HeartbleedFREAKLOGJam). Hier muss man immer Up2Date bleiben!

Letztlich ist noch die sichere Datenspeicherung zu beachten. Sind die Daten erst einmal sicher auf dem mobilen Endgerät angekommen, müssen diese dort auch sicher verwahrt werden.
Grundlegend sollten die Daten verschlüsselt werden, dabei sollte auf Standards zurückgegriffen werden und keine eigene Verschlüsselung erfunden werden.
So bietet das Kapsel Plugin für Apache Cordova ein EncryptedStorage zur sicheren Speicherung der Daten.
Ebenfalls ist der Schlüssel dafür nicht fest in die App zu codieren. Hier kann beispielsweise SAP ClientHub verwendet werden.

Sind die Richtlinien zur sicheren Entwicklung definiert gilt es zusätzlich noch die genutzten Komponenten (SAP Mobile Platform, SAP Afaria, Apache Cordova, …) aktuell zu halten und regelmäßig die Security Updates einzuspielen.

 

Beachtet man diese Punkte kann man das Risiko mobiler SAP-Zugriffe deutlich mindern.

Die Lehren aus den WannaCry-Reaktionen

Weltweit sorgt die WannaCry Ransomware für Aufsehen.  Zum Stand am 15.05.2017 sind nahezu 200.000 Systeme in mehr als 150 Ländern infiziert:

WannaCry worldwide infections

(WannaCry Infections)

WannaCry besteht aus 2 Komponenten

Im Kern besteht diese Malware aus zwei Komponenten. Der eigentliche Angriff oder Büchsenöffner ist ein EternalBlue genannter Angriff. Dieser bislang unbekannte Angriffsweg stammt aus dem Arsenal der NSA und wurde von der Gruppe Shadow Brokers am 14. April 2017 veröffentlicht. Mit diesem Angriff kann man die Kontrolle über ein Computersystem erlangen.

Hier kommt bei WannaCry dann die zweite Komponente ins Spiel. Dies ist eine typische Ransomware die Daten auf dem PC verschlüsselt. Die zweite Komponente wird ausgeführt nachdem der Angriff über den ersten Teil erfolgreich war und der Angreifer die Kontrolle über das System erreicht hat.

Mit der Geiselnahme der Daten und des Systems wird der Angriff dann für betroffene erst sichtbar.

Killswitch?

Zwischenzeitlich gab es ein kurzes Aufatmen, da ein Sicherheitsforscher einen Killswitch im Code von WannaCry gefunden hatte. Hier handelt es sich um Programmcode der prüft ob eine bestimmte Internetadresse (www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) erreichbar ist und falls dem so ist, sämtliche Programmaktivitäten sofort beendet. Es folgt keine weitere Verbreitung oder Schadcodeausführung. Ein Sicherheitsforscher hat die entsprechende Internetadresse aktiviert und man hoffte die Ausbreitung zu stoppen.

Allerdings gibt es hier wenig Grund zur Entwarnung, denn es wurden weitere Varianten gefunden, die andere Internetadressen abfragen und es wurden Varianten gefunden, die gar keinen Killswitch enthalten.

Zudem zeigt eine Analyse von Didier Stevens, dass der Killswitch nicht hinter Internet-Proxys funktioniert – so wie dies in Unternehmen verwendet wird.

Der weitere Ausblick

Es ist klar mit weiteren Infektionen zu rechnen. Dies hat zwei Gründe:

  1. Der Killswitch funktioniert nicht wie erwartet
  2. Die Infektion ist bisher über das Wochenende gestartet, heute beginnt die Arbeitswoche und zahlreiche IT-Systeme von Unternehmen gehen Online und werden als Ziele verfügbar.
  3. *Update 23.05.2017* Eine neuer Wurm „EternalRocks“ ist inzwischen entdeckt worden. Er nutzt noch weitere Angriffswege aus dem NSA-Archive und versucht möglichst unerkannt auf den infizierten System vorzugehen.

Gegenmaßnahmen

Die Übernahme des Opfersystems erfolgt mit der ersten Komponente der Malware. Gelingt dieser Schritt nicht, kann der Virus das System nicht befallen. Daher ist der wichtigste Schutz, diese Lücke mit dem dazugehörigen Patch MS17-010 zu schließen. Das ganze wirkt wie eine Impfung für den Computer, danach ist er Resistent gegen den Virus und kann nicht mehr befallen werden.

Aufgrund der Kritikalität des Angriffs hat Microsoft auch Notfallpatches für eigentlich nicht mehr versorgte Systeme wie Windows XP, Vista oder 8 veröffentlicht.

Anmerkungen

Sieht man sich die Fakten zu der Epidemie an fallen mir folgende Punkte auf:

  1. Der wichtigste Baustein in der IT-Sicherheit ist das Patchmanagement.
  2. Dies wird jedoch offensichtlich nicht konsequent überall umgesetzt.
  3. Betroffene, Medien und Anwender reagieren nur auf offensichtliche Angriffe wie im Fall WannaCry.
    Die ersten Angriffe mit dem NSA-Exploit EternalBlue erfolgten direkt nach Veröffentlichung und Kriminelle haben so binnen einer Woche bereits ca. 40.000 Systeme unter Ihre Kontrolle gebracht. Dies jedoch im Geheimen und ohne offensichtliche Meldung an die betroffenen.
    Es darf sich jeder die Frage stellen was kritischer ist: Das System als Geisel mit 300$ bis 600$ Lösegeld oder das System unter Kontrolle eines versierten Hackers …
    Erschreckend ist, dass aufgrund der fehlenden Sensibilität für Cyberbedrohungen nahezu keine Reaktion auf die ersten Angriffe erfolgte, sonst wäre der „Erfolg“ von WannaCry gar nicht möglich gewesen.

Auswirkung auf SAP-Systeme

Wer jetzt denkt, SAP-Systeme sind davon nicht betroffen, sollte folgende Fakten prüfen:

  1. Windows Server 2003, 2008, usw. dienen durchaus als Basis für manche SAP-Systeme.
  2. Die Möglichkeit der Übernahme solcher Systeme durch Angreifer hat WannaCry höchst aktuell und eindrucksvoll unter Beweis gestellt.
  3. Der Zugriff aus der Windows-Ebene auf die SAP- und Datenbankebene ist mit wenig Aufwand möglich.
  4. Die Geiselnahme des Systems mitsamt SAP und Datenbank ist ebenfalls möglich. Vielleicht sind unter den befallenen WannaCry-Systemen bereits SAP-Systeme.
  5. Ein fehlender Patch auf vielen Systemen war die Ursache für diese Virus-Epidemie. Für SAP-Systeme gibt es ebenfalls zahlreiche Patches. Auch solche, die wie bei EternalBlue, Angriffe aus der Entfernung zulassen.

Die Frage ist: Werden bei SAP-Systemen die Patches schneller eingespielt als bei Windows?

Ein funktionierendes Patchmanagement ist eine elementare Säule der IT-Sicherheit. Die Kontrolle und Wirksamkeitsprüfung von IT-Sicherheitsmaßnahmen gehört zu dem gesetzlichen Risikomanagement. Bei der Überwachung von Systemen und Einhaltung der gesetzlichen Anforderungen aus dem Risikomanagement unterstützt unsere Lösung WerthAUDITOR mit seinem vollautomatischen Security Monitoring.

Der WerthAUDITOR schützt bereits lange vor der Veröffentlichung von EternalBlue am 14. April 2017 unsere Kunden auch vor dieser Schwachstelle.