Das Jahr 2014 hat gezeigt, dass SAP-Systeme verstärkt in das Visier von Cyberangriffen geraten sind. Dies belegen unter anderem die Angriffe auf die AAI und NVIDIA . Eine Zunahme solcher Angriffe ist auch nicht verwunderlich, da in den SAP-Systemen die digitalen Kronjuwelen eines Unternehmens lagern. Vielmehr war es nur eine Frage der Zeit wann SAP-Systeme gezielt angegriffen werden. 2014 ist daher eindeutig als Stunde 0 der SAP-Sicherheit zu kennzeichnen. Ab sofort ist die Sicherheit von SAP-Systemen ein Muss zum Schutz der dort gelagerten Daten.
Im wesentlichen forcieren zwei Faktoren die Notwendigkeit von SAP-Sicherheit:
- Die Vernetzung der SAP-Systeme nimmt drastisch zu.
Die Systeme sind aus dem kompletten Intranet erreichbar, zusätzlich auch verstärkt aus dem Internet (Portalserver) und natürlich mittels mobilen Endgeräten. Der Trend „Cloud“ wird die globale Erreichbarkeit noch deutlich verstärken. - Die SAP-Systeme „nur“ im Intranet zu betreiben bietet keinen ausreichenden Schutz vor externen Angriffen.
Moderne Spionage- und Schadprogramme ermöglichen externen Angreifern direkten Zugriff auf das Intranet. Zum Einen belegen dies die Veröffentlichungen rund um die Tools der NSA, zum Anderen gibt es konkrete Beispiele für entsprechende Angriffe auf ERP-Systeme. Exemplarisch sei hier auf den Windows-Trojaner zur Ausspähung von SAP-Systemen und Zugangsdaten sowie dem Angriff via manipulierte Handscanner auf ERP-Systeme verwiesen.
Glücklicherweise verbessern sich die Bordmittel zur Härtung von SAP-Systemen zusehends. Leider steigt damit auch die Komplexität zur Bedienung der angebotenen Hilfsmittel. Daher ist es absolut notwendig die errichteten digitalen Schutzwälle und Sicherheitsmaßnahmen des SAP-Systems auf korrekte und „wie vorgesehene“ Funktion und Wirkung zu prüfen.
Zur Verdeutlichung soll ein reales Beispiel aus der Praxis dienen:
Ein Audit bei einem Großunternehmen sollte durchgeführt werden. Das Thema SAP-Sicherheit hatte in dem Unternehmen bereits seinen Stellenwert. So werden die SAP-Systeme regelmäßig durch eine Prüfgesellschaft aus dem Kreis der Big-Four kontrolliert und zertifiziert. Zusätzliche Tools zur Steigerung der Sicherheit sind ebenfalls im Einsatz. Das Ziel des Audits war somit die Wirksamkeit der ergriffenen Maßnahmen zu belegen.
Die Ergebnisse waren jedoch alarmierend: Schwerwiegende Sicherheitslücken konnten identifiziert werden.
Wie konnte dies geschehen obwohl doch aktiv die Sicherheit der Systeme forciert wurde?
Die Antwort ist erschreckend simpel: Nur eine vollständige Prüfung der Sicherheit des Systems kann zur korrekten Bewertung ohne „blinde Flecken“ führen. Ein Unternehmen muss demnach wissen wie ein umfassendes Risikomanagement aussieht und entsprechend selbst die Systeme prüfen oder einen Dienstleister auswählen, der in der Lage ist eine solch umfassende Prüfung korrekt durchzuführen. Zusätzlich ist es empfehlenswert die Log-Dateien der Systeme regelmäßig nach forensichen Gesichtspunkten auf Angriffsspuren zu untersuchen.
Fazit:
Die Bedrohung der Daten und SAP-Systeme selbst hat deutlich zugenommen. Zum Schutz der digitalen Kronjuwelen wird die Härtung der SAP-Systeme und die Prüfung deren Wirksamkeit dringend empfohlen. Ein Berechtigungskonzept oder der „reine Betrieb im Intranet“ sind allein keine ausreichenden Schutzmaßnahmen mehr. Eine automatisierte Lösung, die zuverlässig alle sicherheitsrelevanten Bereiche überprüft und in kurzer Zeit den Systemstatus ermittelt, bietet sich für diese Aufgabe an.