Erfahrungsbericht SAP-Security-Audit und Kundenbewertung

Oftmals fragen sich Unternehmen welche Erfahrungen andere Unternehmen mit dem Thema SAP-Security-Audit gemacht haben. Dabei stehen meist die nachfolgenden Fragen im Vordergrund:

  • Gab es Komplikationen?
  • Welcher Nutzen ist entstanden?
  • Wie Aufwändig ist ein solches Projekt?
  • Wie geht es danach weiter?

Es gibt sehr wenige öffentliche Erfahrungsberichte von Unternehmen, die anderen Unternehmen Einblick in SAP-Security-Audits geben können. Daher möchte ich mit freundlicher Genehmigung der Queisser Pharma GmbH an dieser Stelle einen Erfahrungsbericht publizieren:

Erfahrungsbericht von Queisser Pharma GmbH & Co. KG mit dem von der OSC AG durchgeführten SAP Security-Audit

Da das Thema Sicherheit für Unternehmen essentiell und überlebenswichtig ist, lassen wir zurzeit unsere Systeme von externen Partnern auf mögliche Sicherheitslücken überprüfen. Es ist von Vorteil, die eigenen Anstrengungen bzgl. Sicherheit auch mal extern begutachten zu lassen.

Nachdem wir letztes Jahr einen Penetration-Test durchführen ließen, haben wir uns als nächstes entschlossen, unser SAP System von OSC mit dem WerthAUDITOR prüfen zu lassen.

Mit der Software wurden bei uns 660 Einzeltests durchgeführt. Hierbei ging es unter anderem um die Berechtigungen, die Datenbank, die Schnittstellen, die relevanten Themen bzgl. Wirtschaftsprüfung, kritischen ABAP-Code etc..

In der ersten Kurzübersicht konnte man sich sehr schnell einen ersten Überblick verschaffen. In einem Workshop mit OSC haben wir uns dann die Details angesehen und die erforderlichen Maßnahmen besprochen. Auf dieser Grundlage haben wir die erforderlichen Aufgaben aufgeteilt, in Punkte die wir selber durchführen können und in Maßnahmen, die wir von OSC durchführen lassen.

Durch das Security-Audit haben wir nun einen klaren Leitfaden, wie wir unser SAP System noch sicherer machen können.

Positiv überrascht hatte uns, dass wir nahezu keinen eigenen Aufwand bei der Durchführung der Tests hatten. Die breite Palette an verschiedenen Tests hat uns sehr gefallen.

Da die Tests selber ohne großen Aufwand für uns durchgeführt werden konnten und wir bei den erforderlichen Maßnahmen das Tempo je nach eigener Auslastung selber bestimmen können, ist solch ein Test jederzeit durchführbar. Wir sind sehr zufrieden mit dem Security-Audit und können es jedem empfehlen.

Als Essenz aus dem Erfahrungsbericht lässt sich folgendes  festhalten:

  • Das Thema Sicherheit ist für Unternehmen essentiell und überlebenswichtig.
  • Es ist von Vorteil die Sicherheit auch mal extern begutachten zu lassen.
  • Der Prüfungsumfang muss umfassend sein: Berechtigungen, die Datenbank, die Schnittstellen, die relevanten Themen bzgl. Wirtschaftsprüfung, kritischen ABAP-Code etc..
  • Die Kurzübersicht liefert sehr schnell einen ersten Überblick, Maßnahmen lassen sich leicht ableiten.
  • Der Security-Audit haben gibt einen klaren Leitfaden, wie das SAP System noch sicherer wird.
  • Es gibt nahezu keinen eigenen Aufwand für den Kunden bei der Durchführung der Tests.
  • Der Test ist jederzeit durchführbar und es gibt eine klare Weiterempfehlung.

Jetzt informieren: SAP Audit

Erkennung von Angriffen auf SAP Systeme durch Analyse des SAP Security-Audit-Logs

Das SAP Security-Audit-Log ist ein wesentlicher Bestandteil zur Überwachung der Sicherheit eines SAP Systems. Denn es bietet Monitoring und Kontrollfunktionen, um zu prüfen welche sicherheitskritischen Aktivitäten in der Vergangenheit auf dem System vorgefallen sind.

 

Das Audit-Log wird in der SAP Hilfe wie folgt beschrieben:

Das Security-Audit-Log ist ein Werkzeug für Auditoren, die sich die Ereignisse im SAP-System detailliert ansehen müssen. Wenn Sie das Security-Audit-Log aktivieren, zeichnen Sie die Aktionen auf, die Sie für die Verfolgung als relevant einstufen. Sie können dann in Form eines Audit-Analysereports auf diese Informationen zugreifen und sie auswerten.

Oberstes Ziel des Audit-Log ist die Aufzeichnung von:

  • sicherheitsbezogenen Änderungen an der SAP-Systemumgebung (z. B. Änderungen an Benutzerstammsätzen)
  • Informationen, die mehr Transparenz bieten (z. B. erfolgreiche und erfolglose Anmeldeversuche)
  • Informationen, die der Nachvollziehbarkeit einer Reihe von Ereignissen dienen (z. B. erfolgreiche oder erfolglose Transaktionsstarts)

Ist das Audit-Log aktiviert, bietet es eine Kontrolle der protokollierten Ereignisse und somit einen guten Einblick in die Sicherheitslage des Systems.

 

So kann rückblickend festgestellt werden, wann welcher User, welche Berechtigungen oder Profil angelegt wurden.

Auch lässt sich feststellen wer Änderungen an der Audit-Log Konfiguration durchgeführt hat. Im Falle einer Aufarbeitung eines möglicherweise sicherheitsrelevanten Vorfalls sind dies wichtige Informationen.

Doch eine Analyse des Audit-Logs ermöglich es ebenso verdächtige Aktivitäten und Spuren von Angriffen zu erkennen. So wird detailliert protokolliert wann und von wo sich Standard-User wie SAP* eingeloggt haben. Ebenso lassen sich Passwort-Rate Angriffe anhandgescheiterter Logins erkennen.

Auch die RFC-Schnitstelle wird gründlich überwacht. Da diese oftmals ein El-Dorado für Angreifer ist, sollte man auf diese Log-Einträge besonders gründlich schauen.

Insbesondere gilt es heraus zu arbeiten ob kritische RFC-Funktionen aufgerufen wurden oder dies versucht wurde.

Beispielsweise könnte ein (gescheiterter) Aufruf der Funktion RFC_READ_TABLE für den (versuchten) Abfluss von sensiblen Daten stehen. Doch auch nach Funktionen, die (unfreiwillig) die Ausführung von Systembefehlen oder Datenbankabfragen erlauben ist zu suchen.

Auch erfolgreiche oder fehlgeschlagene RFC-Logins geben Aufschluss über mögliche Passwort-Rate-Angriffe.

Sicher sollte eine Anmeldung eines Standardbenutzers wie EARLYWATCH von einem Benutzer-Terminal aus den Argwohn eines Auditors erwecken.

Genauso wie eine Häufung von fehlgeschlagenen Transaktionsaufrufen eines Benutzers, insbesondere wenn es sich hierbei um kritische Transaktionen mit Möglichkeiten zur Rechteausweitung handelt.

 

Mit einer wie zuvor beschriebenen Analyse des Audit-Logs kann man somit beurteilen, ob das System in der Vergangenheit potentiellen Angriffen ausgesetzt war. Weiterhin hat man so auf einen Blick eine Übersicht über alle sicherheitsrelevanten Vorkommnisse auf dem System und kann Turnusmäßig den Status kontrollieren.

 

Aufgrund der vielen Einträge in dem Security-Audit-Log ist eine Automatisierung der Auswertung absolut empfehlenswert. Der Werth Auditor unterstützt Sie hierbei vollständig und hilft Ihnen damit direkt bei der Überwachung Ihres SAP Systems.
Prüfen Sie regelmäßig Ihr Audit-Log und bei Verdachtsfällen kontrollieren Sie das Audit-Log für den relevanten Zeitraum auf die hier beschriebenen kritischen Einträge.