SAP Systeme sehen sich wachsenden Cyber-Gefahren [1, 2] gegenüber. Die Notwendigkeit einer Prüfung der Sicherheit von SAP Systemen wird täglich akuter. Aufgrund des vorherrschenden Fachkräftemangels ist jedoch bereits die Auswahl des “richtigen” Audits oder Anbieter eine Herausforderung für sich.
Dabei lassen sich die Anforderungen an einen Audit schnell zusammen fassen:
- Der Audit muss von höchster Qualität sein. Er muss zuverlässige und reproduzierbare Ergebnisse liefern.
- Als Ergebnis ist eine Zusammenfassung für die Leitungsebene vorzulegen sowie ein Bericht für die Systemverantwortlichen inklusive Risikobewertung und Lösungswege.
- Die Ausführung des Audits darf keine Änderungen an dem System erfordern.
- Der Audit muss alle relevanten Bereiche abdecken und darf keine blinden Flecken besitzen! Es dürfen keine ungeprüften Bereiche zugelassen werden, die einem Angreifer als Hintertür den Einstieg in das System erlauben.
Welche Tests hat ein umfassender SAP Audit konkret zu beinhalten?
- Prüfung der Einzelberechtigungen und Berechtigungskombinationen
Die regelmäßige Prüfung der Berechtigungen ist sicherlich ein wesentlicher Aspekt der SAP Sicherheit. Sie dient der Aufdeckung von kritischen Einzelberechtigungen oder Berechtigungskombinationen. Beispielsweise könnte ein Mitarbeiter der Lieferanten anlegen/pflegen darf und gleichzeitig Rechnungen anlegen/pflegen darf, einen fiktiven Lieferanten anlegen und eine Rechnung erzeugen, die im automatischen Durchlauf beglichen wird. Somit könnten unautorisierte Zahlungen veranlasst werden. Die Kontrolle der Berechtigungen dient somit dem Schutz vor Betrug durch legitime Benutzer, den so genannten Insider-Angriffen. Hier ist eine umfassende Prüfung des Systems erforderlich, die auch den Anforderungen einer Wirtschaftsprüfung gerecht wird. - Prüfung der System-Konfiguration
Elementare Einstellung der Systemsicherheit erfolgen in der System-Konfiguration. Hierzu gehören die Passwort-Richtlinien, die Einstellungen des Audit-Logs, die Verschlüsselung der Kommunikation oder auch die Absicherung der Gateway-Schnittstelle.
Sichere Einstellungen in der System-Konfiguration mindern Risiken wie Passwort-Angriffe auf existierende Benutzer. Ebenso erlaubt ein aktives Audit-Log die Erkennung und Verfolgung von Angriffen und “Ungereimtheiten” im System. Generell mindert eine sichere Konfiguration die Risiken von ungewollten System- und Datenzugriffen. - Prüfung der System-Schnittstellen auf technische Schwachstellen
Über technische Schwachstellen kann ein Angreifer Zugriff auf das System oder seine Daten ganz ohne Zugangsdaten erhalten. Auch kann es möglich sein die Rechte eines vorhandenen Benutzers auszuweiten, um Zugriff auf das System zu erhalten.
Die Erstellung eines Benutzers mit SAP_ALL Rechten oder die Zuweisung dieser Rechte an einen vorhandenen Benutzer sind typische Auswirkungen eines solchen Angriffs. Ebenso kann auf diesem Weg ein vollständiges Auslesen der Datenbank erfolgen.
Um diese Risiken zu mindern sollten regelmäßig die Sicherheits-Updates eingespielt und das System auditiert werden . Dabei sind auch die im Netzwerk erreichbaren Schnittstellen (Msg-Server, J2EE, RFC, Gateway, Sap Start, Sap Host Control, Datenbank) unbedingt zu prüfen. Eine reine Prüfung des Systems von Innen ist nicht ausreichend, da wesentliche Angriffspunkte dann nicht geprüft werden können. - Prüfung der Custom ABAP Programme
Der SAP Standard wird in fast jeder Installation mit eigenen ABAP Programmen ergänzt, um den internen Ablauf im Unternehmen zu optimieren. Diese hinzugewonnene Funktionalität und Prozess-Optimierung kann jedoch auch Auswirkung auf die Sicherheit des Systems und seiner Daten haben. Fehlende Berechtigungsprüfungen können Benutzern unberechtigten Zugriff auf Daten gewähren. Damit kann das Prinzip der Rechtetrennung verletzt werden und die Einhaltung von Compliance-Vorgaben wie SOX ist nicht mehr gewährleistet. Es können sich auch weitere Risiken ergeben wie die Umgehung der Mandatentrennung oder Hintertüren in den Code eingebaut werden.
Daher gehört zu einem umfassenden Audit auch die Prüfung der ABAP-Eigenentwicklungen auf potentielle Schwachstellen.
Für eine vollständige und aussagekräftige Prüfung der Sicherheit von SAP Systemen sind somit alle vier genannten Bereiche zu betrachten. Nur eine Berücksichtigung aller sicherheitsrelevanten Aspekte kann eine umfassende Messung der Sicherheit des System leisten. Andernfalls besteht die Gefahr Sicherheitsrisiken für das System zu übersehen und einen falschen Eindruck der Systemsicherheit zu erhalten.
Prüfen Sie jetzt die Sicherheit Ihrer SAP Systeme!
Profitieren Sie von den vielen Vorteilen einer automatisierten Sicherheitsprüfung Ihrer (Kunden-)Systeme .