In einer zunehmend digitalisierten Geschäftswelt wird die Sicherheit Ihrer SAP-Systeme zur obersten Priorität. Die Analyse von Sicherheitsrisiken zeigt, dass Unternehmen, die keine geeigneten Maßnahmen ergreifen, erheblichen Gefahren ausgesetzt sind. Bei der werth it gmbh verstehen wir die Herausforderungen, vor denen Sie stehen, und möchten Ihnen aufzeigen, wie wichtig kontinuierliches Monitoring und präventive Maßnahmen sind.
Typische Schwachstellen in SAP-Systemen
Im Rahmen unser vielen Sicherheitsüberprüfungen decken wir oft die nachfolgenden Schwachstellen auf, die in vielen Unternehmen zu finden sind:
Triviale Passwörter: Eine auffällige Zahl von Benutzern verwendet einfache und leicht zu erratende Passwörter. Dies kann dazu führen, dass selbst privilegierte Konten von Angreifern kompromittiert werden.
Unzureichendes Patch-Management: Ältere Sicherheitslücken bleiben oft unbemerkt, da der Patch-Management-Prozess unvollständig oder unzureichend umgesetzt wird. Dies kann den unautorisierten Zugriff auf kritische Daten ermöglichen.
Mangelnde Härtung der Systeme: Eine unzureichende Konfiguration und Systemhärtung erhöhen das Risiko von Angriffen. Wenn Dienste nicht richtig gesichert sind, können Angreifer leicht in das System eindringen.
Unvollständiger Berechtigungsprozessen: Oftmals besitzen viele Benutzer übermäßige Berechtigungen, die nicht überwacht werden. Dies kann zu missbräuchlichem Zugriff und unerwünschten Änderungen führen.
Auswirkungen auf Daten und Prozesse
Die genannten Schwachstellen können weitreichende Konsequenzen für die Integrität und Vertraulichkeit Ihrer Daten haben. Ein erfolgreicher Angriff könnte zu Datenverlust, unautorisierter Datenmanipulation oder sogar zur vollständigen Übernahme des SAP-Systems führen. Die Betriebsabläufe könnten gestört werden, was nicht nur die Effizienz verringert, sondern auch das Vertrauen von Kunden und Partnern schädigt.
Wie man sich schützen kann
Die beste Verteidigung gegen Sicherheitsbedrohungen ist ein proaktiver Ansatz. Hier sind einige zentrale Maßnahmen, die Unternehmen ergreifen sollten:
Stärkung der Passwortrichtlinien: Implementieren Sie strenge Passwortanforderungen und setzen Sie regelmäßige Passwortänderungen durch. Verwenden Sie komplexe Passwörter und verbieten Sie triviale Kombinationen.
Kontinuierliches Monitoring: Sicherheitsüberwachungen sollten durchgängiger Bestandteil Ihres IT-Sicherheitskonzepts sein. Tools wie der werthAUDITOR können dabei helfen, Sicherheitslücken frühzeitig zu identifizieren und zu beheben.
Regelmäßige Patch-Management-Prozesse: Halten Sie Ihre Systeme durch regelmäßige Aktualisierungen und Patches auf dem neuesten Stand. Ein effektives Patch-Management-System schützt vor bekannten Schwachstellen.
Berechtigungsmanagement: Überprüfen Sie kontinuierlich, ob Benutzer nur die Berechtigungen haben, die sie tatsächlich benötigen. Implementieren Sie ein Rollensystem, das der Trennung von Rollen und Verantwortlichkeiten Rechnung trägt.
Systemhärtung: Der Aufwand für die Härtung von Systemen zahlt sich aus. Reduzieren Sie mit Best Practices die Angriffsfläche Ihrer Systeme.
Fazit
SAP Security Monitoring ist nicht nur ein technisch notwendiger, sondern ein unverzichtbarer Bestandteil Ihrer Unternehmensstrategie. Der werthAUDITOR unterstützt Sie dabei, Schwachstellen frühzeitig zu identifizieren und zu beheben. Schützen Sie Ihre wertvollen Daten und Prozesse, indem Sie kontinuierliches Monitoring und präventive Maßnahmen implementieren. Ihr Unternehmen verdient den besten Schutz, um in einer komplexen Bedrohungslandschaft erfolgreich zu sein
Im Zuge von Transformationsprojekten stehen Unternehmen zunehmend vor der Herausforderung, ihre komplexen IT- und SAP-Landschaften zu steuern und sicherzustellen, dass alle Systeme, Verbindungen und Benutzerrechte optimal aufeinander abgestimmt sind. Die werth IT GmbH aus Kamen bietet mit der werthAUDITOR Plattform eine umfassende Lösung für diese Herausforderungen. Zentral dabei ist der werthANALYST – ein leistungsstarkes Modul, das eine vollständige Übersicht über alle Verbindungen und Berechtigungen innerhalb der SAP-Umgebung ermöglicht und somit die Grundlage für eine reibungslose Transformation bietet.
Was ist werthANALYST?
Der werthANALYST ist speziell darauf ausgelegt, alle wichtigen Verbindungen und Berechtigungen in SAP-Systemlandschaften sichtbar zu machen. Die Lösung bietet eine detaillierte, grafische Darstellung aller Kommunikationswege und Verbindungen zwischen Systemen. So wird schnell und transparent ersichtlich, welche Systeme miteinander kommunizieren, welche Benutzer Zugriff haben und welche Art der Verbindung – etwa eine Trust-Verbindung – dafür genutzt wird. Dies ist besonders in Transformationsprojekten von Bedeutung, da durch die vollständige Übersicht potenzielle Stolperfallen identifiziert werden können, bevor sie zu Problemen führen.
Zentrale Funktionen des werthANALYST:
Analyse der (RFC-)Verbindungen und Systemkommunikation: Erfassung und grafische Darstellung aller Verbindungen zwischen den Systemen, inklusive Informationen über die Art der Verbindung, wie z. B. Trust- oder stored User RFC-Verbindungen.
Benutzer- und Berechtigungsanalyse: Auswertung, welche Benutzer welche Verbindungen nutzen und mit welchen Berechtigungen sie ausgestattet sind. Hierbei wird sichtbar, ob eine Verbindung möglicherweise zu wenig oder zu viele Berechtigungen hat.
Sicherheit durch Berechtigungsübersicht: Der werthANALYST hilft dabei, übermäßige Zugriffsrechte schnell zu identifizieren, die potenzielle Sicherheitsrisiken darstellen könnten.
Systeminformationen und Patch-Level: Alle relevanten Systeminformationen wie Patches, Mandanten und Default-User werden dokumentiert und analysiert.
Übersicht über Schnittstellen: Mit einer umfassenden Übersicht über alle Schnittstellen wie IDOCs, ODATA und mehr, sorgt werthANALYST für Klarheit und Kontrolle über Datenflüsse.
Der Nutzen für Transformationsprojekte: Risiken minimieren, Prozesse sichern
Eine der größten Herausforderungen bei Transformationsprojekten ist die Sicherstellung, dass alle für Geschäftsprozesse notwendigen Verbindungen bestehen und die Berechtigungen korrekt gesetzt sind. Eine fehlerhafte Berechtigung oder eine übersehene Verbindung kann schnell einen gesamten Prozess lahmlegen oder erhebliche Sicherheitsrisiken bergen. Der werthANALYST verhindert dies, indem er die vollständige Übersicht über alle Verbindungen und Berechtigungen bietet.
Sicherstellung der Prozessstabilität: Durch die klare Visualisierung der Verbindungen und der dahinterliegenden Berechtigungen wird sichergestellt, dass alle Systeme reibungslos miteinander kommunizieren können und wichtige Prozesse nicht durch fehlende Verbindungen gestört werden.
Minimierung von Sicherheitsrisiken: Zugriffe mit übermäßigen Rechten werden sofort sichtbar gemacht, wodurch potenzielle Sicherheitslücken frühzeitig geschlossen werden können.
Effizienzsteigerung in der Systemwartung: Die regelmäßige Analyse der Systeminformationen und Verbindungen hilft dabei, Sicherheitslücken und veraltete Patches rechtzeitig zu identifizieren, sodass der laufende Betrieb nicht beeinträchtigt wird.
Fazit
Mit werthANALYST bieten wir unseren Kunden eine unverzichtbare Lösung zur Sicherung ihrer SAP-Umgebungen. Das Tool hilft Unternehmen, alle kritischen Verbindungen und Berechtigungen im Blick zu behalten, um Transformationsprojekte erfolgreich umzusetzen und gleichzeitig die IT-Sicherheit zu erhöhen. Egal ob Schnittstellen, Berechtigungen oder Kommunikationswege – werthANALYST gibt Ihnen die Kontrolle und Transparenz, die Sie benötigen.
Erfahren Sie mehr über werthANALYST und unsere Lösungen auf www.werth-it.de – für eine sichere, transparente und erfolgreiche Transformation Ihrer SAP-Landschaft.
In der heutigen digitalen Landschaft werden Unternehmen immer wieder mit komplexen Bedrohungen und gezielten Angriffen konfrontiert. Sicherheitslösungen und präventive Maßnahmen alleine reichen oft nicht aus, um fortschrittliche, hartnäckige Bedrohungen (Advanced Persistent Threats, kurz APTs) erfolgreich abzuwehren. Um die Robustheit eines Sicherheitssystems wirklich zu testen, bedarf es eines Tools, das eine realistische Bedrohungssimulation bietet und Schwachstellen aufdeckt, bevor es ein Angreifer tut.
Hier kommt werthGHOST ins Spiel – das weltweit erste Post-Exploitation-Framework speziell für SAP-Systeme. Mit werthGHOST erhalten Unternehmen die Möglichkeit, APTs realistisch zu simulieren und Sicherheitsmechanismen auf die Probe zu stellen.
Was ist werthGHOST?
Der werthGHOST wurde entwickelt, um den nächsten Schritt in der Cybersecurity zu ermöglichen: die aktive und realistische Bedrohungssimulation in SAP-Umgebungen. Dabei geht es nicht nur um die Identifizierung von Schwachstellen, sondern um die Fähigkeit, reale Angriffsszenarien zu simulieren und darauf zu reagieren. Mit werthGHOST kann ein Unternehmen sein SAP-System wie nie zuvor testen und sicherstellen, dass Sicherheitsvorkehrungen und Detection-Systeme reaktionsfähig und belastbar sind.
Die wichtigsten Funktionen des werthGHOST
Unser Framework bietet eine breite Palette an Funktionalitäten, die es ermöglichen, Angriffe präzise zu simulieren und die Auswirkungen auf das SAP-System zu bewerten. Die Hauptfunktionen umfassen:
OS-Befehlsausführung: Ermöglicht das Ausführen von Betriebssystembefehlen direkt über das Framework, um zu testen, wie tief Angreifer vordringen könnten und wie gut das System abgesichert ist.
SQL-Befehlsausführung: Mit dieser Funktion können SQL-Befehle direkt in die Datenbank des SAP-Systems eingegeben werden. Dies simuliert eine Bedrohung, die auf sensible Unternehmensdaten abzielt.
Dateizugriff: Der Zugriff auf System- und Benutzerdateien ermöglicht eine weitere, realistische Simulation von Angriffen auf kritische Daten.
ABAP-Ausführung: Durch die Ausführung von ABAP-Code kann SAP-spezifischer Programmcode eingeschleust werden und Angriffe auf die Geschäftslogiken simuliert werden.
Socks Proxy: Diese Funktion dient der Umgehung von Sicherheitskontrollen und der Weiterleitung von Datenverkehr, wie es auch echte Angreifer häufig tun würden.
Lateral Movement: Der werthGHOST simuliert, wie sich ein Angreifer von einem kompromittierten System aus im Netzwerk weiterbewegen könnte. So lässt sich testen, ob das Sicherheitskonzept Angreifer in ihrer Bewegung zwischen verschiedenen Systemen aufhalten kann.
Vorteile von werthGHOST für Unternehmen
Realitätsnahe Bedrohungssimulation: werthGHOST ermöglicht es reale Bedrohungsszenarien unter kontrollierten Bedingungen zu simulieren. Die Auswirkungen der Angriffe sind sichtbar und helfen dabei, Schwachstellen zu identifizieren.
Testen und Verbessern von Erkennungssystemen: Mit werthGHOST lassen sich bestehende Sicherheitssysteme und Detection-Lösungen testen und optimieren. So können Unternehmen sicherstellen, dass Bedrohungen frühzeitig erkannt und abgewehrt werden können.
Sicheres Testen ohne Betriebsunterbrechung: Das Framework wurde entwickelt, um SAP-Systeme realistisch und ohne Risiko für den laufenden Betrieb zu testen. Unternehmen können sicherstellen, dass ihre Daten und Prozesse auch während der Tests geschützt bleiben.
Schulung und Weiterentwicklung des Sicherheitsteams: Die Simulation eines APTs mit werthGHOST gibt Sicherheitsteams die Möglichkeit, praxisnahe Erfahrung mit APTs und anderen fortschrittlichen Bedrohungen zu sammeln und sich so auf echte Angriffe vorzubereiten.
Fazit
In Zeiten wachsender Bedrohungen und zunehmender Komplexität der IT-Umgebungen benötigen Unternehmen Unterstützung, um sich auf Angriffe und Sicherheitsvorfälle realistisch vorbereiten. Der werthGHOST ist mehr als nur ein Test-Tool – es ist ein entscheidender Baustein für eine proaktive und zukunftssichere Sicherheitsstrategie.
Mit dem werthGHOST haben Unternehmen nun die Möglichkeit, ihre SAP-Systeme unter echten Bedingungen zu testen und das Vertrauen in ihre Sicherheitsmaßnahmen zu stärken. Zögern Sie nicht, uns zu kontaktieren, um mehr über den werthGHOST und seine Einsatzmöglichkeiten zu erfahren.
Über uns
Werth IT GmbH ist ein innovativer Anbieter für Sicherheitslösungen, die speziell für anspruchsvolle IT-Umgebungen entwickelt wurden. Wir setzen uns dafür ein, Unternehmen mit den besten Werkzeugen auszustatten, um ihre Systeme und Daten optimal zu schützen.
Wir sind begeistert, Ihnen den neuen KI-Assistenten im werthAUDITOR vorzustellen!
Dieser innovative Tool ist ein wichtiger Bestandteil unserer werthAUDITOR-Plattform und hilft Ihnen dabei, Ihre SAP-Sicherheit zu optimieren.
Aber was bedeutet das eigentlich? Lassen Sie uns gemeinsam einen Blick in die Zukunft der SAP-Sicherheit werfen. Die Welt der IT-Sicherheit hat sich verändert. Neue Bedrohungen und Angriffe erfordern neue Strategien und Technologien.
Der KI-Assistent im werthAUDITOR ist ein wichtiger Schritt in diese Richtung. Er analysiert Ihre Daten und gibt Ihnen konkrete Empfehlungen, um Ihre SAP-Sicherheit zu verbessern. Aber wie funktioniert das eigentlich?
Wie funktioniert der KI-Assistent?
Der KI-Assistent im werthAUDITOR verwendet fortschrittliche Algorithmen und Machine-Learning-Technologien, um Ihre Daten zu analysieren und Empfehlungen zu geben. Sie können mit diesem interagieren, um Bewertungen für die Sicherheitslage der geprüften Systeme zu erhalten. Aber das ist noch nicht alles. Der KI-Assistent kann Ihnen auch eine Security Roadmap erstellen oder bis ins kleinste Detail in ein Finding abtauchen. Oder er hilft Ihnen bei einem Assessment oder Penetrationstest und empfiehlt einen passenden Exploit für den nächsten Schritt. Er unterstützt bei der Prüfung auf Herz und Nieren, um eine umfassende Sicherheit zu gewährleisten.
Warum ist der KI-Assistent wichtig?
Der KI-Assistent im werthAUDITOR ist ein wichtiger Bestandteil unseres Systems. Er hilft Ihnen dabei, Ihre SAP-Sicherheit zu optimieren und Ihre Systeme vor potenziellen Bedrohungen zu schützen. Aber warum ist er wichtig? Der KI-Assistent ist wichtig, weil er als kompetenter SAP Security Experte an Ihrer Seite steht und Ihnen assistiert, um eine umfassende Sicherheit Ihrer Systeme zu gewährleisten.
Was bedeutet das für Sie?
Der KI-Assistent im werthAUDITOR bedeutet, dass Sie Ihre SAP-Sicherheit auf ein neues Level heben können. Es bedeutet, dass Sie Ihre Systeme vor potenziellen Bedrohungen schützen können und Ihre Daten sicher halten können. Lernen Sie mehr über den werthAUDITOR und unsere KI-Technologie auf unserer Website.
Werth IT, Hersteller der prämierten SAP-Security-Lösung WerthAuditor bietet das, wonach viele SAP-Kunden seit langem suchen: ein tiefgreifendes und manipulationssicheres System zur Angriffserkennung und Sicherheitsbewertung ihrer SAP-Landschaft. Brandneu ist das Security Dashboard 2.0, das alle durch den WerthAuditor erkannten Sicherheitsrisiken in den Systemen visualisiert und eine Bewertung der zugehörenden Sicherheitsprozesse ermöglicht. Das interaktive und editierbare Dashboard bereitet übersichtlich alle Sicherheitsinformationen in Echtzeit auf.
Das neue Security Dashboard 2.0 der WerthAuditor-Plattform für SAP-Systeme ermöglicht wertvolle Analysen und Zugriff auf Sicherheitsdaten in Echtzeit
Der diesjährige 1. Mai war für viele IT-Experten nicht nur ein Feiertag, sondern vor allem ein Tag, der SAP-Kunden vor neue Herausforderungen stellt: Denn ab dem 1. Mai 2023 greift das IT-Sicherheitsgesetz 2.0 (kurz IT-SIG 2.0), das die deutsche KRITIS-Regulierung von 2015 deutlich erweitert. Das bedeutet: mehr Pflichten für Unternehmen und IT-Verantwortliche, höhere Cyber-Security-Anforderungen und erweiterte Befugnisse für Staat und Regulierungsbehörden. Eine anspruchsvolle Aufgabe für Unternehmen, die für ihre kritischen Infrastrukturen SAP einsetzen und somit im Fokus des IT-SIG 2.0 stehen, denn die meisten Lösungen erfüllen die steigenden Security-Anforderungen nicht im gewünschten Umfang.
Security Dashboard 2.0 – Angriffserkennung und Risiken auf einen Blick
Die neueste Innovation der Werth IT – ein übersichtliches Dashboard, das alle Sicherheitsrisiken sowie die dazu gehörenden Sicherheitsprozesse in den Systemen innerhalb einer Oberfläche in Echtzeit aufzeigt – kommt daher genau zur richtigen Zeit. Die Visualisierung sämtlicher Sicherheitsinformationen aller miteinander kommunizierenden Systeme der kompletten SAP-Landschaft zentral in nur einem Dashboard ist eine echte Innovation und ein Alleinstellungsmerkmal der Lösung. Zudem können Security-Fachkräfte aus dem Haupt-Dashboard heraus die für ihren Verantwortungsbereich relevanten detaillierteren Einzel-Dashboards ansteuern und tiefgreifende Informationen zu einzelnen Bereichen abrufen. Ebenfalls äußerst wertvoll: Das Dashboard zeigt in Echtzeit und en Detail, wie sicher die SAP-Landschaft aufgestellt ist, welche Rubriken zu verbessern sind und wo unmittelbares Handeln erforderlich ist.
Die wichtigsten Features des WerthAuditor in Überblick
Der WerthAuditor bietet SAP-Kunden eine umfassende Angriffserkennung: Er enttarnt Angriffe, deckt Sicherheitsrisiken auf und visualisiert die zugehörigen Sicherheitsinformationen – in allen miteinander kommunizierenden Systemen der IT-Landschaft. Jederzeit und in Echtzeit analysiert die Security-Lösung die Sicherheitskonfiguration, weist auf fehlende SAP-Security-Notes und Patches hin und überprüft den gesamten ABAP-Quellcode – und zwar nicht nur den für Kunden zugängigen Bereich, der lediglich einen kleinen Teil das ABAP-Codes ausmacht. Ferner prüft die Lösung das Betriebssystem, die Datenbanken, Schnittstellen sowie die Berechtigungen. Zusätzlich lässt sich an der Entwicklung des Security-Reifegerades sowie der Lebensdauer von Schwachstellen die Wirksamkeit der internen Security-Prozesse ablesen und analysieren.
Modernste, intelligente Security-Analyse mit mehr als 2.000 Prüfungen
Während herkömmliche Prüfsysteme die erhobenen Daten häufig in Tabellen darstellen, verwendet Werth IT die SIEM(Security Information and Event Management)-Technologie, mit deren Hilfe alle gesammelten Sicherheitsdaten vollständig über Schlagworte und beliebige Zeiträume filterbar sind und ganzheitliche, tiefgreifende Sicherheitsanalysen aller Systeme ermöglichen. Dies bedeutet zugleich maximale Effizienz für Threat Detection, Vulnerability Management und Patch Management.
Weitere wichtige Aspekte: Die Werth-IT-Lösung arbeitet mit Zero Footprint und erfordert keine Softwareinstallation beziehungsweise Agenten auf dem lokalen System. Ebenfalls wichtig: Die Lösung benötigt keine stehende Internetverbindung. Dadurch sind alle Sicherheitsdaten manipulationssicher, denn Angreifer der überwachten SAP-Systeme können nicht auf die Prüflogik, das Dashboard oder dessen Daten zugreifen.
Für die Sicherheits-Teams und die Verantwortlichen stehen mehrere vollständig anpassbare Dashboards zur Verfügung. „Das Management und die IT nutzen unser Security Dashboard für den Zugriff auf unverfälschte Echtzeitdaten, um auf dieser Basis kompetente und richtungsweisende Beschlüsse zu fassen. Mit über 2.000 Prüfungen und einem kontinuierlichen Monitoring liefert der WerthAuditor optimale Voraussetzungen, um alle Anforderungen des IT-SIG 2.0 zuverlässig zu erfüllen“, erklärt Thomas Werth, Geschäftsführer der Werth IT.
Das Security Dashboard 2.0 für SAP ist ab sofort verfügbar und als Webanwendung von jedem Device aus aufrufbar.
Im dem fünften Teil der Serie „Howto SAP Security“ (Gateway , Netzwerk,Datenbank, RFC ) ist das Thema der Internet Communication Manager (ICM).
Internet Communication Manager (ICM)
Der ICM nimmt Anfragen über das HTTP(s) Protokoll entgegen. Insbesondere Aufrufe aus dem Internet an das SAP-System lassen sich so seit geraumer Zeit realisieren. Diese Aufrufe gibt der ICM je nach Architektur an den JAVA oder ABAP Dispatcher zur Verarbeitung weiter. Dies ist auf dem folgenden Schaubild zu erkennen:
Im zweiten Teil der Serie „Howto SAP Security“ (Teil 1) wird die Netzwerksicherheit betrachtet. Hierbei sind zwei Punkte von besonderer Bedeutung. Zuerst ist die Zugriffskontrolle zu betrachten. Dann folgt die Verschlüsselung der Kommunikation.
SAP Netzwerksicherheit
SAP beinhaltet diverse Dienste, die größtenteils aus dem Netzwerk heraus erreichbar sind. Es ist wichtig die verfügbaren Dienste zu kennen, daher zeigt der folgende Screenshot einige wichtige Dienste.
Um Remote zu erkennen, welche Dienste konkret von einem SAP-System in Netzwerk angeboten werden, ist ein Netzwerkscan des Systems ein gutes Mittel. Ein Beispiel eines Scans kann wie folgt ausfallen:
PORT STATE SERVICE VERSION
21/tcp open ftp?
22/tcp open ssh SSH (SSH-2.0-WeOnlyDo 2.1.3)
445/tcp open microsoft-ds?
3200/tcp open sapdisp SAP ABAP Dispatcher release 7010, patch level 111, database release 701 (DB name T11)
3300/tcp open sapgateway SAP Gateway (Monitoring mode disabled)
3389/tcp open ms-wbt-server Microsoft Terminal Service
3600/tcp open sapms SAP Message Server (SID T11, ID 00)
3900/tcp open sapms SAP Message Server (SID T11, ID 00)
7210/tcp open maxdb SAP MaxDB 7.7.07
8000/tcp open sapicm SAP Internet Communication Manager
8100/tcp open sapmshttp SAP Message Server httpd release 701 (SID T11)
40080/tcp open sapigs SAP Internet Graphics Server
50013/tcp open sapstartservice SAP Management Console (SID T11, NR 00)
Hier sieht man neben typischen SAP Diensten auch noch weitere kritische Dienste wie SSH, MSRDP, SMB und FTP.
Seit dem 25. Mai 2018 sind Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) mit empfindlichen Geldbußen belegt. Entsprechend viel Aufmerksamkeit hat das Thema bereits erhalten. Doch wie sieht eine Compliance Prüfung und ein Nachweis der Rechenschaftspflicht im Kontext von SAP-Systemen aus?
DSGVO Umsetzungsstatus in den Unternehmen
Die Datenschutzbeauftragten in den Unternehmen und Behörden haben sicher auch ohne Berücksichtigung der SAP-Systeme keine Langeweile.
Nachdem die Verfahren dokumentiert und Prozesse festgelegt sind rücken die SAP-Systeme in den Vordergrund. Hier sind beispielsweise die definierten Lösch- und Sperrprozesse technisch einzurichten. Doch aufgepasst, denn es ist sicher mehr zu beachten als nur Daten zu sperren und zu löschen. „DSGVO Compliance bei SAP-Systemen“ weiterlesen
Mit diesem Beitrag startet die Serie „Howto SAP Security“. In der Serie werden typische SAP Angriffsflächen vorgestellt – mitsamt Angriffsvektoren und Gegenmaßnahmen. Zu Beginn der Serie wird daher mit dem SAP Gateway das wahrscheinlich größte Angriffsziel betrachtet.
SAP Gateway
Das SAP Gateway ist eine Schnittstelle des Systems nach außen. Es dient der Kommunikation mit anderen Systemen oder Programmen und regelt jegliche RFC Kommunikation. Das Gateway ist eine Kernkomponente der SAP Netweaver Systeme.
Für einen Angreifer sind folgende Eigenschaften des Gateways von Bedeutung.
Zuerst ist die Ausführung mit <SID>adm Rechten im System zu nennen. Weiterhin besitzt es Funktionen zur Befehlsausführung auf OS-Ebene. Letztlich ist das Gateway ohne Authentifizierung nutzbar.
Die Vernetzung der Systeme nimmt immer weiter zu. Industrie 4.0 sowie IoT sind hier wesentliche Faktoren. Doch ein Faktor im IT-Betrieb scheint unverändert gültig zu bleiben:
Die Systeme müssen „laufen“. Patch-Management und Security erhalten daher nicht immer die erforderliche Priorität. Dies führt letztlich zur Anbindung von Systemen an das Internet, die veraltete Releases nutzen oder nicht die neuesten Security-Patches erhalten.
Anhand dieser Systeme lässt sich anschaulich skizzieren wie Hacker SAP-Systeme identifizieren und angreifen. Das Verständnis wie ein Hack eines solchen SAP-Systems abläuft, dient hier der Sensibilisierung der Systemverantwortlichen. Dies wiederum sollte sodann zur Härtung der SAP-Systeme führen.
Warum ist die Internet-Anbindung ein Risiko?
Die globale Erreichbarkeit des Systems durch die Anbindung an das Internet sorgt für eine deutliche Steigerung der Gefährdung des Systems. Dies liegt einfach daran, dass ab dem Moment der Internet-Anbindung jeder dieses System aufspüren und angreifen kann.
Jedes System bietet auch im Normalfall eine gewisse Angriffsfläche. Denn ein System wird in der Regel zu einem bestimmten Zweck an das Internet angeschlossen und bietet für diesen Zweck vorgesehene Dienste im Internet an. Beispielweise bieten die im Internet bekannten Web-Server ihre Webseiten über einen Web-Dienst (HTTP/HTTPS) an.
Dienste können bekanntlich Schwachstellen haben. Dies gilt auch für SAP-Systeme. Hier sind 4 bekannte und „gefixte“ Schwachstellen in SAP-Systemen aufgeführt, die für potentielle Angriffe aus dem Internet nutzbar sind:
2234971 – Directory-Traversal in AS Java Monitoring
SAP NetWeaver AS Java 7.10 bis 7.50 verwundbar
1682613 – Fehlende Berechtigungsprüfung im Core-Service
SAP NetWeaver AS Java 6.40 bis 7.31 verwundbar
2101079 – Mögliche Änderung/Offenlegung von persist. Daten in BC-ESI-UDDI
SAP NetWeaver AS Java 7.11 bis 7.50 verwundbar
Wie hoch ist nun die Wahrscheinlichkeit potentiell verwundbare Systeme im Internet zu finden? Beispielsweise in einem technologisch fortschrittlichem Land wie Deutschland…
SAP-Systeme mit Shodan.io finden
SAP-Systeme lassen sich relativ zuverlässig und kostenlos mit Shodan.io aufspüren. Die hier ausgesuchten Schwachstellen beziehen sich auf Systeme des Typs SAP NetWeaver AS Java. Solche Systeme findet diese Suche bei Shodan „sap as Java„. Insgesamt werden 2391 Systeme gefunden.
Anhand des Server Tags in der Ergebnisliste lässt sich einfach die Version ablesen:
Server: SAP NetWeaver Application Server 7.21 / AS Java 7.31
Dieses System wäre potentiell für 3 der 4 genannten Schwachstellen anfällig.
Schränkt man die Suche auf Deutschland ein („sap as Java country:DE„), so werden immer noch 183 Systeme gefunden.
Darunter sind durchaus neuere Systeme:
server: SAP NetWeaver Application Server 7.45 / AS Java 7.50
Jedoch könnten immer noch 2 der 4 Schwachstellen vorhanden sein.
Es lässt sich jedoch auch gezielt nach älteren Systemen suchen: „SAP J2EE Engine„. Hier werden 1078 Systeme gefunden. Vornehmlich veraltete Systeme.
server: SAPJ2EEEngine/7.00
Auch in Deutschland stehen noch 70 solcher Systeme.
Zwei potentielle Schwachstellen lassen sich diesen älteren Versionen zuordnen.
Shodan zeigt sich wirklich auskunftsfreudig zu diesen Systemen.
An dieser Stelle kann man soweit festhalten, dass mit wenig Aufwand und kostenlos eine immense Liste an potentiell verwundbaren Systemen identifiziert werden kann.
An 4 theoretischen Beispielen lässt sich nun die Gefährdung solcher Systeme nachvollziehen.
Beispiel Hack 1: Anonymer Datei Download (SAP Hinweis 2234971)
Ein Angreifer kann unter Kenntnis der URL der verwundbaren Komponente beliebige Dateien des Servers herunterladen. Dies sogar ohne gültiges Login. Auf diesem Weg kann sich ein Angreifer Zugriff auf den Passworttresor (SecStore) des Systems verschaffen. Diesen kann er im Anschluss knacken (decodieren) und erhält die darin enthaltenen administrativen Zugangsdaten. Mit diesen Logindaten hat er dann Vollzugriff auf das System.
Beispiel Hack 2: Anonymer Dateitransfer (SAP Hinweis 1682613)
In dem Kernservice des P4-Dienstes von SAP Netweaver AS Java Systemen klafft bis zur Version 7.31 eine schwerwiegende Lücke. Diese kann ein Angreifer wie folgt ausnutzen. Zunächst prüft er ob der betroffene Dienst bei dem System aus dem Internet erreichbar ist. Sofern dies der Fall ist kann er eine anonyme Verbindung ohne Logindaten zu diesem Dienst aufbauen. Über diese Verbindung kann er dann jede beliebige Datei aus dem System lesen. Wie zuvor kann ein Angreifer damit Zugriff auf den SecStore erhalten und die administrativen Zugangsdaten auslesen.
Beispiel Hack 3: CTC Servlet (SAP Hinweis 1445998)
Diese Schwachstelle hat viel Aufsehen erhalten, selbst das US-CERT hat eine Warnung zu dieser Schwachstelle veröffentlicht. SAP selbst beschreibt die Schwachstelle mit diesen Worten:
Der Zugriff auf Servlets ist unabhängig von in der Datei web.xml definierten Sicherheitsbeschränkungen anonym über einen anderen Pfad möglich.
Konkret bedeutet dies, dass ein Angreifer lediglich eine bestimmte URL des Servers aufrufen muss. Damit kann er dann beliebige Systembefehle ausführen. Weiterhin kann er Benutzer anlegen und beliebige Berechtigungen zuweisen. Mit diesen Mitteln ist er in der Lage das System vollkommen unter seine Kontrolle zu bringen.
Besonders gefährlich bei dieser Lücke ist, dass ein Patch nicht generell das Problem behebt sondern lediglich eine bestimmte Konfigurationseinstellung deaktiviert. Diese kann jederzeit wieder aktiviert werden und damit das System erneut verwundbar machen.
Beispiel Hack 4: SQL-Injection (SAP Hinweis 2101079)
Es existiert eine SQL-Injection Schwachstelle in der Komponente SAP NetWeaver AS Java UDDI. Diese Schwachstelle kann anonym ohne Zugangsdaten ausgenutzt werden. Doch ganz so einfach ist dieser Weg dann doch nicht. Zunächst benötigt man einen Benutzernamen im System. Dieser ist für den Angriff zwingend nötig. Es gibt jedoch weitere Schwachstellen in den Systemen zu diesen Releases. Diese erlauben das anonyme Anzeigen der Benutzer im System. Hierzu reicht es aus eine von zwei möglichen URLs aufzurufen und sich die Benutzer anzuzeigen. In der Liste der Benutzer sucht man nun nach einem administrativen Account wie J2EE_ADMIN.
Mit Kenntnis des Benutzernamens kann über die SQL-Injection Schwachstelle nun auf dessen im System gespeicherten Passworthash zugegriffen werden. Dieser Hash kann aufgrund eines weiteren Fehlers in diesen Systemen sehr leicht in ein klartext Passwort überführt werden.
Damit kennt ein Angreifer nun die Zugangsdaten und erhält somit administrativen Vollzugriff auf das System.
SAP-Systeme schützen
Die Beispiele zeigen eindrucksvoll, dass es mit dem notwendigen Know-how relativ einfach ist SAP-Systeme erfolgreich aufzuspüren und zu hacken.
Abwehrstrategien scheitern vor allem an zu wenig Ressourcen und mangelndem Verständnis für Sicherheitslücken sowie dem fehlenden Know-how zur Ermittlung des tatsächlichen Sicherheitsstatus eines Systems. Mit dem werthAUDITOR von Werth IT ist es möglich die Systemsicherheit zu prüfen bevor und während die Systeme mit dem Internet verbunden sind. Damit lassen sich nicht nur die hier vorgestellten Risiken mindern, sondern auch Problemstellungen im ABAP-Coding, den Berechtigungen, der Systemkonfiguration und weiteren sicherheitskritischen Systemeigenschaften lösen. Trotz limitierter Ressourcen kann so ein dauerhaft sicherer Betrieb und die Einhaltung der Compliancevorgaben erreicht werden.
Mehr Informationen zu unserem SAP Security Service erhalten Sie hier.