Prüfung der Sicherheit von SAP Systemen – umfassendes Risikomanagement

SAP Systeme sehen sich wachsenden Cyber-Gefahren [12] gegenüber. Die Notwendigkeit einer Prüfung der Sicherheit von SAP Systemen wird täglich akuter. Aufgrund des vorherrschenden Fachkräftemangels ist jedoch bereits die Auswahl des “richtigen” Audits oder Anbieter eine Herausforderung für sich.
Dabei lassen sich die Anforderungen an einen Audit schnell zusammen fassen:

  • Der Audit muss von höchster Qualität sein. Er muss zuverlässige und reproduzierbare Ergebnisse liefern.
  • Als Ergebnis ist eine Zusammenfassung für die Leitungsebene vorzulegen sowie ein Bericht für die Systemverantwortlichen inklusive Risikobewertung und Lösungswege.
  • Die Ausführung des Audits darf keine Änderungen an dem System erfordern.
  • Der Audit muss alle relevanten Bereiche abdecken und darf keine blinden Flecken besitzen! Es dürfen keine ungeprüften Bereiche zugelassen werden, die einem Angreifer als Hintertür den Einstieg in das System erlauben.

Welche Tests hat ein umfassender SAP Audit konkret zu beinhalten?

  1. Prüfung der Einzelberechtigungen und Berechtigungskombinationen
    Die regelmäßige Prüfung der Berechtigungen ist sicherlich ein wesentlicher Aspekt der SAP Sicherheit. Sie dient der Aufdeckung von kritischen Einzelberechtigungen oder Berechtigungskombinationen. Beispielsweise könnte ein Mitarbeiter der Lieferanten anlegen/pflegen darf und gleichzeitig Rechnungen anlegen/pflegen darf, einen fiktiven Lieferanten anlegen und eine Rechnung erzeugen, die im automatischen Durchlauf beglichen wird. Somit könnten unautorisierte Zahlungen veranlasst werden. Die Kontrolle der Berechtigungen dient somit dem Schutz vor Betrug durch legitime Benutzer, den so genannten Insider-Angriffen. Hier ist eine umfassende Prüfung des Systems erforderlich, die auch den Anforderungen einer Wirtschaftsprüfung gerecht wird.
  2. Prüfung der System-Konfiguration
    Elementare Einstellung der Systemsicherheit erfolgen in der System-Konfiguration. Hierzu gehören die Passwort-Richtlinien, die Einstellungen des Audit-Logs, die Verschlüsselung der Kommunikation oder auch die Absicherung der Gateway-Schnittstelle.
    Sichere Einstellungen in der System-Konfiguration mindern Risiken wie Passwort-Angriffe auf existierende Benutzer. Ebenso erlaubt ein aktives Audit-Log die Erkennung und Verfolgung von Angriffen und “Ungereimtheiten” im System. Generell mindert eine sichere Konfiguration die Risiken von ungewollten System- und Datenzugriffen.
  3. Prüfung der System-Schnittstellen auf technische Schwachstellen
    Über technische Schwachstellen kann ein Angreifer Zugriff auf das System oder seine Daten ganz ohne Zugangsdaten erhalten. Auch kann es möglich sein die Rechte eines vorhandenen Benutzers auszuweiten, um Zugriff auf das System zu erhalten.
    Die Erstellung eines Benutzers mit SAP_ALL Rechten oder die Zuweisung dieser Rechte an einen vorhandenen Benutzer sind typische Auswirkungen eines solchen Angriffs. Ebenso kann auf diesem Weg ein vollständiges Auslesen der Datenbank erfolgen.
    Um diese Risiken zu mindern sollten regelmäßig die Sicherheits-Updates eingespielt und das System auditiert werden . Dabei sind auch die im Netzwerk erreichbaren Schnittstellen (Msg-Server, J2EE, RFC, Gateway, Sap Start, Sap Host Control, Datenbank) unbedingt zu prüfen. Eine reine Prüfung des Systems von Innen ist nicht ausreichend, da wesentliche Angriffspunkte dann nicht geprüft werden können.
  4. Prüfung der Custom ABAP Programme
    Der SAP Standard wird in fast jeder Installation mit eigenen ABAP Programmen ergänzt, um den internen Ablauf im Unternehmen zu optimieren. Diese hinzugewonnene Funktionalität und Prozess-Optimierung kann jedoch auch Auswirkung auf die Sicherheit des Systems und seiner Daten haben. Fehlende Berechtigungsprüfungen können Benutzern unberechtigten Zugriff auf Daten gewähren. Damit kann das Prinzip der Rechtetrennung verletzt werden und die Einhaltung von Compliance-Vorgaben wie SOX ist nicht mehr gewährleistet. Es können sich auch weitere Risiken ergeben wie die Umgehung der Mandatentrennung oder Hintertüren in den Code eingebaut werden.
    Daher gehört zu einem umfassenden Audit auch die Prüfung der ABAP-Eigenentwicklungen auf potentielle Schwachstellen.

 

Für eine vollständige und aussagekräftige Prüfung der Sicherheit von SAP Systemen sind somit alle vier genannten Bereiche zu betrachten. Nur eine Berücksichtigung aller sicherheitsrelevanten Aspekte kann eine umfassende Messung der Sicherheit des System leisten. Andernfalls besteht die Gefahr Sicherheitsrisiken für das System zu übersehen und einen falschen Eindruck der Systemsicherheit zu erhalten.
Prüfen Sie jetzt die Sicherheit Ihrer SAP Systeme!
Profitieren Sie von den vielen Vorteilen einer automatisierten Sicherheitsprüfung Ihrer (Kunden-)Systeme .

SAP-Mobile-Security

SAP ist dem Trend gefolgt Business Daten mobil verfügbar zu machen, allgemein ist dies unter dem Begriff SAP Mobile bekannt. Hier ist offensichtlich ein neuer Trend gestartet.
Doch wie sieht es mit der Sicherheit auf diesem Gebiet aus? Welche Risiken existieren hier und wie behandelt man diese?

Zunächst ist zu klären was genau ist eigentlich SAP Mobile?
Meistens wird in diesem Kontext SAP Fiori (Übersicht) und SAP Mobile Platform (SMP) verwendet.
SAP Fiori sind SAP-Anwendungen auf HTML5 Basis, welche mittels responsive Design „passend“ auf dem mobilen Endgerät dargestellt werden.

SMP erlaubt die Entwicklung mobiler Anwendungen für eine Vielzahl an unterstützten Geräten. Das SDK erlaubt die Kommunikation mit den SAP Mobile Diensten von SAP.

SAP UI5 und SAP Fiori mausern sich zur neuen Oberfläche von SAP und haben das Potential die SAP GUI langfristig abzulösen. So bietet Fiori Apps für die meisten SAP-Funktionen und kann von allen Endgeräten genutzt werden.
Selbst die Kommunikation mit dem NetWeaver Gateway ist problemlos möglich .

Doch auch SMP hat seine Alleinstellungsmerkmale. So erlaubt das SDK die Kommunikation mit dem Mobile Dienst und kann zur Kommunikation mit ERP, CRM, SCM und SRM Systemen verwendet werden. Ebenso kann das NetWeaver Gateway genutzt werden, um Daten zwischen dem System und den mobilen Endgeräten auszutauschen. Zusätzlich wird Afaria angeboten, um die mobilen Geräte sicher zu verwalten.

Wo lauern die Gefahren und wie werden diese minimiert?
Der Schlüssel zum Erfolg lieget in der sicheren Entwicklung der mobilen Anwendungen.
Dies fängt bei der Authentifizierung an.
Einige Apps nutzen anonyme Verbindungen ohne Zugangsdaten, diese werden dann meist einen generischen Benutzer im SAP-System zugeordnet. Damit kann Jeder einen solchen Zugriff verwenden und verfügt über die Rechte des generischen Benutzer.

Häufig wird die Verwendung einer HTTP Basic Authentifizerung bei den Apps gesehen. Doch hier muss man beachten, dass das Password lediglich Base 64 encodiert wird und ohne eine sichere HTTPS-Verbindung problemlos abgefangen und decodiert werden kann.

Sicherer ist da schon die Nutzung eines Token (SAP Single Sign-On) zur Anmeldung. Doch auch hier empfiehlt es sich nicht auf eine HTTPS-Verbindung zu verzichten, da ein findiger Angreifer möglicherweise auch ein im Klartext übermitteltes Token attackieren kann.

Eine Zertifikat basierte Authentifizierung stellt den sichersten Weg dar. Dies wird jedoch nur sehr selten verwendet, da die Umsetzung wesentlich komplexer ist. Man benötigt Client- und Server-Zertifikat. Eine passgenaue Zertifikatsprüfung und die richtige Konfiguration im Server.

Hat man die Hürde der sicheren Anmeldung gemeistert, ist fortan eine sichere Kommunikation zu verwenden.
Der häufigste Weg ist die Nutzung einer HTTPS-Verbindung mit Zertifikatsprüfung. Alternativ kann man auch ein VPN nutzen.
Wichtig ist jede Anfrage und Antwort auf diesem Weg zu senden. Selbst-Signierte Zertifikate zerstören die Sicherheit einer HTTPS-Verbindung, da diese nicht verifiziert werden können (ohne das Stammzertifikat eigenhändig in den Trusted Sec Store einzubinden) und somit bekannte Spoofing-Angriffe ermöglichen.
Die sichere Kommunikation erfordert jedoch nicht nur Augenmerk bei der App-Entwicklung, sondern auch im späteren Betrieb. Insbesondere SSL war zuletzt häufig wegen Sicherheitsproblemen in der Presse (HeartbleedFREAKLOGJam). Hier muss man immer Up2Date bleiben!

Letztlich ist noch die sichere Datenspeicherung zu beachten. Sind die Daten erst einmal sicher auf dem mobilen Endgerät angekommen, müssen diese dort auch sicher verwahrt werden.
Grundlegend sollten die Daten verschlüsselt werden, dabei sollte auf Standards zurückgegriffen werden und keine eigene Verschlüsselung erfunden werden.
So bietet das Kapsel Plugin für Apache Cordova ein EncryptedStorage zur sicheren Speicherung der Daten.
Ebenfalls ist der Schlüssel dafür nicht fest in die App zu codieren. Hier kann beispielsweise SAP ClientHub verwendet werden.

Sind die Richtlinien zur sicheren Entwicklung definiert gilt es zusätzlich noch die genutzten Komponenten (SAP Mobile Platform, SAP Afaria, Apache Cordova, …) aktuell zu halten und regelmäßig die Security Updates einzuspielen.

 

Beachtet man diese Punkte kann man das Risiko mobiler SAP-Zugriffe deutlich mindern.

Ponemon Institute – SAP Cybersecurity Studie

Das Ponemon Institut hat mehr als 600 IT- und Sicherheitsspezialisten zum Stand der SAP Sicherheit befragt. Die wesentlichen Erkenntnisse der Studie lassen sich wie folgt zusammen fassen:

Statistiken zu Angriffen auf SAP-System:

  • 65% der SAP-Systeme wurde in den letzten 24 Monaten erfolgreich angegriffen.
  • 75% der Befragten glauben Ihr SAP-System hat wahrscheinlich eine oder mehrere Malware Infektionen.
  • Im Schnitt kostet einem Unternehmen die Abschaltung eines SAP-System 4,5 Millionen Dollar.
  • 60% sehen die Folgen eines Angriffs (Datendiebstahl, Manipulation oder Ausfall) als ernst bis katastrophal an.
  • 56% halten einen Sicherheitsvorfall aufgrund unsicherer SAP-Systeme für wahrscheinlich.

Statistiken zur Abwehr von Angriffen auf SAP-Systeme

  • 75% sehen Ihr Unternehmen nicht in der Lage einen Angriff auf ein SAP-System sofort zu erkennen.
  • 59% können Angriffe auf Ihr SAP-System auch nach einem Monat nicht erkennen.
  • 81% halten eine kontinuierliche Überwachung der SAP-Systeme für wichtig
  • 78% halten die Messung der Sicherheit des SAP-Systems durch Audits für wichtig.

Statistiken zur Awareness von SAP-Cybersecurity

  • 47% erwarten einen Anstieg von Angriffen auf SAP-Systeme in den nächsten 24 Monaten.
  • 59% glauben die Angriffsfläche von SAP-Systemen steigt durch Trends wie Cloud, Mobile, Big Data und IoT.
  • 76% geben an Ihr Management versteht die geschäftskritische Bedeutung der SAP-Systeme
  • 63% jedoch sehen beim Management eine Unterschätzung der mit unsicheren SAP-Anwendungen einhergehenden Risiken.

Zusammenfassend kann man folgendes aus der Studie ableiten:

  • Die Risiken unsicherer SAP-Systeme werden noch nicht vollständig von der Führungsebene wahrgenommen, obwohl diese für Folgeschäden haften.
  • SAP-Systeme sind im Fokus von Cyberkriminellen und werden erfolgreich angegriffen.
  • Ein solcher Angriff ist ernst bis katastrophal und kann sehr hohe Kosten verursachen.
  • Mehr als die Hälfte der Unternehmen sind nicht auf solche Angriffe vorbereit oder können diese erkennen.
  • Es wird eine Steigerung der Angriffsfläche und -rate erwartet.
  • Zur Abwehr wünschen sich die Verantwortlichen die Möglichkeit der kontinuierlichen Messung und Härtung der Sicherheit Ihrer SAP-Systeme.

Der Werth Auditor ermöglicht die Prüfung und kontinuierliche Überwachung von SAP-Systemen. Eine kostenlose Prüfung der Systemsicherheit ist mit dem Quick-Check jederzeit möglich.

US-Cert warnt vor Cyberangriff auf SAP-Systeme

Kürzlich hat die US Homeland-Behörde die erste US-Warnmeldung für SAP-Systeme herausgegeben.

Gewarnt wird vor einer Schwachstelle in SAP Java Systemen, für die seit 2010 mit den SAP-Notes 1445998 und 1467771 Patches  verfügbar sind.

Laut der Meldung vom US-Cert haben Sicherheitsforscher Hinweise auf aktive Angriffe gegen 36 Unternehmen ermittelt.

Laut einem Artikel  von Reuters stützen die Sicherheitsforscher Ihre Erkenntnisse auf Einträge mit detaillierten Beschreibungen der Angriffswege in einen chinesischen Forum.

Eine kurze Suche bei Google führt zu diesem Forum. Dort lassen sich 41 Einträge finden, was zu der gemeldeten Anzahl von 36 Unternehmen passen kann, da ein Unternehmen oftmals mehr als ein SAP-System besitzt. Mit hoher Wahrscheinlichkeit handelt es sich hier, um das von den Sicherheitsforschern genannte Forum.

Schaut man sich die Einträge im Detail an, stellt man jedoch schnell fest, dass es sich hier um verantwortliche Schwachstellenmeldungen handelt, die allesamt vor der Veröffentlichung behoben wurden.

Ein Beweis für tatsächliche Cyberangriffe sollte belastbarer sein, als in die der Branche üblichen Vuln-Advisories und damit die hier existierenden Forumbeiträge.

Dennoch zeigt dieses Beispiel wie real die Gefahr von Angriffen auf SAP-Systemen ist. Immerhin haben chinesische Sicherheitsforscher angreifbare SAP-Systeme identifiziert und nachweisbar ausnutzen können. Dies zeigt auch, dass die Bedrohung durch bekannte Schwachstellen (diese hier ist 6 Jahre alt) signifikat größer ist als durch die viel zitierten 0-Day Angriffe.

Schützen Sie Ihre SAP-Systeme, um gegen Cyberangriffe gewappnet zu sein.

Unsere Lösung Werth Auditor erkennt zuverlässig Sicherheitslücken in SAP-Systemen und bietet Lösungen zur Eliminierung der ermittelten Schwachstellen.

SAP-ERP-System als Einfallstor für Cyberangriff auf US-Regierung – ca. 25.000 Datensätze von Regierungsangestellten gestohlen

Hacker sind Ende 2013 in die Netzwerke der U.S. Investigations Services, welche für die Überprüfung von Regierungsangestellten verantwortlich ist, eingedrungen und bis Ende Juni 2014 unentdeckt geblieben.
Die Untersuchungen des Vorfalls haben ergeben, dass das SAP-ERP-System von den Hackern als Einfallstor genutzt wurde.
Welche Schwachstelle genau ausgenutzt wurde, wird in dem Bericht nicht offen gelegt.

Es wird aber vermutet, dass die Angreifer mit staatlicher Unterstützung agiert haben.

 

Weitere Details zu dem Vorfall ist in folgenden Quellen zu finden:
http://www.nextgov.com/cybersecurity/2015/05/third-party-software-was-entry-point-background-check-system-hack/112354/
http://securityaffairs.co/wordpress/27499/cyber-crime/network-usis-compromised-cyber-attack.html
http://thehill.com/policy/cybersecurity/241588-report-hackers-infiltrated-security-contractor-using-third-party#.VVDynaRdLTc.twitter

SAP ERP System der Airports Authority of India (AAI) von Unbekannten lahmgelegt

Die Airports Authority of India (AAI) ist eine indische Regierungseinrichtung und verantwortlich für die Verwaltung der zivilen Luftfahrt in Indien. Einem Bericht auf Techworm ist nun zu entnehmen, dass Hacker am 19ten Juli 2014 einen schweren Cyberangriff auf die Behörde geführt haben.

Dies ist besonders kritisch, da die AAI 125 Flughäfen – darunter 11 internationale- sowie 25 Militärische Flughäfen mit zivilen Zugang betreut und die Angreifer Zugang zu kritischen Daten wie Flugrouten und Zugangsdaten zu dem Air Traffic Management System erhalten haben können.

Doch damit nicht genug. Fest steht, dass zunächst die Webseite der AAI gehackt wurde. Anschließend konnten die Hacker sogar bis zu dem ERP System vordringen. Erst im Juni 2013 verkündete die AAI die erfolgreiche Einführung Ihres neuen SAP ERP Systems. Knapp ein Jahr nach dem Go-Live haben Hacker nun dieses System sabotiert und erfolgreich Außer Betrieb gesetzt.

Dieser Vorfall zeigt sehr deutlich, dass SAP Systeme zwingend in dem Unternehmesweiten Sicherheitskonzept zu berücksichtigen sind. Aufgrund der zunehmenden Vernetzung gibt es keine isolierten und somit vermeintlich sicheren Bereiche mehr. Daher sind die hochkritischen ERP Systeme regelmäßig auf Schwachstellen zu testen. Nur so können Angriffen erfolgreich abgewehrt werden.

Erhöhen Sie jetzt die Sicherheit Ihrer SAP Systeme und Nuzten unsere Sicherheitslösung, weil Ihr Unternehmen schützenWERTH ist!

SAP Trojaner entdeckt

Eine neu entdeckte Schadsoftware auf Basis eines bekannten Banking Trojaners ist um eine bemerkenswerte Funktion erweitert worden. Der Trojaner sucht aktiv auf befallenen Systemen nach installierter SAP Software.

Was bedeutet dies für SAP Anwender?

Das Verhalten der Schadsoftware deutet darauf hin, dass Cyberkriminelle SAP Systeme in das Visier nehmen. Mittels der befallenen Client-Rechner kategorisieren sie SAP Systeme in der IT-Infrastruktur. Entweder planen Sie den Verkauf von Zugängen zu den befallenen Systemen, um Dritten indirekt Zugriff auf die SAP Systeme zu verschaffen. Es kann jedoch auch sein, dass die Kriminellen selbst zu einem späteren Zeitpunkt den Zugang zu den SAP Systemen ausnutzen wollen.

Wie kann man sich schützen?

Ein Grundschutz besteht in der regelmäßigen Aktualisierung der Antiviren-Software sowie dem Einspielen der SAP Security Notes.
Da man jedoch Antiviren-Software austricksen kann und SAP Security Notes keinen Schutz gegen Angriffe mit legitimen Zugangsdaten bieten, muss die Angriffsfläche der SAP Systeme selbst reduziert werden. Dies kann man durch regelmäßige Prüfungen der SAP Systeme mit einem SAP Security Scanner erreichen. Damit nimmt man Angreifen die Möglichkeit über Exploits Zugriff auf das System zu erhalten und reduziert durch Kontrolle von kritischen Berechtigungen das Risiko im Falle des Verlustes von Zugangsdaten zum System.

Status SAP Cybersicherheit 2016

Im Sommer 2016 gab es viele Schlagzeilen der Art „Weltweit 36.000 unsichere SAP-Systeme über das Internet angreifbar“ oder „36000 SAP systems exposed online, most open to attacks“ .

Dies kann man sicher als Zeichen sehen, dass SAP Sicherheit auch 2016 noch nicht den Stellenwert besitzt, den die mit diesen Systemen verarbeiteten Daten und Geschäftsprozesse erfordern. Den Verantwortlichen muss klar sein, dass auch Unwissenheit nicht vor Cyber-Angriffen schützt oder von der Haftung entbindet.

Die Angriffsfläche vergrößert sich durch neue Produkte (HANA, SAP Mobile) stetig. Inzwischen fasst SAP zur besseren Beherrschbarkeit der Sicherheitslücken die Patches in Pakete zusammen und so adressiert  ein Patch nun mehrere Sicherheitslücken statt wie zuvor nur exakt eine Lücke. Eine Auswertung der Patches zeigt, dass nahezu jedes SAP Modul von Sicherheitsrisiken betroffen ist.

Doch nicht nur Schwachstellen in der Software werden zum Risiko, auch die Implementierung der SAP-Systeme weist oft Schwachstellen in der Konfiguration auf.

Werden Patches nicht zeitnah eingespielt oder ist die Konfiguration nicht gegen Cyber-Angriffe gehärtet, sind diese Systeme besonders gefährdet. Besonders wenn Sie über das Internet erreichbar sind.

Doch was ist mit den Systemen die „sicher“ hinter einer Firewall im „internen“ Netzwerk stehen?

Auf den ersten Blick erscheint es hier doch viel schwieriger für Angreifer an die SAP-Systeme zu gelangen. Doch die vermeintliche Sicherheit ist trügerisch. So belegt eine Studie der IBM X-Force, dass Angriffe aus den eigenen Reihen einer hohe Bedrohung darstellen.

Weiter zu beachten ist, dass moderne Cyber-Angriffe nicht an der Unternehmes-Firewall enden. Sie überwinden diese problemlos und bleiben oft lange unentdeckt, während die Angreifer vollen Zugriff auf das Intranet besitzen.

Wobei aktuelle Meldungen auch eindeutig belegen, dass Firewalls für professionelle Angreifer kein Hindernis darstellen. Dies zeigen eindringlich aktuelle Berichte über die Sicherheitslücken in bekannten Produkten wie von Fortinet oder Cisco.

Fazit:

Ein aktueller Stand der Technik zum Schutz von SAP-Systeme sieht den Einsatz von Firewalls oder Antivirus-Lösungen nicht als Ausreichend an. Die Systeme sind (unabhängig von Ihrem Standort) aus dem Internet (indirekt) erreichbar. Daher erfordert ein kontinuierliches und dem Stand der Technik entsprechendes Sicherheitskonzept die Härtung der Systeme, die zeitnahe Einspielung von Sicherheitspatches, die regelmäßige Prüfungen von kritischen Berechtigungen und -kombinationen, die Prüfung der Netzwerkschnittstellen und des Custom-Code auf Schwachstellen sowie eine Protokollierung sicherheitsrelevanter Ereignisse und Prüfung der Logs.

Hierbei vertrauen SAP-Anwender auf unsere Lösung WerthAUDITOR zur permanenten Überwachung Ihrer SAP-Systeme und den dort verarbeiteten kritischen Geschäftsdaten und -prozesse.

Lagebericht SAP-Sicherheit 2014

Das Jahr 2014 hat gezeigt, dass SAP-Systeme verstärkt in das Visier von Cyberangriffen geraten sind. Dies belegen unter anderem die Angriffe auf die AAI und NVIDIA . Eine Zunahme solcher Angriffe ist auch nicht verwunderlich, da in den SAP-Systemen die digitalen Kronjuwelen eines Unternehmens lagern. Vielmehr war es nur eine Frage der Zeit wann SAP-Systeme gezielt angegriffen werden. 2014 ist daher eindeutig als Stunde 0 der SAP-Sicherheit zu kennzeichnen. Ab sofort ist die Sicherheit von SAP-Systemen ein Muss zum Schutz der dort gelagerten Daten.

Im wesentlichen forcieren zwei Faktoren die Notwendigkeit von SAP-Sicherheit:

  1. Die Vernetzung der SAP-Systeme nimmt drastisch zu.
    Die Systeme sind aus dem kompletten Intranet erreichbar, zusätzlich auch verstärkt aus dem Internet (Portalserver) und natürlich mittels mobilen Endgeräten. Der Trend „Cloud“ wird die globale Erreichbarkeit noch deutlich verstärken.
  2. Die SAP-Systeme „nur“ im Intranet zu betreiben bietet keinen ausreichenden Schutz vor externen Angriffen.
    Moderne Spionage- und Schadprogramme ermöglichen externen Angreifern direkten Zugriff auf das Intranet. Zum Einen belegen dies die Veröffentlichungen rund um die Tools der NSA, zum Anderen gibt es konkrete Beispiele für entsprechende Angriffe auf ERP-Systeme. Exemplarisch sei hier auf den Windows-Trojaner zur Ausspähung von SAP-Systemen und Zugangsdaten sowie dem Angriff via manipulierte Handscanner auf ERP-Systeme verwiesen.

Glücklicherweise verbessern sich die Bordmittel zur Härtung von SAP-Systemen zusehends. Leider steigt damit auch die Komplexität zur Bedienung der angebotenen Hilfsmittel. Daher ist es absolut notwendig die errichteten digitalen Schutzwälle und Sicherheitsmaßnahmen des SAP-Systems auf korrekte und „wie vorgesehene“ Funktion und Wirkung zu prüfen.

Zur Verdeutlichung soll ein reales Beispiel aus der Praxis dienen:

Ein Audit bei einem Großunternehmen sollte durchgeführt werden. Das Thema SAP-Sicherheit hatte in dem Unternehmen bereits seinen Stellenwert. So werden die SAP-Systeme regelmäßig durch eine Prüfgesellschaft aus dem Kreis der Big-Four kontrolliert und zertifiziert. Zusätzliche Tools zur Steigerung der Sicherheit sind ebenfalls im Einsatz. Das Ziel des Audits war somit die Wirksamkeit der ergriffenen Maßnahmen zu belegen.
Die Ergebnisse waren jedoch alarmierend: Schwerwiegende Sicherheitslücken konnten identifiziert werden.

Wie konnte dies geschehen obwohl doch aktiv die Sicherheit der Systeme forciert wurde?

Die Antwort ist erschreckend simpel: Nur eine vollständige Prüfung der Sicherheit des Systems kann zur korrekten Bewertung ohne „blinde Flecken“ führen. Ein Unternehmen muss demnach wissen wie ein umfassendes Risikomanagement aussieht und entsprechend selbst die Systeme prüfen oder einen Dienstleister auswählen, der in der Lage ist eine solch umfassende Prüfung korrekt durchzuführen. Zusätzlich ist es empfehlenswert die Log-Dateien der Systeme regelmäßig nach forensichen Gesichtspunkten auf Angriffsspuren zu untersuchen.

Fazit:

Die Bedrohung der Daten und SAP-Systeme selbst hat deutlich zugenommen. Zum Schutz der digitalen Kronjuwelen wird die Härtung der SAP-Systeme und die Prüfung deren Wirksamkeit dringend empfohlen. Ein Berechtigungskonzept oder der „reine Betrieb im Intranet“ sind allein keine ausreichenden Schutzmaßnahmen mehr. Eine automatisierte Lösung, die zuverlässig alle sicherheitsrelevanten Bereiche überprüft und in kurzer Zeit den Systemstatus ermittelt, bietet sich für diese Aufgabe an.