Transparent und manipulationssicher: Dashboard zur Angriffserkennung für SAP-Systeme

Werth IT, Hersteller der prämierten SAP-Security-Lösung WerthAuditor bietet das, wonach viele SAP-Kunden seit langem suchen: ein tiefgreifendes und manipulationssicheres System zur Angriffserkennung und Sicherheitsbewertung ihrer SAP-Landschaft. Brandneu ist das Security Dashboard 2.0, das alle durch den WerthAuditor erkannten Sicherheitsrisiken in den Systemen visualisiert und eine Bewertung der zugehörenden Sicherheitsprozesse ermöglicht. Das interaktive und editierbare Dashboard bereitet übersichtlich alle Sicherheitsinformationen in Echtzeit auf.

Das neue Security Dashboard 2.0 der WerthAuditor-Plattform für SAP-Systeme ermöglicht wertvolle Analysen und Zugriff auf Sicherheitsdaten in Echtzeit

Der diesjährige 1. Mai war für viele IT-Experten nicht nur ein Feiertag, sondern vor allem ein Tag, der SAP-Kunden vor neue Herausforderungen stellt: Denn ab dem 1. Mai 2023 greift das IT-Sicherheitsgesetz 2.0 (kurz IT-SIG 2.0), das die deutsche KRITIS-Regulierung von 2015 deutlich erweitert. Das bedeutet: mehr Pflichten für Unternehmen und IT-Verantwortliche, höhere Cyber-Security-Anforderungen und erweiterte Befugnisse für Staat und Regulierungsbehörden. Eine anspruchsvolle Aufgabe für Unternehmen, die für ihre kritischen Infrastrukturen SAP einsetzen und somit im Fokus des IT-SIG 2.0 stehen, denn die meisten Lösungen erfüllen die steigenden Security-Anforderungen nicht im gewünschten Umfang.

Security Dashboard 2.0 – Angriffserkennung und Risiken auf einen Blick

Die neueste Innovation der Werth IT – ein übersichtliches Dashboard, das alle Sicherheitsrisiken sowie die dazu gehörenden Sicherheitsprozesse in den Systemen innerhalb einer Oberfläche in Echtzeit aufzeigt – kommt daher genau zur richtigen Zeit. Die Visualisierung sämtlicher Sicherheitsinformationen aller miteinander kommunizierenden Systeme der kompletten SAP-Landschaft zentral in nur einem Dashboard ist eine echte Innovation und ein Alleinstellungsmerkmal der Lösung. Zudem können Security-Fachkräfte aus dem Haupt-Dashboard heraus die für ihren Verantwortungsbereich relevanten detaillierteren Einzel-Dashboards ansteuern und tiefgreifende Informationen zu einzelnen Bereichen abrufen. Ebenfalls äußerst wertvoll: Das Dashboard zeigt in Echtzeit und en Detail, wie sicher die SAP-Landschaft aufgestellt ist, welche Rubriken zu verbessern sind und wo unmittelbares Handeln erforderlich ist.

Die wichtigsten Features des WerthAuditor in Überblick

Der WerthAuditor bietet SAP-Kunden eine umfassende Angriffserkennung: Er enttarnt Angriffe, deckt Sicherheitsrisiken auf und visualisiert die zugehörigen Sicherheitsinformationen – in allen miteinander kommunizierenden Systemen der IT-Landschaft. Jederzeit und in Echtzeit analysiert die Security-Lösung die Sicherheitskonfiguration, weist auf fehlende SAP-Security-Notes und Patches hin und überprüft den gesamten ABAP-Quellcode – und zwar nicht nur den für Kunden zugängigen Bereich, der lediglich einen kleinen Teil das ABAP-Codes ausmacht. Ferner prüft die Lösung das Betriebssystem, die Datenbanken, Schnittstellen sowie die Berechtigungen. Zusätzlich lässt sich an der Entwicklung des Security-Reifegerades sowie der Lebensdauer von Schwachstellen die Wirksamkeit der internen Security-Prozesse ablesen und analysieren.

Modernste, intelligente Security-Analyse mit mehr als 2.000 Prüfungen

Während herkömmliche Prüfsysteme die erhobenen Daten häufig in Tabellen darstellen, verwendet Werth IT die SIEM(Security Information and Event Management)-Technologie, mit deren Hilfe alle gesammelten Sicherheitsdaten vollständig über Schlagworte und beliebige Zeiträume filterbar sind und ganzheitliche, tiefgreifende Sicherheitsanalysen aller Systeme ermöglichen. Dies bedeutet zugleich maximale Effizienz für Threat Detection, Vulnerability Management und Patch Management.

Weitere wichtige Aspekte: Die Werth-IT-Lösung arbeitet mit Zero Footprint und erfordert keine Softwareinstallation beziehungsweise Agenten auf dem lokalen System. Ebenfalls wichtig: Die Lösung benötigt keine stehende Internetverbindung. Dadurch sind alle Sicherheitsdaten manipulationssicher, denn Angreifer der überwachten SAP-Systeme können nicht auf die Prüflogik, das Dashboard oder dessen Daten zugreifen.

Für die Sicherheits-Teams und die Verantwortlichen stehen mehrere vollständig anpassbare Dashboards zur Verfügung. „Das Management und die IT nutzen unser Security Dashboard für den Zugriff auf unverfälschte Echtzeitdaten, um auf dieser Basis kompetente und richtungsweisende Beschlüsse zu fassen. Mit über 2.000 Prüfungen und einem kontinuierlichen Monitoring liefert der WerthAuditor optimale Voraussetzungen, um alle Anforderungen des IT-SIG 2.0 zuverlässig zu erfüllen“, erklärt Thomas Werth, Geschäftsführer der Werth IT.

Das Security Dashboard 2.0 für SAP ist ab sofort verfügbar und als Webanwendung von jedem Device aus aufrufbar.

3. Dezember 2018

Howto: SAP Security #5 – ICM Sicherheit

Im dem fünften Teil der Serie „Howto SAP Security“ (Gateway , Netzwerk, Datenbank, RFC ) ist das Thema der Internet Communication Manager (ICM).

Internet Communication Manager (ICM)

Der ICM nimmt Anfragen über das HTTP(s) Protokoll entgegen. Insbesondere Aufrufe aus dem Internet an das SAP-System lassen sich so seit geraumer Zeit realisieren. Diese Aufrufe gibt der ICM je nach Architektur an den JAVA oder ABAP Dispatcher zur Verarbeitung weiter. Dies ist auf dem folgenden Schaubild zu erkennen:

„Howto: SAP Security #5 – ICM Sicherheit“ weiterlesen

30. Juli 2018

Howto: SAP Security #1 – SAP Gateway

Mit diesem Beitrag startet die Serie „Howto SAP Security“. In der Serie werden typische SAP Angriffsflächen vorgestellt – mitsamt Angriffsvektoren und Gegenmaßnahmen. Zu Beginn der Serie wird daher mit dem SAP Gateway das wahrscheinlich größte Angriffsziel betrachtet.

SAP Gateway

Das SAP Gateway ist eine Schnittstelle des Systems nach außen. Es dient der Kommunikation mit anderen Systemen oder Programmen und regelt jegliche RFC Kommunikation. Das Gateway ist eine Kernkomponente der SAP Netweaver Systeme.

Für einen Angreifer sind folgende Eigenschaften des Gateways von Bedeutung.

Zuerst ist die Ausführung mit <SID>adm Rechten im System zu nennen. Weiterhin besitzt es Funktionen zur Befehlsausführung auf OS-Ebene. Letztlich ist das Gateway ohne Authentifizierung nutzbar.

„Howto: SAP Security #1 – SAP Gateway“ weiterlesen

14. Juni 2018

Erfahrungsbericht SAP-Security-Audit und Kundenbewertung

Oftmals fragen sich Unternehmen welche Erfahrungen andere Unternehmen mit dem Thema SAP-Security-Audit gemacht haben. Dabei stehen meist die nachfolgenden Fragen im Vordergrund:

Gab es Komplikationen?
Welcher Nutzen ist entstanden?
Wie Aufwändig ist ein solches Projekt?
Wie geht es danach weiter?

Es gibt sehr wenige öffentliche Erfahrungsberichte von Unternehmen, die anderen Unternehmen Einblick in SAP-Security-Audits geben können. Daher möchte ich mit freundlicher Genehmigung der Queisser Pharma GmbH an dieser Stelle einen Erfahrungsbericht publizieren:

Erfahrungsbericht von Queisser Pharma GmbH & Co. KG mit dem von der OSC AG durchgeführten SAP Security-Audit

Da das Thema Sicherheit für Unternehmen essentiell und überlebenswichtig ist, lassen wir zurzeit unsere Systeme von externen Partnern auf mögliche Sicherheitslücken überprüfen. Es ist von Vorteil, die eigenen Anstrengungen bzgl. Sicherheit auch mal extern begutachten zu lassen.

Nachdem wir letztes Jahr einen Penetration-Test durchführen ließen, haben wir uns als nächstes entschlossen, unser SAP System von OSC mit dem WerthAUDITOR prüfen zu lassen.

Mit der Software wurden bei uns 660 Einzeltests durchgeführt. Hierbei ging es unter anderem um die Berechtigungen, die Datenbank, die Schnittstellen, die relevanten Themen bzgl. Wirtschaftsprüfung, kritischen ABAP-Code etc..

In der ersten Kurzübersicht konnte man sich sehr schnell einen ersten Überblick verschaffen. In einem Workshop mit OSC haben wir uns dann die Details angesehen und die erforderlichen Maßnahmen besprochen. Auf dieser Grundlage haben wir die erforderlichen Aufgaben aufgeteilt, in Punkte die wir selber durchführen können und in Maßnahmen, die wir von OSC durchführen lassen.

Durch das Security-Audit haben wir nun einen klaren Leitfaden, wie wir unser SAP System noch sicherer machen können.

Positiv überrascht hatte uns, dass wir nahezu keinen eigenen Aufwand bei der Durchführung der Tests hatten. Die breite Palette an verschiedenen Tests hat uns sehr gefallen.

Da die Tests selber ohne großen Aufwand für uns durchgeführt werden konnten und wir bei den erforderlichen Maßnahmen das Tempo je nach eigener Auslastung selber bestimmen können, ist solch ein Test jederzeit durchführbar. Wir sind sehr zufrieden mit dem Security-Audit und können es jedem empfehlen.

Als Essenz aus dem Erfahrungsbericht lässt sich folgendes festhalten:

Das Thema Sicherheit ist für Unternehmen essentiell und überlebenswichtig.
Es ist von Vorteil die Sicherheit auch mal extern begutachten zu lassen.
Der Prüfungsumfang muss umfassend sein: Berechtigungen, die Datenbank, die Schnittstellen, die relevanten Themen bzgl. Wirtschaftsprüfung, kritischen ABAP-Code etc..
Die Kurzübersicht liefert sehr schnell einen ersten Überblick, Maßnahmen lassen sich leicht ableiten.
Der Security-Audit haben gibt einen klaren Leitfaden, wie das SAP System noch sicherer wird.
Es gibt nahezu keinen eigenen Aufwand für den Kunden bei der Durchführung der Tests.
Der Test ist jederzeit durchführbar und es gibt eine klare Weiterempfehlung.

Jetzt informieren: SAP Audit

14. Juni 2018

SAP HANA Sicherheitsübersicht – Neue BSI-Publikation von WERTH

Mit der Markteinführung von HANA 2011 als zukünftige Standard-Datenbank für SAP-Systeme hat SAP ein ehrgeiziges Ziel ausgegeben. Um dieses Ziel zu erreichen wurde die In-Memory-Datenbank HANA konsquent ausgebaut. Zunächst kam mit HANA XS der Schritt zur Plattform und 2015 erschien mit S/4HANA die erste SAP-Komplettlösung auf HANA-Basis.

Damit rückt HANA immer stärker in das Zentrum einer SAP-Landschaft. In Kombination mit dem Schutzbedarf der dort hinterlegten Daten wird schnell klar, dass ein angemessener Schutz von HANA-Systemen unabdingbar ist.

Hierzu gilt es unter anderem die Netzwerksicherheit zu gewährleisten, den korrekten Umgang mit dem System Benutzer vorzunehmen, für eine verschlüsselte Kommunikation zu sorgen und die persistenten Daten sowie die Enrcyption Keys richtig zu handhaben. Ebenso müssen die Benutzer und die Authentifizierung sicher verwaltet und konfiguriert werden.

Auch das Auditing und Logging hat seinen Anteil an der Gesamtsicherheit des HANA-Systems und ist entsprechend manipulationssicher einzurichten. Aufgrund zunehmender öffentlich bekannter Schwachstellen ist ebenfalls ein effektives Patchmanagement von Nöten. Werden Eigenentwicklungen unter HANA XS erstellt, so sind die Entwicklungen „sicher“ vorzunehmen.

Es zeigt sich also die Sicherheit von HANA ist komplex.

Eine Übersicht zu dem Thema und den notwendigen Schritten finden Sie in unserer neuesten BSI-Publikation „SAP HANA Sicherheitsübersicht„

14. Juni 2018

SAP-Sicherheit für CI(S)Os – Neue BSI-Publikation von WERTH

SAP-Systeme verarbeiten und speichern die unternehmenskritischen Daten. In diesem System finden sich die Kunden-, Lieferanten- und Personaldaten. Ebenso werden hier die Finanzdaten wie Bilanzen, Bankkonten und Buchungen verarbeitet. Zusätzlich trifft man Planungsdaten, Konstruktionsdaten und Vertriebsinformationen wie Preislisten an. Jeder einzelne Datenbereich ist bereits sensibel und in Kombination hoch kritisch.

Ein Ausfall des Systems und ein ausbleibender Zugriff auf diese Daten bei gleichzeitigem Verarbeitungsstillstand führen in der Regel zu einem Betriebsausfall. Damit sind SAP-Systeme ein lohnendes Ziel für Cyber-Angriffe. Egal ob Spionage, Sabotage oder Betrug die Motivation ist, die Daten in dem SAP-System geben ein attraktives Ziel ab. Cyberattacken auf SAP-Systeme können großen Schaden im Unternehmen verursachen.

Um sich wirkungsvoll vor ihnen zu schützen, sollten Sie wissen, welche Motive professionelle Hacker verfolgen, wie Sie sich Zugang in das Herz Ihres Unternehmens verschaffen und welche Folgen ein Hackerangriff haben kann. Diese Informationen finden Sie in unserer neuesten BSI-Publikation.

14. Juni 2018

BSI: Allianz für Cybersicherheit veröffentlicht Leitfaden zur Erkennung und Abwehr von Risiken in SAP-ERP-Systemen

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde.

Der Leitfaden dient der Sensibilisierung von SAP-Verantwortlichen und zeigt oft übersehene Angriffsflächen in SAP-Systemen auf. Diese werden an Beispielen verständlich beschrieben. So wird das Gefährdungspotential von kritischen Berechtigungen, Standardzugangsdaten, der RFC-Schnittstelle und unverschlüsselter Kommunikation nachvollziehbar präsentiert. Zusätzlich wird beschrieben, wie man das eigene System schnell und einfach auf potentielle Risiken testen kann.

Das Dokument wird von dem Partnerunternehmen Werth IT zur Allianz für Cybersicherheit beigesteuert. Die Werth IT hat sich zum Ziel gesetzt, das Know-How der deutschen Wirtschaft zu schützen.

Bekannt ist die Werth IT für ihre preisgekrönte Software Werth Auditor. Die Lösung ermöglicht die schnelle und einfache Beurteilung der Sicherheit von SAP Systemen.
Der Werth Auditor gehört zu den technisch führenden Sicherheitslösungen und vereint als einzige umfassende Prüfungen, die sonst nur unter Einsatz verschiedener Programme möglich wären. Dies umfasst unter anderem die Analyse von Custom ABAP-Code unter verschiedenen Sicherheitsaspekten. Sowie die Prüfung des Systems über alle relevanten Schnittstellen auf technische Schwachstellen, Fehlkonfigurationen, kritische Berechtigungen, problematische Rechte-Kombinationen (SoD). Der Einsatz der Lösung erfordert dabei weder Änderungen an dem bestehenden SAP System noch die Installation zusätzlicher Server. Die intuitiv zu bedienende Lösung erlaubt somit die Identifikation, Priorisierung und Behebung von Risiken in SAP Systemen.

14. Juni 2018

Quizfrage: Was haben Passwortsicherheit und das 4-Augen-Prinzip mit schwedischen Gardinen gemeinsam?

Dieser Post dreht sich um eine wahre Begebenheit die am 27.01.2015 begann und am 15.03.2017 endete. Im Mittelpunkt stehe eine Mitarbeiterin einer Finanzbehörde die laut deren Vorgesetzten eine ausgewiesenen Fachfrau für Buchhaltungsfragen ist.
Zitat:

„Eine solche Mitarbeiterin wünscht man sich.“ [1]

Die Zutaten zu dieser Story aus dem Leben entstammen aus dem 1×1 der SAP- und IT-Sicherheit. In der Theorie unterliegen Passwörter gewissen Richtlinien zur sicheren Auswahl und sind geheim zu halten. Ebenso ist die Sicherheit und der ordnungsgemäße Betrieb unternehmenskritischer Systeme wie bei SAP-ERP-Systemen einzuhalten und nachzuweisen. Dies zu kontrollieren ist teilweise Aufgabe der Wirtschaftsprüfer sowie der internen Revision und des internen Kontrollsystems. In diesem Fall war es jedoch ein Gericht, dass über all dies urteilen durfte.

Besagte Mitarbeiterin arbeitete bei dem städtischen Service-Zentrum Kasse.Hamburg – die Sicherheitsvorgaben und -prüfungen der Behörde sind hier nicht weiter bekannt.

Die junge Frau konnte sich das Passwort Ihrer Kollegin beschaffen. Im Rahmen der Gerichtsverhandlung und der öffentlichen Berichterstattung wurde hierzu folgendes Bekannt:

Anfang 2015 hatte sich die damals 26-Jährige das Passwort ihrer Kollegin beschafft, das allerdings auch in fahrlässiger Weise offen zugänglich war, wofür es im Nachhinein auch eine Rüge gab. [2]

Mit den Zugangsdaten der Kollegin war die Mitarbeiterin in der Lage Bankdaten anzulegen und zu ändern sowie Zahlungen auszuführen. Ob hier das 4-Augen Prinzip verletzt wurde, lässt sich aus den öffentlichen Informationen nicht sicher ermitteln, jedenfalls wird deutlich darauf hingewiesen, dass erst der Zugang im Namen der Kollegin dies möglich machte:

Mit dem Passwort war die Angeklagte in der Lage, Gelder der Finanzbehörde auf ihr Privatkonto zu überweisen – ohne dass es sofort auffiel.[2]

Ob allein im Namen der Kollegin oder im Zusammenspiel mit Ihrem eigenen Zugang – im Weiteren hat die Mitarbeiterin Gelder der Behörde abgezweigt. Niemanden fielen die ungewöhnlichen Zahlungen oder die Mehrfachnutzung des Zugangs der Kollegin auf. Ein Dutzend Zahlungen zwischen 50€, 5000€ oder 6000€ sind auf diesem Weg erfolgt.

Erst bei einer Überweisung von 394.440 Euro ist jemand aufmerksam geworden. Dies nicht von der internen Revision oder durch einen Alarm des internen Kontrollsystems. Nein – es war ein Mitarbeiter der Sparkasse bei der die Behörde Ihre Konten führt. Dieser war alarmiert, da eine so hohe Überweisung auf ein Privatkonto führte und fragte entsprechend nach. Dies setzte die Ermittlungen in Gang, die letztlich zur Anklage führten. Zunächst gegen beide Mitarbeiterinnen, wobei sich der Passwortdiebstahl im weiteren Verlauf entlastend für die eigentlich unbeteiligte Mitarbeiterin auswirkte.

Zur Motivation der Innentäterin wurde nichts bekannt:

Das Motiv konnte oder wollte sie nicht nennen. [1]

Möglicherweise trifft hier einfach das Sprichwort „Gelegenheit macht Diebe“ zu und die Versuchung war zu groß – trotz eines guten Jobs bei der Behörde.

Das Gericht jedenfalls zeigte wenig Mitleid mit der Mutter von zwei kleinen Kindern und verordnete 2 Jahre und 10 Monate hinter schwedischen Gardinen.

Ein paar offene Fragen bleiben:

Ob ein besserer Sicherheitsstandard bei der Behörde die Mutter von zwei Kindern vor einem schwerwiegenden Fehler geschützt hätte?

Wieso schlug das interne Kontrollsystem nicht bereits bei den kleinen Beträgen an?

Wieso waren die Passwörter und Accounts nicht hinreichend geschützt, um einen mehrfachen Missbrauch zu verhindern?

Warum hatte der Zugang der Kollegin so eine weitreichende Berechtigungen?

Immerhin hat die Behörde nun eine spezielle Software angeschafft, um Betrug zu erkennen. Warum man jedoch die Anschaffung eines „Rauchmelder“ statt Maßnahmen „zur Verhinderung eines Feuers“ öffentlich hervorhebt bleibt unbeantwortet…

Quellen:
[1]: https://www.ndr.de/nachrichten/hamburg/Ueber-zwei-Jahre-Haft-wegen-schwerer-Untreue,untreue164.html
[2]: https://www.welt.de/regionales/hamburg/article162875904/Als-sie-sich-395-000-Euro-ueberwies-flog-der-Betrug-auf.html

14. Juni 2018

Erkennung von Angriffen auf SAP Systeme durch Analyse des SAP Security-Audit-Logs

Das SAP Security-Audit-Log ist ein wesentlicher Bestandteil zur Überwachung der Sicherheit eines SAP Systems. Denn es bietet Monitoring und Kontrollfunktionen, um zu prüfen welche sicherheitskritischen Aktivitäten in der Vergangenheit auf dem System vorgefallen sind.

Das Audit-Log wird in der SAP Hilfe wie folgt beschrieben:

Das Security-Audit-Log ist ein Werkzeug für Auditoren, die sich die Ereignisse im SAP-System detailliert ansehen müssen. Wenn Sie das Security-Audit-Log aktivieren, zeichnen Sie die Aktionen auf, die Sie für die Verfolgung als relevant einstufen. Sie können dann in Form eines Audit-Analysereports auf diese Informationen zugreifen und sie auswerten.

Oberstes Ziel des Audit-Log ist die Aufzeichnung von:

sicherheitsbezogenen Änderungen an der SAP-Systemumgebung (z. B. Änderungen an Benutzerstammsätzen)
Informationen, die mehr Transparenz bieten (z. B. erfolgreiche und erfolglose Anmeldeversuche)
Informationen, die der Nachvollziehbarkeit einer Reihe von Ereignissen dienen (z. B. erfolgreiche oder erfolglose Transaktionsstarts)

…

Ist das Audit-Log aktiviert, bietet es eine Kontrolle der protokollierten Ereignisse und somit einen guten Einblick in die Sicherheitslage des Systems.

So kann rückblickend festgestellt werden, wann welcher User, welche Berechtigungen oder Profil angelegt wurden.

Auch lässt sich feststellen wer Änderungen an der Audit-Log Konfiguration durchgeführt hat. Im Falle einer Aufarbeitung eines möglicherweise sicherheitsrelevanten Vorfalls sind dies wichtige Informationen.

Doch eine Analyse des Audit-Logs ermöglich es ebenso verdächtige Aktivitäten und Spuren von Angriffen zu erkennen. So wird detailliert protokolliert wann und von wo sich Standard-User wie SAP* eingeloggt haben. Ebenso lassen sich Passwort-Rate Angriffe anhandgescheiterter Logins erkennen.

Auch die RFC-Schnitstelle wird gründlich überwacht. Da diese oftmals ein El-Dorado für Angreifer ist, sollte man auf diese Log-Einträge besonders gründlich schauen.

Insbesondere gilt es heraus zu arbeiten ob kritische RFC-Funktionen aufgerufen wurden oder dies versucht wurde.

Beispielsweise könnte ein (gescheiterter) Aufruf der Funktion RFC_READ_TABLE für den (versuchten) Abfluss von sensiblen Daten stehen. Doch auch nach Funktionen, die (unfreiwillig) die Ausführung von Systembefehlen oder Datenbankabfragen erlauben ist zu suchen.

Auch erfolgreiche oder fehlgeschlagene RFC-Logins geben Aufschluss über mögliche Passwort-Rate-Angriffe.

Sicher sollte eine Anmeldung eines Standardbenutzers wie EARLYWATCH von einem Benutzer-Terminal aus den Argwohn eines Auditors erwecken.

Genauso wie eine Häufung von fehlgeschlagenen Transaktionsaufrufen eines Benutzers, insbesondere wenn es sich hierbei um kritische Transaktionen mit Möglichkeiten zur Rechteausweitung handelt.

Mit einer wie zuvor beschriebenen Analyse des Audit-Logs kann man somit beurteilen, ob das System in der Vergangenheit potentiellen Angriffen ausgesetzt war. Weiterhin hat man so auf einen Blick eine Übersicht über alle sicherheitsrelevanten Vorkommnisse auf dem System und kann Turnusmäßig den Status kontrollieren.

Aufgrund der vielen Einträge in dem Security-Audit-Log ist eine Automatisierung der Auswertung absolut empfehlenswert. Der Werth Auditor unterstützt Sie hierbei vollständig und hilft Ihnen damit direkt bei der Überwachung Ihres SAP Systems.
Prüfen Sie regelmäßig Ihr Audit-Log und bei Verdachtsfällen kontrollieren Sie das Audit-Log für den relevanten Zeitraum auf die hier beschriebenen kritischen Einträge.

14. Juni 2018

SAP-Mobile-Security

SAP ist dem Trend gefolgt Business Daten mobil verfügbar zu machen, allgemein ist dies unter dem Begriff SAP Mobile bekannt. Hier ist offensichtlich ein neuer Trend gestartet.
Doch wie sieht es mit der Sicherheit auf diesem Gebiet aus? Welche Risiken existieren hier und wie behandelt man diese?

Zunächst ist zu klären was genau ist eigentlich SAP Mobile?
Meistens wird in diesem Kontext SAP Fiori (Übersicht) und SAP Mobile Platform (SMP) verwendet.
SAP Fiori sind SAP-Anwendungen auf HTML5 Basis, welche mittels responsive Design „passend“ auf dem mobilen Endgerät dargestellt werden.

SMP erlaubt die Entwicklung mobiler Anwendungen für eine Vielzahl an unterstützten Geräten. Das SDK erlaubt die Kommunikation mit den SAP Mobile Diensten von SAP.

SAP UI5 und SAP Fiori mausern sich zur neuen Oberfläche von SAP und haben das Potential die SAP GUI langfristig abzulösen. So bietet Fiori Apps für die meisten SAP-Funktionen und kann von allen Endgeräten genutzt werden.
Selbst die Kommunikation mit dem NetWeaver Gateway ist problemlos möglich .

Doch auch SMP hat seine Alleinstellungsmerkmale. So erlaubt das SDK die Kommunikation mit dem Mobile Dienst und kann zur Kommunikation mit ERP, CRM, SCM und SRM Systemen verwendet werden. Ebenso kann das NetWeaver Gateway genutzt werden, um Daten zwischen dem System und den mobilen Endgeräten auszutauschen. Zusätzlich wird Afaria angeboten, um die mobilen Geräte sicher zu verwalten.

Wo lauern die Gefahren und wie werden diese minimiert?
Der Schlüssel zum Erfolg lieget in der sicheren Entwicklung der mobilen Anwendungen.
Dies fängt bei der Authentifizierung an.
Einige Apps nutzen anonyme Verbindungen ohne Zugangsdaten, diese werden dann meist einen generischen Benutzer im SAP-System zugeordnet. Damit kann Jeder einen solchen Zugriff verwenden und verfügt über die Rechte des generischen Benutzer.

Häufig wird die Verwendung einer HTTP Basic Authentifizerung bei den Apps gesehen. Doch hier muss man beachten, dass das Password lediglich Base 64 encodiert wird und ohne eine sichere HTTPS-Verbindung problemlos abgefangen und decodiert werden kann.

Sicherer ist da schon die Nutzung eines Token (SAP Single Sign-On) zur Anmeldung. Doch auch hier empfiehlt es sich nicht auf eine HTTPS-Verbindung zu verzichten, da ein findiger Angreifer möglicherweise auch ein im Klartext übermitteltes Token attackieren kann.

Eine Zertifikat basierte Authentifizierung stellt den sichersten Weg dar. Dies wird jedoch nur sehr selten verwendet, da die Umsetzung wesentlich komplexer ist. Man benötigt Client- und Server-Zertifikat. Eine passgenaue Zertifikatsprüfung und die richtige Konfiguration im Server.

Hat man die Hürde der sicheren Anmeldung gemeistert, ist fortan eine sichere Kommunikation zu verwenden.
Der häufigste Weg ist die Nutzung einer HTTPS-Verbindung mit Zertifikatsprüfung. Alternativ kann man auch ein VPN nutzen.
Wichtig ist jede Anfrage und Antwort auf diesem Weg zu senden. Selbst-Signierte Zertifikate zerstören die Sicherheit einer HTTPS-Verbindung, da diese nicht verifiziert werden können (ohne das Stammzertifikat eigenhändig in den Trusted Sec Store einzubinden) und somit bekannte Spoofing-Angriffe ermöglichen.
Die sichere Kommunikation erfordert jedoch nicht nur Augenmerk bei der App-Entwicklung, sondern auch im späteren Betrieb. Insbesondere SSL war zuletzt häufig wegen Sicherheitsproblemen in der Presse (Heartbleed, FREAK, LOGJam). Hier muss man immer Up2Date bleiben!

Letztlich ist noch die sichere Datenspeicherung zu beachten. Sind die Daten erst einmal sicher auf dem mobilen Endgerät angekommen, müssen diese dort auch sicher verwahrt werden.
Grundlegend sollten die Daten verschlüsselt werden, dabei sollte auf Standards zurückgegriffen werden und keine eigene Verschlüsselung erfunden werden.
So bietet das Kapsel Plugin für Apache Cordova ein EncryptedStorage zur sicheren Speicherung der Daten.
Ebenfalls ist der Schlüssel dafür nicht fest in die App zu codieren. Hier kann beispielsweise SAP ClientHub verwendet werden.

Sind die Richtlinien zur sicheren Entwicklung definiert gilt es zusätzlich noch die genutzten Komponenten (SAP Mobile Platform, SAP Afaria, Apache Cordova, …) aktuell zu halten und regelmäßig die Security Updates einzuspielen.

Beachtet man diese Punkte kann man das Risiko mobiler SAP-Zugriffe deutlich mindern.