Quizfrage: Was haben Passwortsicherheit und das 4-Augen-Prinzip mit schwedischen Gardinen gemeinsam?

Dieser Post dreht sich um eine wahre Begebenheit die am 27.01.2015 begann und am 15.03.2017 endete. Im Mittelpunkt stehe eine Mitarbeiterin einer Finanzbehörde die laut deren Vorgesetzten eine ausgewiesenen Fachfrau für Buchhaltungsfragen ist.
Zitat:

„Eine solche Mitarbeiterin wünscht man sich.“ [1]

Die Zutaten zu dieser Story aus dem Leben entstammen aus dem 1×1 der SAP- und IT-Sicherheit. In der Theorie unterliegen Passwörter gewissen Richtlinien zur sicheren Auswahl und sind geheim zu halten. Ebenso ist die Sicherheit und der ordnungsgemäße Betrieb unternehmenskritischer Systeme wie bei SAP-ERP-Systemen einzuhalten und nachzuweisen. Dies zu kontrollieren ist teilweise Aufgabe der Wirtschaftsprüfer sowie der internen Revision und des internen Kontrollsystems. In diesem Fall war es jedoch ein Gericht, dass über all dies urteilen durfte.

Besagte Mitarbeiterin arbeitete bei dem städtischen Service-Zentrum Kasse.Hamburg – die Sicherheitsvorgaben und -prüfungen der Behörde sind hier nicht weiter bekannt.

Die junge Frau konnte sich das Passwort Ihrer Kollegin beschaffen. Im Rahmen der Gerichtsverhandlung und der öffentlichen Berichterstattung wurde hierzu folgendes Bekannt:

Anfang 2015 hatte sich die damals 26-Jährige das Passwort ihrer Kollegin beschafft, das allerdings auch in fahrlässiger Weise offen zugänglich war, wofür es im Nachhinein auch eine Rüge gab. [2]

Mit den Zugangsdaten der Kollegin war die Mitarbeiterin in der Lage Bankdaten anzulegen und zu ändern sowie Zahlungen auszuführen. Ob hier das 4-Augen Prinzip verletzt wurde, lässt sich aus den öffentlichen Informationen nicht sicher ermitteln, jedenfalls wird deutlich darauf hingewiesen, dass erst der Zugang im Namen der Kollegin dies möglich machte:

Mit dem Passwort war die Angeklagte in der Lage, Gelder der Finanzbehörde auf ihr Privatkonto zu überweisen – ohne dass es sofort auffiel.[2]

Ob allein im Namen der Kollegin oder im Zusammenspiel mit Ihrem eigenen Zugang – im Weiteren hat die Mitarbeiterin Gelder der Behörde abgezweigt. Niemanden fielen die ungewöhnlichen Zahlungen oder die Mehrfachnutzung des Zugangs der Kollegin auf. Ein Dutzend Zahlungen zwischen 50€, 5000€ oder 6000€ sind auf diesem Weg erfolgt.

Erst bei einer Überweisung von 394.440 Euro ist jemand aufmerksam geworden. Dies nicht von der internen Revision oder durch einen Alarm des internen Kontrollsystems. Nein – es war ein Mitarbeiter der Sparkasse bei der die Behörde Ihre Konten führt. Dieser war alarmiert, da eine so hohe Überweisung auf ein Privatkonto führte und fragte entsprechend nach. Dies setzte die Ermittlungen in Gang, die letztlich zur Anklage führten. Zunächst gegen beide Mitarbeiterinnen, wobei sich der Passwortdiebstahl im weiteren Verlauf entlastend für die eigentlich unbeteiligte Mitarbeiterin auswirkte.

Zur Motivation der Innentäterin wurde nichts bekannt:

Das Motiv konnte oder wollte sie nicht nennen. [1]

Möglicherweise trifft hier einfach das Sprichwort „Gelegenheit macht Diebe“ zu und die Versuchung war zu groß – trotz eines guten Jobs bei der Behörde.

Das Gericht jedenfalls zeigte wenig Mitleid mit der Mutter von zwei kleinen Kindern und verordnete 2 Jahre und 10 Monate hinter schwedischen Gardinen.

Ein paar offene Fragen bleiben:

Ob ein besserer Sicherheitsstandard bei der Behörde die Mutter von zwei Kindern vor einem schwerwiegenden Fehler geschützt hätte?

Wieso schlug das interne Kontrollsystem nicht bereits bei den kleinen Beträgen an?

Wieso waren die Passwörter und Accounts nicht hinreichend geschützt, um einen mehrfachen Missbrauch zu verhindern?

Warum hatte der Zugang der Kollegin so eine weitreichende Berechtigungen?

Immerhin hat die Behörde nun eine spezielle Software angeschafft, um Betrug zu erkennen. Warum man jedoch die Anschaffung eines „Rauchmelder“ statt Maßnahmen „zur Verhinderung eines Feuers“ öffentlich hervorhebt  bleibt unbeantwortet…

Quellen:
[1]: https://www.ndr.de/nachrichten/hamburg/Ueber-zwei-Jahre-Haft-wegen-schwerer-Untreue,untreue164.html
[2]: https://www.welt.de/regionales/hamburg/article162875904/Als-sie-sich-395-000-Euro-ueberwies-flog-der-Betrug-auf.html

Erkennung von Angriffen auf SAP Systeme durch Analyse des SAP Security-Audit-Logs

Das SAP Security-Audit-Log ist ein wesentlicher Bestandteil zur Überwachung der Sicherheit eines SAP Systems. Denn es bietet Monitoring und Kontrollfunktionen, um zu prüfen welche sicherheitskritischen Aktivitäten in der Vergangenheit auf dem System vorgefallen sind.

 

Das Audit-Log wird in der SAP Hilfe wie folgt beschrieben:

Das Security-Audit-Log ist ein Werkzeug für Auditoren, die sich die Ereignisse im SAP-System detailliert ansehen müssen. Wenn Sie das Security-Audit-Log aktivieren, zeichnen Sie die Aktionen auf, die Sie für die Verfolgung als relevant einstufen. Sie können dann in Form eines Audit-Analysereports auf diese Informationen zugreifen und sie auswerten.

Oberstes Ziel des Audit-Log ist die Aufzeichnung von:

  • sicherheitsbezogenen Änderungen an der SAP-Systemumgebung (z. B. Änderungen an Benutzerstammsätzen)
  • Informationen, die mehr Transparenz bieten (z. B. erfolgreiche und erfolglose Anmeldeversuche)
  • Informationen, die der Nachvollziehbarkeit einer Reihe von Ereignissen dienen (z. B. erfolgreiche oder erfolglose Transaktionsstarts)

Ist das Audit-Log aktiviert, bietet es eine Kontrolle der protokollierten Ereignisse und somit einen guten Einblick in die Sicherheitslage des Systems.

 

So kann rückblickend festgestellt werden, wann welcher User, welche Berechtigungen oder Profil angelegt wurden.

Auch lässt sich feststellen wer Änderungen an der Audit-Log Konfiguration durchgeführt hat. Im Falle einer Aufarbeitung eines möglicherweise sicherheitsrelevanten Vorfalls sind dies wichtige Informationen.

Doch eine Analyse des Audit-Logs ermöglich es ebenso verdächtige Aktivitäten und Spuren von Angriffen zu erkennen. So wird detailliert protokolliert wann und von wo sich Standard-User wie SAP* eingeloggt haben. Ebenso lassen sich Passwort-Rate Angriffe anhandgescheiterter Logins erkennen.

Auch die RFC-Schnitstelle wird gründlich überwacht. Da diese oftmals ein El-Dorado für Angreifer ist, sollte man auf diese Log-Einträge besonders gründlich schauen.

Insbesondere gilt es heraus zu arbeiten ob kritische RFC-Funktionen aufgerufen wurden oder dies versucht wurde.

Beispielsweise könnte ein (gescheiterter) Aufruf der Funktion RFC_READ_TABLE für den (versuchten) Abfluss von sensiblen Daten stehen. Doch auch nach Funktionen, die (unfreiwillig) die Ausführung von Systembefehlen oder Datenbankabfragen erlauben ist zu suchen.

Auch erfolgreiche oder fehlgeschlagene RFC-Logins geben Aufschluss über mögliche Passwort-Rate-Angriffe.

Sicher sollte eine Anmeldung eines Standardbenutzers wie EARLYWATCH von einem Benutzer-Terminal aus den Argwohn eines Auditors erwecken.

Genauso wie eine Häufung von fehlgeschlagenen Transaktionsaufrufen eines Benutzers, insbesondere wenn es sich hierbei um kritische Transaktionen mit Möglichkeiten zur Rechteausweitung handelt.

 

Mit einer wie zuvor beschriebenen Analyse des Audit-Logs kann man somit beurteilen, ob das System in der Vergangenheit potentiellen Angriffen ausgesetzt war. Weiterhin hat man so auf einen Blick eine Übersicht über alle sicherheitsrelevanten Vorkommnisse auf dem System und kann Turnusmäßig den Status kontrollieren.

 

Aufgrund der vielen Einträge in dem Security-Audit-Log ist eine Automatisierung der Auswertung absolut empfehlenswert. Der Werth Auditor unterstützt Sie hierbei vollständig und hilft Ihnen damit direkt bei der Überwachung Ihres SAP Systems.
Prüfen Sie regelmäßig Ihr Audit-Log und bei Verdachtsfällen kontrollieren Sie das Audit-Log für den relevanten Zeitraum auf die hier beschriebenen kritischen Einträge.

SAP-Mobile-Security

SAP ist dem Trend gefolgt Business Daten mobil verfügbar zu machen, allgemein ist dies unter dem Begriff SAP Mobile bekannt. Hier ist offensichtlich ein neuer Trend gestartet.
Doch wie sieht es mit der Sicherheit auf diesem Gebiet aus? Welche Risiken existieren hier und wie behandelt man diese?

Zunächst ist zu klären was genau ist eigentlich SAP Mobile?
Meistens wird in diesem Kontext SAP Fiori (Übersicht) und SAP Mobile Platform (SMP) verwendet.
SAP Fiori sind SAP-Anwendungen auf HTML5 Basis, welche mittels responsive Design „passend“ auf dem mobilen Endgerät dargestellt werden.

SMP erlaubt die Entwicklung mobiler Anwendungen für eine Vielzahl an unterstützten Geräten. Das SDK erlaubt die Kommunikation mit den SAP Mobile Diensten von SAP.

SAP UI5 und SAP Fiori mausern sich zur neuen Oberfläche von SAP und haben das Potential die SAP GUI langfristig abzulösen. So bietet Fiori Apps für die meisten SAP-Funktionen und kann von allen Endgeräten genutzt werden.
Selbst die Kommunikation mit dem NetWeaver Gateway ist problemlos möglich .

Doch auch SMP hat seine Alleinstellungsmerkmale. So erlaubt das SDK die Kommunikation mit dem Mobile Dienst und kann zur Kommunikation mit ERP, CRM, SCM und SRM Systemen verwendet werden. Ebenso kann das NetWeaver Gateway genutzt werden, um Daten zwischen dem System und den mobilen Endgeräten auszutauschen. Zusätzlich wird Afaria angeboten, um die mobilen Geräte sicher zu verwalten.

Wo lauern die Gefahren und wie werden diese minimiert?
Der Schlüssel zum Erfolg lieget in der sicheren Entwicklung der mobilen Anwendungen.
Dies fängt bei der Authentifizierung an.
Einige Apps nutzen anonyme Verbindungen ohne Zugangsdaten, diese werden dann meist einen generischen Benutzer im SAP-System zugeordnet. Damit kann Jeder einen solchen Zugriff verwenden und verfügt über die Rechte des generischen Benutzer.

Häufig wird die Verwendung einer HTTP Basic Authentifizerung bei den Apps gesehen. Doch hier muss man beachten, dass das Password lediglich Base 64 encodiert wird und ohne eine sichere HTTPS-Verbindung problemlos abgefangen und decodiert werden kann.

Sicherer ist da schon die Nutzung eines Token (SAP Single Sign-On) zur Anmeldung. Doch auch hier empfiehlt es sich nicht auf eine HTTPS-Verbindung zu verzichten, da ein findiger Angreifer möglicherweise auch ein im Klartext übermitteltes Token attackieren kann.

Eine Zertifikat basierte Authentifizierung stellt den sichersten Weg dar. Dies wird jedoch nur sehr selten verwendet, da die Umsetzung wesentlich komplexer ist. Man benötigt Client- und Server-Zertifikat. Eine passgenaue Zertifikatsprüfung und die richtige Konfiguration im Server.

Hat man die Hürde der sicheren Anmeldung gemeistert, ist fortan eine sichere Kommunikation zu verwenden.
Der häufigste Weg ist die Nutzung einer HTTPS-Verbindung mit Zertifikatsprüfung. Alternativ kann man auch ein VPN nutzen.
Wichtig ist jede Anfrage und Antwort auf diesem Weg zu senden. Selbst-Signierte Zertifikate zerstören die Sicherheit einer HTTPS-Verbindung, da diese nicht verifiziert werden können (ohne das Stammzertifikat eigenhändig in den Trusted Sec Store einzubinden) und somit bekannte Spoofing-Angriffe ermöglichen.
Die sichere Kommunikation erfordert jedoch nicht nur Augenmerk bei der App-Entwicklung, sondern auch im späteren Betrieb. Insbesondere SSL war zuletzt häufig wegen Sicherheitsproblemen in der Presse (HeartbleedFREAKLOGJam). Hier muss man immer Up2Date bleiben!

Letztlich ist noch die sichere Datenspeicherung zu beachten. Sind die Daten erst einmal sicher auf dem mobilen Endgerät angekommen, müssen diese dort auch sicher verwahrt werden.
Grundlegend sollten die Daten verschlüsselt werden, dabei sollte auf Standards zurückgegriffen werden und keine eigene Verschlüsselung erfunden werden.
So bietet das Kapsel Plugin für Apache Cordova ein EncryptedStorage zur sicheren Speicherung der Daten.
Ebenfalls ist der Schlüssel dafür nicht fest in die App zu codieren. Hier kann beispielsweise SAP ClientHub verwendet werden.

Sind die Richtlinien zur sicheren Entwicklung definiert gilt es zusätzlich noch die genutzten Komponenten (SAP Mobile Platform, SAP Afaria, Apache Cordova, …) aktuell zu halten und regelmäßig die Security Updates einzuspielen.

 

Beachtet man diese Punkte kann man das Risiko mobiler SAP-Zugriffe deutlich mindern.

Die Lehren aus den WannaCry-Reaktionen

Weltweit sorgt die WannaCry Ransomware für Aufsehen.  Zum Stand am 15.05.2017 sind nahezu 200.000 Systeme in mehr als 150 Ländern infiziert:

WannaCry worldwide infections

(WannaCry Infections)

WannaCry besteht aus 2 Komponenten

Im Kern besteht diese Malware aus zwei Komponenten. Der eigentliche Angriff oder Büchsenöffner ist ein EternalBlue genannter Angriff. Dieser bislang unbekannte Angriffsweg stammt aus dem Arsenal der NSA und wurde von der Gruppe Shadow Brokers am 14. April 2017 veröffentlicht. Mit diesem Angriff kann man die Kontrolle über ein Computersystem erlangen.

Hier kommt bei WannaCry dann die zweite Komponente ins Spiel. Dies ist eine typische Ransomware die Daten auf dem PC verschlüsselt. Die zweite Komponente wird ausgeführt nachdem der Angriff über den ersten Teil erfolgreich war und der Angreifer die Kontrolle über das System erreicht hat.

Mit der Geiselnahme der Daten und des Systems wird der Angriff dann für betroffene erst sichtbar.

Killswitch?

Zwischenzeitlich gab es ein kurzes Aufatmen, da ein Sicherheitsforscher einen Killswitch im Code von WannaCry gefunden hatte. Hier handelt es sich um Programmcode der prüft ob eine bestimmte Internetadresse (www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) erreichbar ist und falls dem so ist, sämtliche Programmaktivitäten sofort beendet. Es folgt keine weitere Verbreitung oder Schadcodeausführung. Ein Sicherheitsforscher hat die entsprechende Internetadresse aktiviert und man hoffte die Ausbreitung zu stoppen.

Allerdings gibt es hier wenig Grund zur Entwarnung, denn es wurden weitere Varianten gefunden, die andere Internetadressen abfragen und es wurden Varianten gefunden, die gar keinen Killswitch enthalten.

Zudem zeigt eine Analyse von Didier Stevens, dass der Killswitch nicht hinter Internet-Proxys funktioniert – so wie dies in Unternehmen verwendet wird.

Der weitere Ausblick

Es ist klar mit weiteren Infektionen zu rechnen. Dies hat zwei Gründe:

  1. Der Killswitch funktioniert nicht wie erwartet
  2. Die Infektion ist bisher über das Wochenende gestartet, heute beginnt die Arbeitswoche und zahlreiche IT-Systeme von Unternehmen gehen Online und werden als Ziele verfügbar.
  3. *Update 23.05.2017* Eine neuer Wurm „EternalRocks“ ist inzwischen entdeckt worden. Er nutzt noch weitere Angriffswege aus dem NSA-Archive und versucht möglichst unerkannt auf den infizierten System vorzugehen.

Gegenmaßnahmen

Die Übernahme des Opfersystems erfolgt mit der ersten Komponente der Malware. Gelingt dieser Schritt nicht, kann der Virus das System nicht befallen. Daher ist der wichtigste Schutz, diese Lücke mit dem dazugehörigen Patch MS17-010 zu schließen. Das ganze wirkt wie eine Impfung für den Computer, danach ist er Resistent gegen den Virus und kann nicht mehr befallen werden.

Aufgrund der Kritikalität des Angriffs hat Microsoft auch Notfallpatches für eigentlich nicht mehr versorgte Systeme wie Windows XP, Vista oder 8 veröffentlicht.

Anmerkungen

Sieht man sich die Fakten zu der Epidemie an fallen mir folgende Punkte auf:

  1. Der wichtigste Baustein in der IT-Sicherheit ist das Patchmanagement.
  2. Dies wird jedoch offensichtlich nicht konsequent überall umgesetzt.
  3. Betroffene, Medien und Anwender reagieren nur auf offensichtliche Angriffe wie im Fall WannaCry.
    Die ersten Angriffe mit dem NSA-Exploit EternalBlue erfolgten direkt nach Veröffentlichung und Kriminelle haben so binnen einer Woche bereits ca. 40.000 Systeme unter Ihre Kontrolle gebracht. Dies jedoch im Geheimen und ohne offensichtliche Meldung an die betroffenen.
    Es darf sich jeder die Frage stellen was kritischer ist: Das System als Geisel mit 300$ bis 600$ Lösegeld oder das System unter Kontrolle eines versierten Hackers …
    Erschreckend ist, dass aufgrund der fehlenden Sensibilität für Cyberbedrohungen nahezu keine Reaktion auf die ersten Angriffe erfolgte, sonst wäre der „Erfolg“ von WannaCry gar nicht möglich gewesen.

Auswirkung auf SAP-Systeme

Wer jetzt denkt, SAP-Systeme sind davon nicht betroffen, sollte folgende Fakten prüfen:

  1. Windows Server 2003, 2008, usw. dienen durchaus als Basis für manche SAP-Systeme.
  2. Die Möglichkeit der Übernahme solcher Systeme durch Angreifer hat WannaCry höchst aktuell und eindrucksvoll unter Beweis gestellt.
  3. Der Zugriff aus der Windows-Ebene auf die SAP- und Datenbankebene ist mit wenig Aufwand möglich.
  4. Die Geiselnahme des Systems mitsamt SAP und Datenbank ist ebenfalls möglich. Vielleicht sind unter den befallenen WannaCry-Systemen bereits SAP-Systeme.
  5. Ein fehlender Patch auf vielen Systemen war die Ursache für diese Virus-Epidemie. Für SAP-Systeme gibt es ebenfalls zahlreiche Patches. Auch solche, die wie bei EternalBlue, Angriffe aus der Entfernung zulassen.

Die Frage ist: Werden bei SAP-Systemen die Patches schneller eingespielt als bei Windows?

Ein funktionierendes Patchmanagement ist eine elementare Säule der IT-Sicherheit. Die Kontrolle und Wirksamkeitsprüfung von IT-Sicherheitsmaßnahmen gehört zu dem gesetzlichen Risikomanagement. Bei der Überwachung von Systemen und Einhaltung der gesetzlichen Anforderungen aus dem Risikomanagement unterstützt unsere Lösung WerthAUDITOR mit seinem vollautomatischen Security Monitoring.

Der WerthAUDITOR schützt bereits lange vor der Veröffentlichung von EternalBlue am 14. April 2017 unsere Kunden auch vor dieser Schwachstelle.

Ponemon Institute – SAP Cybersecurity Studie

Das Ponemon Institut hat mehr als 600 IT- und Sicherheitsspezialisten zum Stand der SAP Sicherheit befragt. Die wesentlichen Erkenntnisse der Studie lassen sich wie folgt zusammen fassen:

Statistiken zu Angriffen auf SAP-System:

  • 65% der SAP-Systeme wurde in den letzten 24 Monaten erfolgreich angegriffen.
  • 75% der Befragten glauben Ihr SAP-System hat wahrscheinlich eine oder mehrere Malware Infektionen.
  • Im Schnitt kostet einem Unternehmen die Abschaltung eines SAP-System 4,5 Millionen Dollar.
  • 60% sehen die Folgen eines Angriffs (Datendiebstahl, Manipulation oder Ausfall) als ernst bis katastrophal an.
  • 56% halten einen Sicherheitsvorfall aufgrund unsicherer SAP-Systeme für wahrscheinlich.

Statistiken zur Abwehr von Angriffen auf SAP-Systeme

  • 75% sehen Ihr Unternehmen nicht in der Lage einen Angriff auf ein SAP-System sofort zu erkennen.
  • 59% können Angriffe auf Ihr SAP-System auch nach einem Monat nicht erkennen.
  • 81% halten eine kontinuierliche Überwachung der SAP-Systeme für wichtig
  • 78% halten die Messung der Sicherheit des SAP-Systems durch Audits für wichtig.

Statistiken zur Awareness von SAP-Cybersecurity

  • 47% erwarten einen Anstieg von Angriffen auf SAP-Systeme in den nächsten 24 Monaten.
  • 59% glauben die Angriffsfläche von SAP-Systemen steigt durch Trends wie Cloud, Mobile, Big Data und IoT.
  • 76% geben an Ihr Management versteht die geschäftskritische Bedeutung der SAP-Systeme
  • 63% jedoch sehen beim Management eine Unterschätzung der mit unsicheren SAP-Anwendungen einhergehenden Risiken.

Zusammenfassend kann man folgendes aus der Studie ableiten:

  • Die Risiken unsicherer SAP-Systeme werden noch nicht vollständig von der Führungsebene wahrgenommen, obwohl diese für Folgeschäden haften.
  • SAP-Systeme sind im Fokus von Cyberkriminellen und werden erfolgreich angegriffen.
  • Ein solcher Angriff ist ernst bis katastrophal und kann sehr hohe Kosten verursachen.
  • Mehr als die Hälfte der Unternehmen sind nicht auf solche Angriffe vorbereit oder können diese erkennen.
  • Es wird eine Steigerung der Angriffsfläche und -rate erwartet.
  • Zur Abwehr wünschen sich die Verantwortlichen die Möglichkeit der kontinuierlichen Messung und Härtung der Sicherheit Ihrer SAP-Systeme.

Der Werth Auditor ermöglicht die Prüfung und kontinuierliche Überwachung von SAP-Systemen. Eine kostenlose Prüfung der Systemsicherheit ist mit dem Quick-Check jederzeit möglich.

Status SAP Cybersicherheit 2016

Im Sommer 2016 gab es viele Schlagzeilen der Art „Weltweit 36.000 unsichere SAP-Systeme über das Internet angreifbar“ oder „36000 SAP systems exposed online, most open to attacks“ .

Dies kann man sicher als Zeichen sehen, dass SAP Sicherheit auch 2016 noch nicht den Stellenwert besitzt, den die mit diesen Systemen verarbeiteten Daten und Geschäftsprozesse erfordern. Den Verantwortlichen muss klar sein, dass auch Unwissenheit nicht vor Cyber-Angriffen schützt oder von der Haftung entbindet.

Die Angriffsfläche vergrößert sich durch neue Produkte (HANA, SAP Mobile) stetig. Inzwischen fasst SAP zur besseren Beherrschbarkeit der Sicherheitslücken die Patches in Pakete zusammen und so adressiert  ein Patch nun mehrere Sicherheitslücken statt wie zuvor nur exakt eine Lücke. Eine Auswertung der Patches zeigt, dass nahezu jedes SAP Modul von Sicherheitsrisiken betroffen ist.

Doch nicht nur Schwachstellen in der Software werden zum Risiko, auch die Implementierung der SAP-Systeme weist oft Schwachstellen in der Konfiguration auf.

Werden Patches nicht zeitnah eingespielt oder ist die Konfiguration nicht gegen Cyber-Angriffe gehärtet, sind diese Systeme besonders gefährdet. Besonders wenn Sie über das Internet erreichbar sind.

Doch was ist mit den Systemen die „sicher“ hinter einer Firewall im „internen“ Netzwerk stehen?

Auf den ersten Blick erscheint es hier doch viel schwieriger für Angreifer an die SAP-Systeme zu gelangen. Doch die vermeintliche Sicherheit ist trügerisch. So belegt eine Studie der IBM X-Force, dass Angriffe aus den eigenen Reihen einer hohe Bedrohung darstellen.

Weiter zu beachten ist, dass moderne Cyber-Angriffe nicht an der Unternehmes-Firewall enden. Sie überwinden diese problemlos und bleiben oft lange unentdeckt, während die Angreifer vollen Zugriff auf das Intranet besitzen.

Wobei aktuelle Meldungen auch eindeutig belegen, dass Firewalls für professionelle Angreifer kein Hindernis darstellen. Dies zeigen eindringlich aktuelle Berichte über die Sicherheitslücken in bekannten Produkten wie von Fortinet oder Cisco.

Fazit:

Ein aktueller Stand der Technik zum Schutz von SAP-Systeme sieht den Einsatz von Firewalls oder Antivirus-Lösungen nicht als Ausreichend an. Die Systeme sind (unabhängig von Ihrem Standort) aus dem Internet (indirekt) erreichbar. Daher erfordert ein kontinuierliches und dem Stand der Technik entsprechendes Sicherheitskonzept die Härtung der Systeme, die zeitnahe Einspielung von Sicherheitspatches, die regelmäßige Prüfungen von kritischen Berechtigungen und -kombinationen, die Prüfung der Netzwerkschnittstellen und des Custom-Code auf Schwachstellen sowie eine Protokollierung sicherheitsrelevanter Ereignisse und Prüfung der Logs.

Hierbei vertrauen SAP-Anwender auf unsere Lösung WerthAUDITOR zur permanenten Überwachung Ihrer SAP-Systeme und den dort verarbeiteten kritischen Geschäftsdaten und -prozesse.

Lagebericht SAP-Sicherheit 2014

Das Jahr 2014 hat gezeigt, dass SAP-Systeme verstärkt in das Visier von Cyberangriffen geraten sind. Dies belegen unter anderem die Angriffe auf die AAI und NVIDIA . Eine Zunahme solcher Angriffe ist auch nicht verwunderlich, da in den SAP-Systemen die digitalen Kronjuwelen eines Unternehmens lagern. Vielmehr war es nur eine Frage der Zeit wann SAP-Systeme gezielt angegriffen werden. 2014 ist daher eindeutig als Stunde 0 der SAP-Sicherheit zu kennzeichnen. Ab sofort ist die Sicherheit von SAP-Systemen ein Muss zum Schutz der dort gelagerten Daten.

Im wesentlichen forcieren zwei Faktoren die Notwendigkeit von SAP-Sicherheit:

  1. Die Vernetzung der SAP-Systeme nimmt drastisch zu.
    Die Systeme sind aus dem kompletten Intranet erreichbar, zusätzlich auch verstärkt aus dem Internet (Portalserver) und natürlich mittels mobilen Endgeräten. Der Trend „Cloud“ wird die globale Erreichbarkeit noch deutlich verstärken.
  2. Die SAP-Systeme „nur“ im Intranet zu betreiben bietet keinen ausreichenden Schutz vor externen Angriffen.
    Moderne Spionage- und Schadprogramme ermöglichen externen Angreifern direkten Zugriff auf das Intranet. Zum Einen belegen dies die Veröffentlichungen rund um die Tools der NSA, zum Anderen gibt es konkrete Beispiele für entsprechende Angriffe auf ERP-Systeme. Exemplarisch sei hier auf den Windows-Trojaner zur Ausspähung von SAP-Systemen und Zugangsdaten sowie dem Angriff via manipulierte Handscanner auf ERP-Systeme verwiesen.

Glücklicherweise verbessern sich die Bordmittel zur Härtung von SAP-Systemen zusehends. Leider steigt damit auch die Komplexität zur Bedienung der angebotenen Hilfsmittel. Daher ist es absolut notwendig die errichteten digitalen Schutzwälle und Sicherheitsmaßnahmen des SAP-Systems auf korrekte und „wie vorgesehene“ Funktion und Wirkung zu prüfen.

Zur Verdeutlichung soll ein reales Beispiel aus der Praxis dienen:

Ein Audit bei einem Großunternehmen sollte durchgeführt werden. Das Thema SAP-Sicherheit hatte in dem Unternehmen bereits seinen Stellenwert. So werden die SAP-Systeme regelmäßig durch eine Prüfgesellschaft aus dem Kreis der Big-Four kontrolliert und zertifiziert. Zusätzliche Tools zur Steigerung der Sicherheit sind ebenfalls im Einsatz. Das Ziel des Audits war somit die Wirksamkeit der ergriffenen Maßnahmen zu belegen.
Die Ergebnisse waren jedoch alarmierend: Schwerwiegende Sicherheitslücken konnten identifiziert werden.

Wie konnte dies geschehen obwohl doch aktiv die Sicherheit der Systeme forciert wurde?

Die Antwort ist erschreckend simpel: Nur eine vollständige Prüfung der Sicherheit des Systems kann zur korrekten Bewertung ohne „blinde Flecken“ führen. Ein Unternehmen muss demnach wissen wie ein umfassendes Risikomanagement aussieht und entsprechend selbst die Systeme prüfen oder einen Dienstleister auswählen, der in der Lage ist eine solch umfassende Prüfung korrekt durchzuführen. Zusätzlich ist es empfehlenswert die Log-Dateien der Systeme regelmäßig nach forensichen Gesichtspunkten auf Angriffsspuren zu untersuchen.

Fazit:

Die Bedrohung der Daten und SAP-Systeme selbst hat deutlich zugenommen. Zum Schutz der digitalen Kronjuwelen wird die Härtung der SAP-Systeme und die Prüfung deren Wirksamkeit dringend empfohlen. Ein Berechtigungskonzept oder der „reine Betrieb im Intranet“ sind allein keine ausreichenden Schutzmaßnahmen mehr. Eine automatisierte Lösung, die zuverlässig alle sicherheitsrelevanten Bereiche überprüft und in kurzer Zeit den Systemstatus ermittelt, bietet sich für diese Aufgabe an.