SAP-Umgebung: Enterprise Software und die IT-Sicherheit Absicherung der SAP-Systeme

Beim Thema Sicherheit gelten immer die gleichen Prinzipen: IT-Verantwortliche brauchen ausreichend Visibilität über alle Systeme und Netzwerkssegmente, um das aktuelle Risiko einer Attacke einschätzen zu können. Mit der digitalen Evolution verändert sich auch die Gefahrenlandschaft. Nicht immer halten einzelne Sicherheits-Tools mit der Entwicklung Schritt. SAP ist ein Beispiel für ein unzureichend geschütztes System, dass zum Beispiel durch Cloud-Migration noch risikobehafteter wird.

Kritische Systeme

SAP-Systeme gelten inzwischen als etabliert, um in Unternehmen Geschäftsprozesse wie Buchhaltung, Controlling, Vertrieb, Einkauf, Produktion, Lagerhaltung oder Personalwesen zu koordinieren. Im Schnitt werden die ERP-Systeme von Unternehmen mit zwischen 1.000 und 30.000 (menschliche) Nutzern samt dazugehörigen mehrere Ebenen wie Betriebssysteme, Application-Server, Datenbanken und Geschäftsprozesse.

In Bezug auf die Sicherheit von SAP gibt es bereits seit Jahren Kritik aus unterschiedlichsten Richtungen. Der Grund sind nicht zuletzt die vielen Schnittstellen zu anderen Systemen, die dazu führen, dass es zahlreiche Schwachstellen und Schwachpunkte in den SAP-Installationen gibt. In der Regel werden diese Systeme nur durch unzureichende Sicherheitswerkzeuge geschützt.

SAP-Sicherheitssysteme beschränken sich in der Regel auf das Monitoring und Scannen von Einstellungen wie Profilbarometer, spezielle Datenbanktabelleneinträge oder Identitätsmanagement, rollenbasierte Rechtevergabe und Zugriffskontrolle. Genau das macht sie angreifbar, denn der Fokus liegt im Bereich IT-Sicherheit auf Authentifizierung und Autorisierung. Die SAP-Landschaft, einzelne Subsysteme oder das angeschlossene Unternehmensnetzwerk sind häufig unzureichend gesichert. Das langjährige „Wachstum“ der Systeme und Entwicklungen wie Cloud, Web-Applikationen oder mobile Geräte bieten ein weites Feld für Konfigurationsfehler und Schwachstellen.

Risikogewöhnung

Für viele IT-Verantwortliche ist das Risiko mittlerweile zur Gewohnheit geworden. Oftmals ist die Wartung und die Implementierung der von SAP derart aufwendig, dass Sicherheit hinten angestellt wird. Zwar gibt es SAP-Tools zur Absicherung, diese arbeiten in der Regel jedoch nur auf Abruf oder in festgesetzten Intervallen. Eine Analyse und Reaktion ist nicht möglich, trotzdem ist der Wartungsaufwand hoch.

Durch die veränderte Gefahrenlandschaft kann dies fatale Folgen haben: Angreifer finden auf dem Transaktions-Layer zahlreiche Möglichkeiten für Attacken und können dabei die gleichen Mechanismen einsetzen, die man aus der normalen IT-Welt kennt. Beliebtes Mittel sind beispielsweise der Missbrauch von privilegierten Accounts, um mit erhöhter Sicherheitsfreigabe eigentlich separierte Zugriffsrechte nutzen zu können.

Netzwerke und SAP-Systeme sind heutzutage zu komplex, um Protokolldateien manuell zu analysieren. Besonders bei SAP lassen sich kritische Änderungen und Anomalien nicht einfach so erkennen. Cyberkriminelle sind sich dieser Gefahr bewusst und durch die weite Verbreitung von SAP sind Schwachstellen weitläufig bekannt.

Schutz von SAP

SAP-ist einerseits eine komplexe Infrastruktur, ist aber gleichzeitig nicht autark. Daher müssen alle Schwachstellen in SAP und allen angeschlossenen Komponenten identifiziert und reportet werden. Durch den einseitigen Fokus ist die SAP-Sicherheitspolitik in der Regel nur unzureichend.

Trotzdem speichern Unternehmen häufig kritische Informationen in SAP-Systemen. Daher sind diese beliebtes Ziel von Sabotage-, Betrugs und Spionageversuchen. Zu den allgemeinen Bedrohungen zählen beispielsweise anfälliger Code, fehlende Sicherheits-Patches, nicht kontrollierte Fernzugänge (RFC, SOAP) oder nicht autorisierte Profiländerungen.

Der Aufbau solcher Systeme macht eine Integration von entsprechenden Sicherheitsmechanismen schwierig und kostspielig. Daher sollten IT-Verantwortliche eine Lösung Out-of-the-Box implementieren, um Sicherheit und Compliance ihrer Systeme zu gewährleisten. Entsprechende Lösungen für das Security Information and Event Management (SIEM) eignen sich besonders gut, da sie neben vollständige Erkennung von Anomalien und kritische Änderungen von Master-Daten auch Korrelationen bezüglich Geschäftsverstößen erkennen. Zudem sind sie leicht zu verwalten und erlauben granulare Anpassung an unterschiedliche Szenarien.

Neben klassischen Informationen aus der Netzwerkebene und Sicherheitslösungen wie Firewalls und Virenscanner werden auch Logs aus Datenbanken und Identity-Management-Systemen analysiert. SAP-Systeme wären für SIEM eine weite Informationsquelle, die durch Cross-Device und Cross Event-Korrelation eine präzise Auswertung durchführen – um Angriffe und fehlerhafte Konfigurationen umgehend zu erkennen.

Pascal Cronauer

ist Country Manager DACH bei LogPoint

Hier geht es zu Logpoint