SAP Security – Sicherheit für eine standardisierte ERP-Software ist machbar [Teil 2]

Autor
Michel Kühne
Veröffentlicht
03. Oktober 2019

Ein SAP-System gehört oft zu den wichtigsten Anwendungen im ganzen Unternehmen. Mit bestimmten SAP-Komponenten kann man sich einen Überblick über das gesamte Unternehmen verschaffen: Einkauf, Lager, Entwicklung, Produktion, Versand und Abrechnung – all das ist mit SAP einsehbar und steuerbar. Kein Wunder also, dass Cyberkriminelle inzwischen zunehmend Interesse daran haben, Schwachstellen in SAP-Systemen zu ihren Gunsten auszunutzen. Welche Schwachstellen es gibt und wie man SAP gegen Angriffe absichert, zeigen wir Ihnen in diesem Artikel.

Cyberkriminalität nimmt weiter zu und richtet sich gezielt gegen das Herzstück jeder Firma – die SAP-Systemlandschaft. Denn in dieser werden Daten mit hohen Anforderungen an die Integrität, Vertraulichkeit und Verfügbarkeit verarbeitet. Daher muss die Gewährleistung der Sicherheit dieser Systeme ein wichtiges Ziel jedes Unternehmens sein. Weshalb dies in der Praxis aber nicht immer der Fall ist, haben wir in einem früheren Artikel beleuchtet. Darin erfahren Sie auch, dass nur ein ganzheitlicher Sicherheitsansatz die Sicherheitsanforderungen erfüllen kann.

SAP Security – für nicht wenige eine Herausforderung

SAP gehört zu den führenden ERP-Lösungen weltweit – auch die Schweiz ist da keine Ausnahme. Ein SAP-System verarbeitet und speichert typischerweise kritische Daten und in vielen Fällen gar die intellektuellen Kronjuwelen von Unternehmen. Damit einhergehend ist es unumgänglich, einen entsprechenden Schutz aller Systemkomponenten und Daten zu gewährleisten und das Schutzniveau an die Gefahrenlage anzupassen. Das hohe Mass an Flexibilität und Erweiterbarkeit der SAP-Software bringt enorme Vorteile mit sich – aber (wie so oft) auch einige Nachteile: Da die Software sehr weitreichend an kundenspezifische Anforderungen angepasst werden kann, wird gleichzeitig die Komplexität und Fehleranfälligkeit erhöht, was oftmals zu «Abstrichen» resp. Schwachstellen in der Sicherheit führt. Zugleich ergänzen die Anwender viele SAP-Lösungen mit Eigenentwicklungen, die oft nur unzureichend auf Qualitäts- und Sicherheitsaspekte geprüft wurden. Die zunehmende Vernetzung von SAP-Systemen, zum Beispiel in internationalen Lieferketten, bietet potenziellen Hackern und Cyberkriminellen verstärkt zusätzliche Angriffspunkte.

SAP Security müsste somit einen hohen Stellenwert in der Cyber Security haben. Jedoch stellen wir immer wieder fest, dass der Fokus lediglich auf den Berechtigungen im Produktivmandant und den automatisierten Kontrollen für Geschäftsprozesse liegt. Die Bedrohungen bzw. Angriffspunkte, die von anderen Ebenen wie z.B. dem Betriebssystem und der Datenbank ausgehen, werden häufig vernachlässigt, da diese oft nur als Kostenfaktor angesehen werden und nicht im Fokus der Fachabteilungen stehen. Werden aber solche sicherheitsrelevanten Themen nicht ausreichend berücksichtigt, kann das SAP-Berechtigungskonzept «ausgehebelt» werden.

Er kürzlich wurde bekannt, dass rund 90 % der SAP-Systeme (oder in anderen Worten 50'000 SAP-Kunden weltweit) in Gefahr seien, da mittels dem sogenannten 10KBlaze Exploit aus der Ferne ein fiktiver Applikationsserver angebunden und somit ein Zugriff auf das SAP-System mit beliebigen Rechten erfolgen kann. Dadurch ist es einem Angreifer möglich, kritische und sensible Geschäftsdaten einzusehen sowie zu ändern – und zwar bis hin zur vollständigen Kompromittierung der SAP-Systeme. Betroffen sind dabei Informationen aus Anwendungen wie der SAP Business Suite, SAP ERP, SAP S4/HANA, SAP CRM oder SAP HCM.

Sie sind möglicherweise kompromittiert? Das müssen Sie jetzt tun!

Die genannte Schwachstelle findet sich dabei nicht im SAP-Code, sondern in der Fehlkonfiguration von SAP Netweaver-Installationen. Wenn Sie selbst SAP im Einsatz haben, empfehlen wir Ihnen dringend, die nachfolgenden Massnahmen und SAP-Hinweise zu überprüfen und sofort anzuwenden:

  • Zugriff zum SAP Message Server einschränken.
    • SAP-Hinweis 1408081 und 821875: Einschränken der erlaubten Hosts via ACL-Datei auf dem Gateway (gw/acl_mode und secinfo) und Message Server (ms/acl_info).
    • SAP-Hinweis 1421005: Trennung von internen/öffentlichen Message Server-Verkehr: rdisp/msserv=0 rdisp/msserv_internal=39NN
    • Unterbindung des Zugriffs zum internen Message Server Port (tcp/39NN) für Clients aus dem Internet.
    • Secure Network Communications (SNC) für Clients aktivieren

  • Nach exponierten SAP-Komponenten scannen.
    • SAP-Systeme (insbesondere Gateways und Router) sollten nur über definierte Wege erreichbar sein.
    • Öffentlich erreichbare Services (z.B. ungenutzte SAP-Routerinstallationen) sollten abgeschaltet oder gesichert werden.

SAP-Schnittstellen, das Lieblingsziel von Angreifern

Schnittstellen von SAP- und anderen ERP-Systemen stehen deshalb zunehmend im Fokus von Cyberangriffen. Generell hängt die Gefährdungslage von SAP-Systemen vom Einsatzszenario ab. Ein SAP-System in einem isolierten Bereich ist in der Regel weniger gefährdet als ein System, welches über öffentliche Netzwerke verfügbar ist. Aber auch in internen Netzen kann mangelnder Schutz auf Netz- oder SAP-Systemebene dazu führen, dass unberechtigte Zugriffsmöglichkeiten bestehen und ausgenutzt werden. In diesem Kontext darf auch nicht vergessen werden, dass gerade «Insider» einen hohen Anteil an kritischen Security Incidents ausmachen. Wenn es einem Angreifer (oder eben auch einem bösartigen Insider) möglich ist, Zugriff auf die Datenbank des SAP-Systems zu erlangen, kann er die SAP-Daten beliebig verändern oder missbrauchen. Für solche Angriffe ist teilweise nur ein Netzwerkzugang erforderlich. Auch ein restriktives Berechtigungskonzept auf SAP-Ebenen wird einen solchen Angriff nicht verhindern oder den möglichen Schaden minimieren.

Gerade durch den Einsatz von Web-Technologien, beispielsweise http(s)-basierte Zugriffsmöglichkeiten und Web-Applikationen mit Internet-Anbindung, hat sich die Gefahrenlage von SAP-Systemen stark erhöht. Aufgrund der öffentlichen Netzanbindung ergeben sich daher in Folge von unsachgemässer oder fehlerhafter Konfiguration wesentlich grössere Gefahren für Unternehmen. Dies gilt auch für fehlende oder unvollständig etablierte Prozesse, insbesondere in Outsourcing-Szenarien.

Nur ein ganzheitlicher Ansatz führt zu einer optimalen SAP Security

Zur Gewährleistung, dass eine Aushebelung des Berechtigungskonzepts nicht möglich ist, sollte ein ganzheitlicher Ansatz für die Umsetzung gewählt werden. Die SAP-Lösungspalette besteht aus komplexer Software, die unter anderem auch Sicherheitsressourcen und Sicherheitsspezialisten mit SAP-Erfahrung erfordert. Denn allein schon die Schlüsselkomponenten der SAP Security sind extrem umfangreich und umfassen:

  • SAP-Konfigurationseinstellungen
  • Sichere Konfiguration der Authentifizierungsmechanismen und der Zugriffsvektoren
  • Sicherheit des SAP Gateway
  • Sicherheit der Basis-Infrastruktur (Betriebssystem: OS je nach On-Premise-Installation, Cloud)
  • Zeitnahes Einspielen von Sicherheitsupdates (OS, DB und Anwendungen)
  • Platform und Application Firewall (z.B. SAP HANA Firewall)
  • Privilegierte und nicht-privilegierte Benutzerberechtigungen (OS, DB und Anwendungen)
  • Sammlung und Auswertung von Log-Daten (OS, DB und Anwendungen)
  • Berücksichtigung von Herstellerempfehlungen
  • Regelmässige Schwachstellenprüfungen
  • Verschlüsselung von Datenübermittlungen
  • Berücksichtigung von Cyberrisiken in der gesamten Lieferkette
  • Datenprüfung und Validierung im Datenaustausch-Prozess
  • BCM Notfall-Prozesse

Das Beiziehen von Experten macht deshalb nicht nur bei der Implementierung Sinn, sondern auch für den sicheren und zuverlässigen Betrieb der Systeme. Dabei gilt es die nachfolgenden Schlüsselfragen zu beantworten:

  • Sind wir über den Stand der Informationssicherheit rund um unsere SAP-Systeme informiert?
  • Wie gut sind die Betriebs- und Sicherheitsprozesse rund um unsere SAP-Systeme ausgestaltet?
  • Wie steht es um die Sicherheit der Betriebssysteme und der Datenbanken unserer SAP-Systeme?
  • Sind die mit SAP HANA einhergehenden neuen Risiken erkannt und adressiert?
  • Welche Schnittstellen zu externen Systemen bestehen und wie gut sind diese geschützt?
  • Welche Zugriffsvektoren existieren auf unsere SAP-Systeme und wie stark sind die dazugehörigen Authentisierungsmechanismen?

Um diese Fragen beantworten zu können, müssen Sie alle Ebenen betrachten: die SAP-Basis (SAP-Berechtigungskonzept, SAP-Standardbenutzer und -Passwörter, SAP-Webapplikationen, SAP Gateway sowie SAP Message Server), Datenbanken, Betriebssysteme, Netzwerke, Prozesse und das Personal. Die Sicherheit eines SAP-Systems ist aber keine einmalige Angelegenheit und kann nur dann auf Dauer gewährleistet werden, wenn die kritischen Sicherheitsaspekte regelmässig geprüft werden. Auf diese Weise können Fehlkonfigurationen und Schwachstellen aufgedeckt und behoben werden.

Artikel teilen