Ein SAP-System gehört oft zu den wichtigsten Anwendungen im ganzen Unternehmen. Mit bestimmten SAP-Komponenten kann man sich einen Überblick über das gesamte Unternehmen verschaffen: Einkauf, Lager, Entwicklung, Produktion, Versand und Abrechnung – all das ist mit SAP einsehbar und steuerbar. Kein Wunder also, dass Cyberkriminelle inzwischen zunehmend Interesse daran haben, Schwachstellen in SAP-Systemen zu ihren Gunsten auszunutzen. Welche Schwachstellen es gibt und wie man SAP gegen Angriffe absichert, zeigen wir Ihnen in diesem Artikel.
Cyberkriminalität nimmt weiter zu und richtet sich gezielt gegen das Herzstück jeder Firma – die SAP-Systemlandschaft. Denn in dieser werden Daten mit hohen Anforderungen an die Integrität, Vertraulichkeit und Verfügbarkeit verarbeitet. Daher muss die Gewährleistung der Sicherheit dieser Systeme ein wichtiges Ziel jedes Unternehmens sein. Weshalb dies in der Praxis aber nicht immer der Fall ist, haben wir in einem früheren Artikel beleuchtet. Darin erfahren Sie auch, dass nur ein ganzheitlicher Sicherheitsansatz die Sicherheitsanforderungen erfüllen kann.
SAP gehört zu den führenden ERP-Lösungen weltweit – auch die Schweiz ist da keine Ausnahme. Ein SAP-System verarbeitet und speichert typischerweise kritische Daten und in vielen Fällen gar die intellektuellen Kronjuwelen von Unternehmen. Damit einhergehend ist es unumgänglich, einen entsprechenden Schutz aller Systemkomponenten und Daten zu gewährleisten und das Schutzniveau an die Gefahrenlage anzupassen. Das hohe Mass an Flexibilität und Erweiterbarkeit der SAP-Software bringt enorme Vorteile mit sich – aber (wie so oft) auch einige Nachteile: Da die Software sehr weitreichend an kundenspezifische Anforderungen angepasst werden kann, wird gleichzeitig die Komplexität und Fehleranfälligkeit erhöht, was oftmals zu «Abstrichen» resp. Schwachstellen in der Sicherheit führt. Zugleich ergänzen die Anwender viele SAP-Lösungen mit Eigenentwicklungen, die oft nur unzureichend auf Qualitäts- und Sicherheitsaspekte geprüft wurden. Die zunehmende Vernetzung von SAP-Systemen, zum Beispiel in internationalen Lieferketten, bietet potenziellen Hackern und Cyberkriminellen verstärkt zusätzliche Angriffspunkte.
SAP Security müsste somit einen hohen Stellenwert in der Cyber Security haben. Jedoch stellen wir immer wieder fest, dass der Fokus lediglich auf den Berechtigungen im Produktivmandant und den automatisierten Kontrollen für Geschäftsprozesse liegt. Die Bedrohungen bzw. Angriffspunkte, die von anderen Ebenen wie z.B. dem Betriebssystem und der Datenbank ausgehen, werden häufig vernachlässigt, da diese oft nur als Kostenfaktor angesehen werden und nicht im Fokus der Fachabteilungen stehen. Werden aber solche sicherheitsrelevanten Themen nicht ausreichend berücksichtigt, kann das SAP-Berechtigungskonzept «ausgehebelt» werden.
Er kürzlich wurde bekannt, dass rund 90 % der SAP-Systeme (oder in anderen Worten 50'000 SAP-Kunden weltweit) in Gefahr seien, da mittels dem sogenannten 10KBlaze Exploit aus der Ferne ein fiktiver Applikationsserver angebunden und somit ein Zugriff auf das SAP-System mit beliebigen Rechten erfolgen kann. Dadurch ist es einem Angreifer möglich, kritische und sensible Geschäftsdaten einzusehen sowie zu ändern – und zwar bis hin zur vollständigen Kompromittierung der SAP-Systeme. Betroffen sind dabei Informationen aus Anwendungen wie der SAP Business Suite, SAP ERP, SAP S4/HANA, SAP CRM oder SAP HCM.
Die genannte Schwachstelle findet sich dabei nicht im SAP-Code, sondern in der Fehlkonfiguration von SAP Netweaver-Installationen. Wenn Sie selbst SAP im Einsatz haben, empfehlen wir Ihnen dringend, die nachfolgenden Massnahmen und SAP-Hinweise zu überprüfen und sofort anzuwenden:
Schnittstellen von SAP- und anderen ERP-Systemen stehen deshalb zunehmend im Fokus von Cyberangriffen. Generell hängt die Gefährdungslage von SAP-Systemen vom Einsatzszenario ab. Ein SAP-System in einem isolierten Bereich ist in der Regel weniger gefährdet als ein System, welches über öffentliche Netzwerke verfügbar ist. Aber auch in internen Netzen kann mangelnder Schutz auf Netz- oder SAP-Systemebene dazu führen, dass unberechtigte Zugriffsmöglichkeiten bestehen und ausgenutzt werden. In diesem Kontext darf auch nicht vergessen werden, dass gerade «Insider» einen hohen Anteil an kritischen Security Incidents ausmachen. Wenn es einem Angreifer (oder eben auch einem bösartigen Insider) möglich ist, Zugriff auf die Datenbank des SAP-Systems zu erlangen, kann er die SAP-Daten beliebig verändern oder missbrauchen. Für solche Angriffe ist teilweise nur ein Netzwerkzugang erforderlich. Auch ein restriktives Berechtigungskonzept auf SAP-Ebenen wird einen solchen Angriff nicht verhindern oder den möglichen Schaden minimieren.
Gerade durch den Einsatz von Web-Technologien, beispielsweise http(s)-basierte Zugriffsmöglichkeiten und Web-Applikationen mit Internet-Anbindung, hat sich die Gefahrenlage von SAP-Systemen stark erhöht. Aufgrund der öffentlichen Netzanbindung ergeben sich daher in Folge von unsachgemässer oder fehlerhafter Konfiguration wesentlich grössere Gefahren für Unternehmen. Dies gilt auch für fehlende oder unvollständig etablierte Prozesse, insbesondere in Outsourcing-Szenarien.
Zur Gewährleistung, dass eine Aushebelung des Berechtigungskonzepts nicht möglich ist, sollte ein ganzheitlicher Ansatz für die Umsetzung gewählt werden. Die SAP-Lösungspalette besteht aus komplexer Software, die unter anderem auch Sicherheitsressourcen und Sicherheitsspezialisten mit SAP-Erfahrung erfordert. Denn allein schon die Schlüsselkomponenten der SAP Security sind extrem umfangreich und umfassen:
Das Beiziehen von Experten macht deshalb nicht nur bei der Implementierung Sinn, sondern auch für den sicheren und zuverlässigen Betrieb der Systeme. Dabei gilt es die nachfolgenden Schlüsselfragen zu beantworten:
Um diese Fragen beantworten zu können, müssen Sie alle Ebenen betrachten: die SAP-Basis (SAP-Berechtigungskonzept, SAP-Standardbenutzer und -Passwörter, SAP-Webapplikationen, SAP Gateway sowie SAP Message Server), Datenbanken, Betriebssysteme, Netzwerke, Prozesse und das Personal. Die Sicherheit eines SAP-Systems ist aber keine einmalige Angelegenheit und kann nur dann auf Dauer gewährleistet werden, wenn die kritischen Sicherheitsaspekte regelmässig geprüft werden. Auf diese Weise können Fehlkonfigurationen und Schwachstellen aufgedeckt und behoben werden.