SAP-Umgebungen absichern
Der folgende Beitrag erklärt, welche Schutzmechanismen in SAP-Systemen vor Cyberkriminalität schützen. Die Hinweise fokussieren sich auf SAP-Systeme und nicht auf SAP S/4HANA.
SAP-Systeme sind oft ein blinder Fleck in den Security-Strategien der Anwender. Das kann fatale Folge haben. Auf folgende Punkte sollten Sie in Sachen SAP-Sicherheit achten.
ERP-Software von SAP ist auf die digitale Optimierung laufender Geschäftsprozesse ausgerichtet und wird heute von mehr als 440.000 Unternehmen weltweit eingesetzt. Oft handelt es sich dabei um börsennotierte Konzerne, manchmal auch um die viel zitierten Hidden Champions. So oder so: Das Interesse von Cyberkriminellen an deren Systemen und den von ihnen verarbeiteten Daten ist groß. Hier liegen Informationen, aus denen sich die wichtigsten Kennzahlen der Unternehmen ableiten lassen – auch solche zu Innovationen und Patenten aller Art.
Im Alltag der Unternehmen ist aber SAP-Sicherheit oft ein isoliert betrachteter, manchmal sogar ein blinder Fleck in der zentralisierten Cyber-Sicherheitsüberwachung. Dabei wäre es die Aufgabe der SAP Security, geschäftskritische Systeme zu schützen, damit sich die Betriebe auf eine effektive Geschäftsabwicklung verlassen können.
ERP-Systeme bilden eine eigene IT-Umgebung mit eigenen Anforderungen an die IT-Sicherheit, die Außenstehenden wie ein Buch mit sieben Siegeln vorkommen kann. Kommt es zu einem Hack, sind es immer die Daten, die den Wert des Angriffs ausmachen. SAP-Systeme müssen daher vor unberechtigten Zugriffen von außen wie von innen abgesichert werden.
Tatsächlich gibt es nur wenige publik gewordene Beispiele für kompromittierte SAP-Systeme. Die steigende Anzahl der Anbieter von SAPSicherheit zeigt jedoch die wachsende Bedeutung dieser Teildisziplin der IT-Sicherheit, die sich ansonsten neben Applikations- auch mit Infrastruktur-, Netzwerk-, Betriebssystem- und Datenbanksicherheit beschäftigt.
Der wohl wichtigste Faktor, auch aufgrund der Schnittstellenproblematik, die wohl jeden SAP-Nutzer beschäftigt, ist die Codesicherheit. Vor allem die Codes der Kunden sind oft fehlerhaft und bilden ein Sammelbecken von Angriffs
punkten – vor allem Zero-Day-Schwachstellen – die nur wenigen Insidern bekannt sind. Zwar ist ein gewisser Schutz vor Angriffen von außen gegeben, doch das Risiko durch Attacken von Innentätern ist erhöht.
SAP-Systeme – die Bedrohungslage
Unternehmen müssen ihre SAP-Systeme vor Angreifern mit unterschiedlichen Beweggründen schützen. Das wohl häufigste Motiv ist Betrug. Die kopierten Daten sind mitunter so wertvoll, dass sie bei Konkurrenten oder im Darknet Höchstpreise aufrufen. Angriffstools für SAP-Systeme werden bereits ab 600 USDollar angeboten.
Mahnende Beispiele sind die Recon-Schwachstelle CVE-2020-6287 und die 10Kblaze-Exploits. Mit der fortschreitenden Professionalisierung cyberkrimineller Gruppierungen nimmt die Bedrohungslage weiter zu, denn der Preis für die Daten steigt, und somit wird es für Angreifer lukrativer, sich mit den Systemen zu beschäftigen und nach Schwachstellen zu suchen sowie Exploit Kits zu entwickeln. Ein Blick auf die Tools und Methoden der Kriminellen zeigt, dass letztlich fast alle Angebote, die auf reguläre IT-Systeme abzielen, auch an SAPSysteme angepasst werden können.
IT-Sicherheitsfachleute müssen die Datenintegrität sicherstellen, unberechtigte Zugriffe identifizieren, Datenlecks feststellen und ein zentralisiertes Sicherheits-Monitoring einführen. Darüber hinaus sollten kontinuierliche und automatisierte Audits vorgenommen werden. Oftmals werden allerdings die SAPSysteme von vielen Unternehmen nicht von den IT-Sicherheitsfachleuten betreut oder sind allein auf die Tools der ERP-Anbieter angewiesen. Dies erhöht das Risiko von Angriffen und macht die ERP-Systeme zu einem Hauptziel für Gegner.
Wer seine SAP-Sicherheit in den Griff bekommen will, muss sich mit diversen Teilbereichen der IT-Sicherheit auseinandersetzen. Zum einen geht es darum Rollen und Berechtigungen laufend zu überprüfen. Berechtigungskonzepte sind in SAP standardmäßig festgelegt, lassen sich jedoch kundenspezifisch verändern. Besonders wichtig sind Zuordnungen von Berechtigungskombinationen, die sogenannte Segregation of Duties (SoD).
Kritische Berechtigungskombinationen sollten im besten Fall gar nicht oder nur sogenannten Notfallbenutzern erlaubt werden. Leider können Rollen und Berechtigungen mit SAPStandardmitteln erteilt werden. Das kann dazu führen, dass die standardmäßig angebotenen Lösungen der zentralen Nutzer- und Rechtevergabe kompromittiert werden – an der IT-Sicherheit vorbei. Um das zu verhindern, gilt es Kontrollen einzuführen.
Im besten Fall läuft das automatisiert ab und stützt sich auf einen Testkatalog als Grundlage. Einen solchen aufzusetzen, bedarf umfassender SAP-Kenntnisse – im Softwarebereich, aber auch in den grundlegenden Geschäftsprozessen. Geprüft werden müssen Rollen und Berechtigungsprofile. Wenn ein Benutzer mehrere Rollen zugewiesen bekommt, könnte dies einen Segregation-of-Duties- oder kurz SoD-Konflikt auslösen. Hier gilt es zu prüfen, welche Rollen das Problem auslösen. Die SAP-Transaktion SUIM (Solutions for User Identity Management) und deren API ermöglichen eine Überprüfung von Berechtigungskombinationen.
Sichere Server-Einrichtung
Ein weiterer wichtiger Punkt beim Thema Berechtigungen und Rollen ist die sichere Einrichtung der Server. SAP-Sicherheitsfachleute konfigurieren den Server nach Sicherheitskriterien, aktivieren die entsprechende Protokollierung und kontrollieren die Kommunikation und Datensicherheit innerhalb des Systems. Hierfür eigenen sich automatisierte Monitoring-Tools, die nach der
Einrichtung kontinuierlich prüfen, ob alle Systemeinstellungen sowie Berechtigungsund Rollenvorgaben eingehalten werden. Regelmäßige Audits helfen dabei die eingeführten Kontrollen auf dem Stand der Technik und Bedrohungslage zu halten. Last, but not least sollte ein Notfallkonzept erstellt werden, um im Falle einer Kompromittierung, einer Schwachstelle oder eines Fehlers angemessen schnell reagieren zu können.
Patchen ist eine Kür
Wie bei allen ERP-Systemen bedeutet regelmäßiges Patchen einen enormen Aufwand. Jedes Update führt in gewisser Hinsicht zu einer Unterbrechung sensibler Geschäftsprozesse. Abseits der normalen Aktualisierungen häufen sich in den letzten Jahren darüber hinaus solche zur SAP-Sicherheit: Der Grund sind Sicherheitsverstöße. Das Patch-Management muss also gut geplant werden.
Oftmals bleiben Updates auch einfach aus, sodass schwere Sicherheitslücken in vielen Systemen weltweit bestehen bleiben, ohne dass sich jemand um deren Behebung kümmert. Darüber hinaus bestehen zahlreiche Zero-Day
Schwachstellen, die wie eingangs erwähnt durch Anpassungen entstanden sind und deshalb nicht immer dokumentiert wurden.
Transaktionsüberwachung
Transaktionen und Funktionsmodule gehören zu den grundlegenden Bestandteilen eines SAP-Systems. Viele sind auch remote verfügbar, um die Kommunikation mit dritten Systemen zu gewährleisten. Über APIs lassen sich Konten mit Berechtigungen anlegen, um sie aus der Ferne zu nutzen. Weitere Funktionsmodule laden dann weitere Daten aus dem System oder manipulieren sie im schlechtesten Fall. Die Berechtigungsvergabe ist für diesen Vorgang so wichtig, weil sie die Möglichkeit, Transaktionen und Funktionsaufrufe vorzunehmen, einschränken kann. Mit einer zentralen Überwachung gelingt zudem die automatisierte Überprüfung von kritischen Transaktionen, RFC-Modulen und SAP-Programmen sowie wer oder was auf diese zugreift.
Codesicherheit
Die Sicherheit des Codes ist für die SAP-Sicherheit von zentraler Bedeutung. ABAP-Code (Advanced Business Application Programming, die Programmiersprache von SAP) sollte möglichst unter dem Gesichtspunkt von Security by Design programmiert werden. Momentan kümmern sich aber meist Entwickler darum, nicht die Experten für IT-Sicherheit. Der Code wird zusammengestellt und von den Entwicklungssystemen zu den Produktivsystemen transportiert. Eine Qualitätsprüfung des Codings hinsichtlich der Sicherheit findet dabei oftmals nicht statt.
Leider bieten SAP-Systeme auch Möglichkeiten der Code-Injektion. Code kann sogar zur Laufzeit generiert und ausgeführt werden. Im Zuge aktueller Diskussionen um Supply-ChainAttacken eignen sich die Transporte dieser Codes, um Malware unentdeckt in SAP-Systeme
einzuschleusen. Bordmittel von SAP wie der Code Inspector mit Modulen wie dem Code Vulnerability Analyzer unterstützen bei der Analyse.
Systemeinstellungen
Die Systemeinstellungen sind eine weitere Möglichkeit, die sich Angreifer zunutze machen könnten. Auf der Datenbank- oder der Transaktionsebene lassen sich Einstellungen an den SAP-Profilparametern vornehmen, die in Dateien abgelegt sind. Kommt es dann zu einem Roll-out, muss ein bestimmtes Regelwerk eingehalten werden, das dem Betriebshandbuch der SAP-Basis folgt. Dort ist festgelegt, wie Sicherheitseinstellungen gewählt, Zugriffe gewährt oder verweigert werden und welche Kommunikation eines SAP-Systems zulässig ist. Die Sicherheitseinstellungen werden dann über verschiede Betriebs-, Datenbank-, und Anwendungsschichten hinweg konfiguriert, was leider oft fehleranfällig ist. Zudem sind SAP-Standards häufig nicht ausreichend.
RFC-Gateway-Konfiguration
Beim Thema Konfiguration ist zudem das RFC-Gateway, die SAP-interne Firewall, ein wichtiger Baustein innerhalb der SAP-Sicherheit. Das Gateway muss wie jede Firewall genau konfiguriert (RegInfo, SecInfo) werden. Nur dann lassen sich unberechtigte Zugriffe auf Systeme und Anwendungen vermeiden. Die DSAG (Deutsche SAP-Anwendergruppe) hat Best Practices und Leitfäden entworfen, die eine Reihe von praxistauglichen und sicherheitsorientierten Einstellungen sowie Testkataloge enthalten.
Sicherheits- und Lesezugriffsprotokolle
Das A und O für ein zentrales SicherheitsMonitoring sind die Sicherheitsprotokolle. Sie müssen gleichzeitig eingeschaltet und kontrolliert werden. Zu den wichtigsten Protokollen gehört das SAP-Sicherheitsauditprotokoll (SM20). Es enthält eine Reihe von sicherheitsund auditrelevanten Ereignissen.
Weitere wichtige Protokolle sind das Änderungsprotokoll (SCU3) von Datenbanktabellen und die Änderungsbelege von Benutzern und Business-Objekten (SCDO). Das SAP RFC-Gateway Log SMGW enthält die Protokolle des RFC-Gateways, und darüber hinaus existieren Protokolle des SAP Internet Communication Managers und des Web Dispatchers.
In dem SAP Read Access Log (SRAL) wiederum werden Lese- und Schreibzugriffe auf bestimmte Felder von Transaktionen, Datenbanktabellen oder Tabellenfelder gespeichert. Dieses Protokoll wird über die Transaktion „SRALManager“verwaltet und ist für die Erfüllung der Bestimmungen der DSGVO wichtig, denn es zeigt auf, wer zu welchem Zeitpunkt auf welche Daten zugegriffen hat.
Für ein funktionierendes Sicherheits-Monitoring ist die Konfiguration dieser Lesezugriffsprotokolle und deren Analyse ein wichtiger Baustein. Automatisierte Regeln, die bei der Auswertung der Protokolle helfen, unterstützen die SAP-Sicherheitsfachleute bei der Kontrolle der Lesezugriffe.
Automatisierung für mehr SAP Security
Wer sich mit der SAP-Sicherheit beschäftigt, muss sich mit ähnlichen Bedrohungen und Risiken auseinandersetzen wie bei allen anderen IT-Systemen auch, allerdings ist die IT-Sicherheit in einer ungleich komplexeren Umgebung zu organisieren. Dieses Missverhältnis wird durch den Umstand der vielen Schnittstellenund Konfigurationsprobleme verstärkt und zwingt Fachleute, zunächst zu SAP-Spezialisten zu werden, bevor sie sich an die Härtung ihrer Systeme heranwagen können. Doch es gibt ein Licht am Ende des Tunnels, denn mit zunehmender Automatisierung lässt sich mehr Sichtbarkeit erreichen, was auch für eine bessere Compliance sorgen kann.