SAP-Security Konferenz: Viele Risiken und Lösungsmöglichkeiten bekannt

0
Posted 19. Juni 2015 by Redaktion IT-Onlinemagazin in Geschäftsführer

SAP Sicherheit KonferenzAuf eintägigen SAP-Security Konferenzen des SAP-Partners Virtual Forge informierten sich in Stuttgart und Hannover rund 150 Teilnehmer über die SAP Sicherheit Trends und Innovationen. Mitnehmen konnte man dort zusätzlich Empfehlungen der Sicherheitsexperten zur Erkennung, Behebung und Vorbeugung von Cyber-Angriffen. Wir haben einige Highlights und Statements für Sie zusammengefasst:

 

Nachholbedarf bei Investitionen in SAP Sicherheit

„Die Sicherheitssensibilität in den SAP-Anwenderunternehmen steigt stark, die Investitionen in Maßnahmen zur besseren Absicherung des geistigen Eigentums, personenbezogener Daten, Kreditkarteninformationen oder anderer schützenswerter Informationen steigt jedoch nicht in gleichem Maße mit: nur gut ein Drittel der Unternehmen betreibt ein Sicherheits-Monitoring, nur 11% der Unternehmen führen Penetrationstests durch“, fasste IT-Onlinemagazin Chefredakteur Helge Sanden die Ergebnisse einer Onlinebefragung in der SAP-Community zusammen.

Sanden fragte Verantwortliche aus Unternehmen, die aktuell Investitionen in SAP-Sicherheitsmaßnahmen tätigen, nach Tipps für Kollegen, die um Budgets kämpfen müssen. Die Empfehlungen waren, beharrlich das Management zu sensibilisieren und sich Verbündete im Unternehmen zu suchen, um Sicherheitsbudgets zu bekommen.

 

Top 20 Risiken bei ABAP Entwicklungen

Der SAP Security Researcher Andreas Wiegenstein (Virtual Forge) verdeutlichte die Top 20 BSI ABAP Sicherheitsprobleme und Mindestanforderungen an sichere SAP-Eigenentwicklungen, unter anderem Berechtigungsrisiken, Risiken für die Testbarkeit, Datenschutzrisiken, Risiken für Standard-Mechanismen und die besonders gefährlichen Injection Risiken.

„Sie stellen das größte Sicherheitsrisiko durch Eigenentwicklungen dar. Je nach Art der Injection kann ein Angreifer die vollständige Kontrolle über das betroffene SAP System erlangen. Bereits eine einzige Command Injection / Native SQL Injection Schwachstelle gibt einem Angreifer die totale Kontrolle über das SAP System, egal welche sonstigen Sicherheitsmaßnahmen getroffen wurden“, warnte Wiegenstein und ergänzte: „Im Schnitt gibt es neun (!) solcher hochkritischen Schwachstellen pro SAP-System.“

 

SAP-Systeme angreifbar

Holger Scholz, SAP Security Consultant der T-Systems, stellte fest: „Will man die SAP Sicherheit erhöhen, das Bewusstsein im eigenen Unternehmen schärfen und auch Budgets für Vorhaben allokieren, bieten sich als Maßnahme Sicherheits-Assessments an. Sie geben einen ersten Überblick zum Status und zeigen den konkreten Handlungsbedarf auf. Im Prinzip sind 100% der SAP-Systeme angreifbar.“

Er verwies in diesem Zusammenhang auch auf eine firmeneigene Website, auf der man sich die aktuell stattfinden Cyberangriffe anschauen könne: www.sicherheitstacho.eu

 

Risiko Monitoring

Die Dunkelziffer von Sicherheitsvorfällen in den SAP-Anwenderunternehmen könnte hoch sein. Zunächst einmal müssen Risiken und Angriffe erkannt werden. Dazu sind zahlreiche Monitoring Lösungen am Markt verfügbar. SAP Basis und Technologie-Spezialist Dirk Biehler von Data Vard stellte eine derartige automatisierbare Lösung namens CanaryCode vor. Mit ihr sollen sich mehr als 200 Indikatoren zur Sicherheit, Compliance, Performance und Verfügbarkeit von SAP HANA und SAP BW überwachen, in einem Cockpit anzeigen und bei Abweichungen mit Warnungen signalisieren lassen.

Biehler sagte in diesem Zusammenhang: „Die SAP-Community Umfrageergebnisse haben gezeigt, dass nur rund ein Drittel der SAP-Anwenderunternehmen Sicherheitsmonitoring betreibe. Der Rest der Unternehmen bekommt potenziell stattfindende Angriffe nicht einmal mit.“

 

SAP HANA Sicherheit

Virtual Forge Produktmanager Patrick Boch meinte: „Die Komplexität der Sicherheitsanforderungen steigt mit SAP HANA. Es ist auch für typische Angriffe auf Web-Anwendungen anfällig. Besonders gefährlich sind RAM scraping Angriffe, denn Daten sind im SAP HANA Arbeitsspeicher unverschlüsselt abgelegt.“ Diese Angriffsmethode hinterlasse auch beinahe keine Spuren, dadurch sei sie schwer erkennbar. Boch gab fünf Empfehlungen, um SAP HANA Umgebungen zu schützen.

Virtual Forge Geschäftsführer Dr. Markus Schumacher stellte zum Abschluss der Konferenz ein neuartiges SAP HANA SQL Scripting Tool mit Eclipse Integration vor: Es soll bereits beim Erstellen von SAP HANA Code Sicherheitsschwachstellen erkennen und markieren, beispielsweise SQL Injections, gibt Erklärungen und Hintergrundinformationen zu den Sicherheitsgefahren und macht automatisch Korrekturvorschläge. „In Word werden Rechtschreibfehler rot markiert. Bei unserer Lösung wird bereits bei der Programmierung vor Sicherheitslücken gewarnt“, so Schumacher. Nach eigenen Angaben ist es das erste am Markt Werkzeug dieser Art, das in der zweiten Jahrehälfte 2015 verfügbar sein soll.

 

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:


Das IT-Onlinemagazin ist Medienpartner der DSAG Technologietage 2017:

Newsletter-Abo


Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter.   Etwa zweimal pro Monat werden Sie kompakt und unterhaltsam mit wichtigen Nachrichten aus der SAP- und ERP-Community versorgt.