Typische Sicherheitsschwachstellen in SAP-Landschaften – und wie man sie schließen kann

Redaktion IT-Onlinemagazin 13. April 2015

Wir befragten Stefan Wohlschlag, Manager der Geschäftseinheit XAMS Services beim SAP-Sicherheitsspezialisten Xiting, zu typischen Sicherheitsschwachstellen in SAP-Landschaften und wie man diese schließen kann.

Herr Wohlschlag, IT-Landschaften und auch SAP Systeme sind vielfältigen Bedrohungen von intern und extern ausgesetzt. Welches sind typische Schwachstellen und Angriffspunkte, die IT-Leiter und Sicherheitsverantwortliche kennen sollten?

Im SAP-Umfeld bilden die Themenbereiche Systemkonfiguration, Benutzer/-rechte und Eigenentwicklungen das Fundament für eine solide SAP Sicherheitsstrategie. Gleichzeitig liefern diese Bereiche aber auch eine entsprechende Angriffsoberfläche für Manipulation und Datendiebstahl.

Im Hinblick auf die Systemkonfiguration stehen primär die Systemparameter sowie Einstellungen zur Protokollierung von Systemaktivitäten im Fokus. Eine fehlerhafte Konfiguration gefährdet im schlimmsten Fall die elementaren Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – und macht das System sowohl intern als auch extern angreifbar. Insbesondere SAP-Gateways sind häufig unzureichend geschützt.

Beim Thema Benutzer und Benutzerrechte kann eine fehlerhafte Implementierung von Berechtigungen den gewünschten Zugriffsschutz gänzlich aushebeln. Dies gilt auch für technische Benutzer, die in der Regel ohnehin zu stark berechtigt sind und daher ein beliebtes Angriffsziel darstellen. Zu den Klassikern gehören unter anderem der sichere Umgang mit Standardbenutzern und die korrekte Verwendung von Benutzertypen bei der Hintergrundverarbeitung oder Schnittstellenkommunikation. Aber auch organisatorische Prozesse und technische Verfahren zur Bereitstellung von Benutzern und Berechtigungen weisen oftmals Defizite auf.

Bei Eigenentwicklungen sind vor allem fehlende Berechtigungsprüfungen und deren falsche Implementierung sicherheitskritische Schwachstellen. Ebenfalls sorgen nicht vorhandene Entwicklungsrichtlinien für ein noch größeres Gefahrenpotential, da beispielsweise die Verwendung von kritischen ABAP-Befehlen nicht geregelt ist und entsprechende Prüffunktionen nicht existieren.

Aufgrund des Umfangs, der Vielfältigkeit an Faktoren und der themenspezifischen Komplexität ist der Einsatz von Lösungen empfehlenswert, die einen ganzheitlichen Ansatz in Bezug auf die Sicherheit in SAP-Systemen verfolgen.

SAP Systeme sind vielfältig – oft weltweit – vernetzt und somit miteinander verbunden. Was sollten IT-Experten bei Benutzerrechten und Passworten in SAP Umgebungen beachten oder gibt es noch ganz andere Bedrohungen?

In jedem Fall sollten die relevanten Systemparameter bezüglich Kennwortrichtlinien korrekt konfiguriert sein. Schlussendlich ist beim Einsatz von Passwörtern als Authentifizierungsmethode das menschliche Verhalten aber immer noch die größte Schwachstelle, weshalb eine Zwei-Faktor-Authentifizierung zur Vorbeugung von Identitätsdiebstahl empfehlenswert ist.

Bei der technischen Implementierung von Benutzerrechten ist das granulare Konzept zur Zugriffssteuerung eine wahre Herausforderung. Dies führt oftmals unbewusst zur Vergabe von zu vielen oder kritischen Berechtigungen, die in Konflikt zu geltenden Sicherheitsrichtlinien stehen. Viele Berechtigungskonzepte scheitern aber auch einfach an der mangelnden Transparenz und technischen Wartbarkeit. Diesbezüglich hat sich die Implementierung stellenbasierter Benutzerrechte bewährt.

Eine weitere wichtige Bedrohung entsteht außerdem durch die Verwendung von unsicheren Kommunikationskanälen. Der Verbindungsaufbau im Unternehmensumfeld sollte bevorzugt verschlüsselt erfolgen und für Verbindungen mit anderen Systemen eine Vertrauensbeziehung initiiert werden.

Viele SAP Systeme sind für die mobile Nutzung „nach außen“ geöffnet. Worauf ist zu achten und welche Gefahren unterschätzen Unternehmen hier?

Mit dem zunehmenden Bestreben der Unternehmen in Richtung partnerschaftlicher Zusammenarbeit, der Bereitstellung und Integration von Cloud- oder Web-Services sowie dem Ausbau digitaler Kommunikationskanäle steigt auch die Komplexität bezüglich der Etablierung funktionierender Sicherheitsmechanismen. Neben der korrekten Implementierung von Berechtigungskonzepten zur differenzierten Zugriffssteuerung auf Unternehmensdaten stehen vor allem auch Schnittstellen zum Datenaustausch im Fokus.

Historisch bedingt besteht hier bei sehr vielen Kunden starker Handlungsbedarf, da die bestehenden Schnittstellen technisch unzureichend abgesichert sind und keine wirksamen Zugriffsbeschränkungen bei der Verwendung existieren. Das Gefahrenpotential für Missbrauch ist entsprechend hoch, wird von den Verantwortlichen jedoch meist unterschätzt.

Mit Hilfe geeigneter Technologien und dem erforderlichen Know-how können Schnittstellen erfolgreich bereinigt und die Risiken sowie Auswirkungen auf den produktiven Betrieb effektiv gemindert werden.

Was empfehlen Sie IT-Leitern, die ihre SAP-Umgebungen sicherer machen möchten?

Die kontinuierliche Durchführung von Sicherheitsüberprüfungen, egal ob extern als Service-Dienstleistung oder intern im Rahmen eines IKS, ist elementarer Bestandteil einer erfolgreichen Sicherheitsstrategie. Hierbei gilt es potentielle Gefahrenquellen sowie Schwachstellen im Sicherheitskonzept zu identifizieren und entsprechende Maßnahmen abzuleiten, um auch in Zukunft einen zuverlässigen Schutz der Unternehmensdaten zu gewährleisten.

Die Feststellung des tatsächlichen Schutzbedarfs ist ein kontinuierlicher Prozess, da technische Parameter sowie Unternehmensabläufe und damit einhergehende Anforderungen einem stetigen Wandel unterliegen. Um hier den Anschluss nicht zu verlieren, haben sich Sensibilisierungsmaßnahmen zum Thema SAP Sicherheit bewährt. Erfahrungsgemäß führt bereits die regelmäßige Teilnahme an Informationsveranstaltungen zu wichtigen Erkenntnissen bei den Verantwortlichen und ermöglicht gleichzeitig den wertvollen Erfahrungsaustausch sowie Diskussionen mit anderen Teilnehmern.