„Keine Software ist von Natur aus sicher. Es wird immer Sicherheitsprobleme geben und SAP ist da keine Ausnahme“, sagt Holger Hügel, Product Management Director bei SecurityBridge (Foto). Welches die Top-10-Schwachstellen sind und wie man sie identifizieren, verwalten und beheben kann, erklärt er in seinem Gastartikel für das IT-Onlinemagazin.
1. Unvollständiges Patch-Management
Wichtigste Maßnahme zum Schließen von Sicherheitslücken ist das sog. Patching. Jeden zweiten Dienstag im Monat veröffentlicht SAP seine Sicherheitshinweise (Notes bzw. Patches). Wer die darin enthaltenen Sicherheitskorrekturen nicht rechtzeitig einspielt oder gar ignoriert, macht sein SAP-System anfällig für bekannte Schwachstellen. Denn es ist klar, dass Cyberkriminelle mit Vorliebe Systeme mit bekannten Schwachstellen ins Visier nehmen.
2. Verwenden schwacher Kennwörter
Zweiter Kardinalfehler ist das Verwenden von Standard- oder schwachen Kennwörtern. SAP-Systeme werden oft mit Standardbenutzernamen und -kennwörtern ausgeliefert, die bereits bekannt sind. Wer diese Werte nicht umgehend ändert oder strenge Kennwortrichtlinien in seinem Unternehmen durchsetzt, lädt Unbekannte förmlich ein, sich Zugang zu verschaffen oder ihre Berechtigungen zu erweitern.
3. Keine geregelte Autorisierung
Die rollenbasierte Zugriffskontrolle (Role Based Access Control = RBAC) ist in SAP-Systemen von entscheidender Bedeutung. Viele Unternehmen aber haben damit Probleme und verwalten nur unzureichend, wer auf welche Module und Komponenten Zugang hat. Hier gilt es abzuwägen: Zu freizügige Rollen oder unzureichende Aufgabentrennung können zu unbefugtem Zugriff, Datenschutzverletzungen und Betrug führen – umgekehrt behindern zu restriktive Rollen die Produktivität. Es braucht also ein RBAC-Konzept, um sicherzustellen, dass jeder Beschäftigte nur (und genau) die für seine Rollen erforderlichen Berechtigungen innehat.
4. Unsichere Schnittstellen
SAP-Systeme haben oft mehrere Schnittstellen für die Kommunikation, wie z.B. RFC (Remote Function Call) und HTTP. Sind sie unzureichend gesichert, können Kriminelle sie ausnutzen, um auf SAP-Daten zuzugreifen, sie zu manipulieren oder sich problemlos zwischen SAP-Systemen zu bewegen und die gesamte Landschaft zu kompromittieren. Es gibt mehrere Möglichkeiten der Absicherung, zum Beispiel durch Vermeidung von Passwörtern indem Vertrauensstellungen zwischen Systemen konfiguriert werden oder durch die Verwendung der UCON-Funktionalität von SAP, um die Angriffsfläche drastisch zu verringern. Eine weitere Maßnahme ist die Aktivierung der Datenverschlüsselung, die für den Schutz sensibler Informationen sowohl in der Datenbank als auch bei der Übertragung unerlässlich ist: Ohne geeignete Verschlüsselungsmaßnahmen können Daten abgehört und gestohlen werden.
5. Keine Multi-Faktor-Authentifizierung oder Single-Sign-On
Schwache Authentifizierungsmechanismen, wie z. B. einfache Passwörter und unzureichende Berechtigungsprüfungen, können zu unbefugtem Zugriff und zur Ausweitung von Berechtigungen führen. Unternehmen sollten eine Multi-Faktor-Authentifizierung (MFA) implementieren und ihre Authentifizierungsrichtlinien regelmäßig überprüfen sowie aktualisieren. Die Umsetzung von Single-Sign-On (SSO) beim Arbeiten mit SAP reduziert die Angriffsfläche und den Aufwand für das Zurücksetzen von Passwörtern erheblich.
6. Unsicherer Code in Eigenanwendungen
Auch hier gilt: Kein digitales System ist perfekt, und der benutzerdefinierte Code in SAP-Umgebungen kann Sicherheitsschwachstellen aufweisen. Unternehmen müssen regelmäßige Codeüberprüfungen und Sicherheitstests durchführen, um Probleme im Code ihrer Eigenanwendungen zu erkennen und zu beheben.
7. Mangelhaft verwaltete Sicherheitsprotokolle
Viele Unternehmen aktivieren immer noch kein SAP Security Audit Log (SAL) in ihren Systemen, was eine große Lücke bei der Untersuchung von Vorfällen reißt. Eine ordnungsgemäße Protokollierung und Überwachung ist für die Erkennung von und Reaktion auf Sicherheitsvorfälle unerlässlich. Unzureichende oder falsch konfigurierte Protokollierung kann die Identifizierung verdächtiger Aktivitäten oder Sicherheitsverletzungen erschweren. Unternehmen müssen robuste Überwachungs- und Warnsysteme einrichten, um gegenüber potenziellen Bedrohungen wachsam zu bleiben.
8. Konfigurationsfehler und Einstellungen mit unsicheren Standardwerten
Falsch konfigurierte SAP-Systeme können sensible Daten und Funktionen für unbefugte Benutzer zugänglich machen. Dazu gehören unsichere oder zu freizügige Einstellungen/Parameter für Datenbank- und Anwendungsserver, Netzwerkkonfigurationen, SAP-Komponenten wie Message Server, RFC Gateway und ICM sowie Benutzerberechtigungen. Konfigurationsfehler sind oft das Ergebnis menschlicher Versäumnisse oder mangelnder Fachkenntnisse. Daher muss bei der Durchführung von Konfigurationen, wo immer möglich, das 4-Augen-Prinzip angewendet werden.
9. Mangelndes Sicherheitsbewusstsein
Mitarbeitende mit Zugriff auf SAP-Systemen können durch Handlungen wie Social Engineering oder Phishing-Angriffe unbeabsichtigt Sicherheitsrisiken einführen. Um dieses Risiko zu mindern, sind regelmäßige Sicherheitsschulungen und Sensibilisierungsprogramme unerlässlich.
10. Veraltete und nicht unterstützte Systeme
Veraltete oder nicht unterstützte SAP- und Betriebssysteme und Datenbanken stellen ebenfalls ein Sicherheitsrisiko dar. Diese Infrastrukturen weisen mit großer Wahrscheinlichkeit bekannte Schwachstellen auf, die ausgenutzt werden können. Wird ein SAP-System außer Betrieb genommen, müssen angemessene Schritte unternommen werden, um sicherzustellen, dass alle User ausgesperrt und die Daten gelöscht werden, um eine unerwünschte Datennutzung zu verhindern. Manchmal können sogar außer Betrieb genommene Systeme sensible Geschäftsdaten enthalten.
Fazit
SAP-Sicherheit und ordnungsgemäßes Konfigurationsmanagement sind für Unternehmen von entscheidender Bedeutung, da die in SAP-Systemen verwalteten Daten sensibel und geschäftskritisch sind. Um diese zehn wichtigsten Sicherheitsprobleme zu entschärfen, sollten Unternehmen eine umfassende SAP-Sicherheitsstrategie entwickeln, die ein regelmäßiges Patch-Management, robuste Zugriffskontrollen, eine sichere Entwicklung von benutzerdefiniertem Code und eine kontinuierliche Benutzerschulung umfasst. Sie sollten sich über die neuesten SAP-Sicherheitslücken und Best Practices informieren, um ihre Sicherheitsmaßnahmen entsprechend anzupassen. Die Bewältigung dieser Sicherheitsherausforderungen ist unerlässlich, um den CIA-Dreiklang (Confidentiality, Integrity Availability = Vertraulichkeit, Integrität, Verfügbarkeit) von SAP-Systemen und den darin enthaltenen Informationen zu schützen. Zusätzlich können Unternehmen den Einsatz spezialisierter SAP-Sicherheitslösungen in Erwägung ziehen.
Weiterführende Informationen:
Ein Beispiel für eine spezialisierte SAP-Sicherheitslösung ist die All-in-One-SAP-Sicherheitsplattform von SecurityBridge, die über integrierte Funktionen verfügt, um alle oben genannten Schwachstellen in SAP-Systemen zu identifizieren und zu verwalten.