Anzeige

SAP Angriffe werden professioneller — und finden statt

SAP Sicherheit ist keine Kostenfrage, sondern ein must-have. Diesen Eindruck vermittelte die C-FORGE 2017, einer Leitkonferenz für stabile und sichere SAP-Systeme, zu der an zwei Tagen rund 230 Besucher nach Heidelberg kamen. Neben der SAP, SAP-Security-Partnern und Experten waren in diesem Jahr auch eine steigende Anzahl von Auditoren anwesend, um sich auf dieser Plattform für Sicherheit über neue Erkenntnisse und Trends auszutauschen. Einige Kernerkenntnisse haben wir zusammengefasst:

Die Angriffe werden zunehmend professioneller – es gibt beispielsweise eine Untergrundszene, in der man Experten (mit finsteren Absichten) und die dazu geeignete Einbruchssoftware günstig einkaufen kann. Auch der Identitätsdiebstahl ist weiterhin hoch im Kurs: Passworte stehlen wird vielerorts einfach gemacht. Angriffsversuche finden im Alltag tatsächlich statt, wie der Praxiseinsatz von Erkennungsprodukten zeigen, beispielsweise das SAP Enterprise Thread Detection (ETD).

Gut gewappnet gegen Angriffe von innen und außen dürften indes die wenigsten SAP-Anwenderunternehmen sein: viele SAP-Systeme sind — oft sogar sehr lange Zeit — gegen allgemein bekannte Sicherheitslücken ungeschützt und damit leicht angreifbar, wie auch unsere SAP-Community Umfrage ergeben hatte.

 

Professionalisierte Angriffe

C-FORGE-2017-SAP-SicherheitGötz Schartner (8Com GmbH & Co. KG) berichtet über eine professionalisierte Hackerszene, die Dienstleistungen und Produkte aller Art für Angriffe auf Unternehmen im sogenannten “Darknet“ anbietet. Mit vergleichsweise geringem Aufwand können Kriminelle für wenige tausend Dollar professionelle Angriffskampagnen „kaufen“.

Die meisten Angriffe erfolgen nach Aussagen von Holger Stumm (log(2) oHG) durch Identitätsdiebstahl und von innen, beispielsweise durch unzufriedene Mitarbeiter. Hier stehen demnach unter anderem Passwort Phishing, das Ausspähen von persönlicher Informationen in sozialen Netzwerken, der Angriff auf spezielle Benutzergruppen (Wasserlöcher) und das Einschleusen von Trojanern hoch im Kurs.

 

Angriffe auf SAP-Systeme finden permanent statt

„Die Notwendigkeit auf Angriffe reagieren zu müssen, wird mittlerweile nicht mehr in Frage gestellt“, antwortet Dr. Markus Schumacher (Virtual Forge) auf unsere Frage, was sich bezüglich der Sensibilität für SAP-Sicherheit in den letzten Jahren verändert hat. Dazu beitragen dürften auch Lösungen wie SAP Enterprise Thread Detection (SAP ETD), die SAP-Landschaften „monitoren“ und nahezu in Echtzeit die stattfindenden Angriffsversuche signalisieren. „Wenn ein Alarm gegeben wird, dann ist klar, dass man jetzt angegriffen wird“, so Schumacher weiter.

Prof. Dr. Peter Schaff (TÜV Süd) berichtete von einem „Honigtopf“ Projekt, mit dem Angreifer angelockt und deren Methoden erforscht werden sollten. TÜV SÜD simulierte die kritische Infrastruktur eines städtischen Wasserwerk Netzwerks. Die ersten Angriffe begannen bereits wenige Sekunden nachdem das Projekt online gegangen war.

Cyberangriffe: Vorbeugung gut – Nachholbedarf bei Angriffserkennung und Abwehr

Helge Sanden (IT-Onlinemagazin) stellte die Umfrageergebnisse 2017 zur SAP-Sicherheit in der SAP-Community vor. Er stellte als wichtigste Ergebnisse in den Vordergrund, dass Unternehmen sich bei der Vorbeugung gut aufgestellt sehen, aber sich bei der Erkennung oder Reaktionsfähigkeit auf Cyber-Angriffe ein eher schlechtes Zeugnis ausstellen:

 

 

Auch bei offensichtlichen sicherheitsfördernden Maßnahmen — dem Einspielen von SAP-Security Patches — tun sich viele Unternehmen schwer: So dauert es (nur) bei 30 Prozent der Unternehmen maximal einen Monat bis sie eingespielt sind. Weitere 40 Prozent benötigen bis zu drei Monate dafür, die restlichen 30 Prozent sind nach drei Monaten immer noch ungeschützt gegen offenkundige Schwachstellen und dürften sehr leicht angreifbar sein.

Bei der überwiegenden Zahl der SAP-Anwenderunternehmen (83 Prozent) liegt die Hauptverantwortung für die „SAP-Sicherheit“ beim SAP-Administrator. Sicherheit wird demnach eher operativ als strategisch eingestuft, was zu einem „blinden Fleck“ führen könnte. Eine Verbindung der SAP-Sicherheit mit der IT-Sicherheit könnte durch das Zusammenspiel von SIEM Lösungen mit SAP-Sicherheitslösungen erfolgen. SAP ETD arbeitet beispielsweise mit SIEM Lösungen zusammen. Bei potenziell unsicheren Veränderungen an der SAP-Systemkonfiguration (z.B. SAP-All User Vergabe) geben Produkte wie der SystemProfiler vorgefilterte Warnungen aus der SAP-Landschaft an SIEM-Lösungen zurück – ein blinder Fleck wäre damit weg.

 

Trends in der SAP-Security Community

Einen unabhängigen Blick auf die Sicherheit im SAP-Umfeld wirft derzeit der TÜV Süd: Dahinter steckt offenbar die Erkenntnis, dass eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz nicht zwangsläufig auch das SAP-Umfeld schützt. Gemeinsam mit den Experten von Virtual Forge ist man daher auf dem Weg, TÜV Zertifikate für „Geprüfte Code-Sicherheit“ und “Geprüfte Konfigurationssicherheit“ von SAP-Systemen zu erstellen. IT-Abteilungen könnten sich damit gegebenenfalls auch gegen Fragen der Revision absichern und gleichzeitig das Sicherheitsniveau verbessern.

Karsten Günther (links) im Gespräch mit Helge Sanden (IT-Onlinemagazin)

„Automatisierte und regelmäßige Prüfungen vom SAP-Custom-Code und der SAP-Konfigurationen führen zu einem positiven Gewöhnungseffekt und einer Verbesserung der Qualität“, beobachtet Karsten Günther (Virtual Forge) als langfristigen Trend. Fehlerquoten, Sicherheitsrisiken und Falscheinstellungen dürften sich insbesondere dadurch reduzieren lassen, dass sie nicht unerkannt bleiben, sondern während der automatischen Prüfung sofort auffallen. Da eine direkte Rückmeldung erfolgen kann, dürfte der Lerneffekt groß sein.

Im Vortragsprogramm wurde zudem deutlich, dass mit SAP HANA und S/4HANA auf die IT-Abteilungen neue Fragen zur Sicherheit zukommen. Beispielsweise müssen neue Berechtigungskonzepte, neue HANA Backend-Rollen, neue FIORI-Rollen und Aufräumarbeiten bei nicht mehr benötigten Transaktionen und Schnittstellen erledigt werden. Auch die Digitalisierungsbestrebungen und IoT-Szenarien bringen neue Facetten in die Sicherheitsfragen, da beides nicht „ohne Sicherheit“ funktionieren wird.

Für SAP- und IT-Verantwortliche dürfte es vor diesem Hintergrund in den nächsten Jahren weiterhin nicht langweilig werden.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

DSAGTT24

DSAG-Event bringt Klarheit — aber auch neue SAP-Fragen

Was waren die wichtigsten Erkenntnisse der DSAG-Technologietage 2024 in Hamburg? SAP-Kunden fordern vom Hersteller SAP …