SAP-Angriffsfläche verstehen und reduzieren

Christoph NagyCyberangriffe sind eine Bedrohung für jedes Unternehmen und deren SAP-Systeme sind potenziell gefährdet. Wie kann man die SAP-Angriffsfläche verstehen und reduzieren? Gibt es wirksame Maßnahmen gegen die Ausnutzung von SAP-Zero-Days? Wie schließt man besonders gerne ausgenutzte Sicherheitslücken?

Diesen Fragen geht Christoph Nagy, CEO bei SecurityBridge, in seinem Gastbeitrag nach. Jeden zweiten Dienstag im Monat, so auch morgen am 08.02.2022, erwartet SAP-Kunden ein weiterer SAP Security Patch Day und damit ein Wettlauf gegen die Zeit.

 

 

Kann man sich vor SAP-Zero-Days schützen?

SAP-AngriffsflächeDie eigene Cyber-Angriffsfläche zu kennen, ist heutzutage sehr wichtig, denn nur so kann das Risiko der Ausnutzung der so genannten unbekannten Unbekannten (Zero-Days) reduziert werden. Zero-Days sind Schwachstellen, die noch nicht allgemein bekannt sind — und was noch viel wichtiger ist: für die noch kein Sicherheitsupdate existiert. Unternehmen müssen davon ausgehen, dass jede Anwendung, auch die unternehmenskritischen Lösungen von SAP, eine oder mehrere schwerwiegende Sicherheitslücke enthalten, die noch nicht gepatcht werden kann, da kein Patch verfügbar ist.

Auf den Moment zu warten, in dem die Schwachstelle veröffentlicht und vom Softwarehersteller gepatcht wird, ist keine Sieger-Strategie, da Cyberkriminelle die Sicherheits-Defects bereits kennen und ausnutzen können. Bei SecurityBridge tauschen wir uns regelmäßig mit Partnern und Kunden aus, um deren Risikobereitschaft zu verstehen und so eine passgenaue Lösung zu entwickeln, welche die inakzeptablen Risiken minimiert. Eine der ersten Fragen ist die folgende: Kennen Sie Ihre Angriffsfläche überhaupt?

 

Was genau versteht man unter „Angriffsfläche“?

Die Angriffsfläche ist die Summe aller möglichen Angriffsvektoren, über die ein unbefugter Angreifer auf ein System oder eine Anwendung unberechtigt zugreifen kann, um z. B. Daten zu extrahieren oder sensible Informationen zu manipulieren. Je kleiner die Angriffsfläche einer IT-Landschaft ist, desto einfacher ist sie zu schützen.

 

Warum ist die SAP-Angriffsfläche so wichtig?

Unternehmen müssen ihre Angriffsfläche ständig überwachen, um potenzielle Bedrohungen so schnell wie möglich zu erkennen und abzuwehren. Außerdem arbeiten sie kontinuierlich daran, die Angriffsfläche zu minimieren, um das Risiko eines erfolgreichen Cyberangriffs zu verringern. Der SAP NetWeaver Applikation Server nutzt den integrierten Webserver den sog. SAP Internet Communication Manager (ICM) und das Internet Communication Framework (ICF), das über die SAP-Transaktion SICF erreicht werden kann, um webbasierte Systemdienste bereitzustellen. Für den Verbindungsaufbau kann im SAP-Kontext auch ein Remote Function Call (RFC) genutzt werden.

SAP-SICFSAP-Kunden, die ihre SAP-Sicherheit erhöhen wollen, müssen die Anzahl der öffentlich zugänglichen Systemdienste (HTTP(s), SOAP, WebService, APIs) kontinuierlich bewerten und inventarisieren. Jeder Dienst, der nicht aktiv genutzt wird oder nicht einem bestimmten SAP-Geschäftsszenario dient, sollte deaktiviert werden, um die Angriffsfläche zu verringern und damit auch das Risiko einer Ausnutzung zu minimieren.

Außerdem müssen Dienste, die keine Authentifizierung erfordern, genau im Auge behalten werden. In SAP existieren sie im Namensraum /sap/public/, der in der Transaktion SICF zu finden ist. Dienste wie /sap/public/info sind die erste Anlaufstelle für Cyberkriminelle, um in der Erkundungsphase eines Angriffs Informationen zum anvisierten SAP-System sammeln.

 

Wirksame Maßnahmen gegen die Ausnutzung von SAP-Zero-Days?

Zur Erinnerung: Ein Zero-Day ist eine Schwachstelle, die noch nicht allgemein bekannt ist und für die es keine Sicherheitskorrektur verfügbar ist. Patching ist daher keine Option! Das bedeutet jedoch nicht, dass regelmäßiges und rechtzeitiges Patchen nicht eine der wirksamsten Maßnahmen zum Schutz vor einer Ausnutzung ist — ganz im Gegenteil.

Jeden zweiten Dienstag im Monat veröffentlicht SAP die neuen Sicherheitspatches. Mit diesem Ereignis beginnt der Wettlauf zwischen Angreifern und Verteidigern, den der Verteidiger nur gewinnen kann, wenn er den Patch vor einer Ausnutzung installiert.

SAP sponsert sogenannte „Bug-Bounty”-Programme zur Unterstützung von Sicherheitsforschern. Es gibt verschiedene einzelne Forscher, aber auch ganze Forschungslabore, die Standardsoftware auf Schwachstellen analysieren, doch auch mit vereinten Kräften lassen sich Zero-Days leider nicht ausmerzen.

SAP Cybersecurity-Lösungen, wie z.B. SecurityBridge Patch Management, informieren ihre Anwender automatisch, sobald ein neuer Patch veröffentlicht wurde, der für ihre spezifische Systeminstallation relevant ist. Das reduziert den Aufwand und die Vorlaufzeit vor dem Patchen. Darüber hinaus geben Unternehmen wie SecurityBridge sofort Signatur-Updates heraus, die es ihren Kunden ermöglichen, potenzielle Ausnutzungen von noch nicht gepatchten Schwachstellen gezielt zu überwachen.

Da jedoch kein Patch für einen Zero-Day verfügbar ist, gilt es zusätzlich einige andere Hausaufgaben zu erledigen:

  1. Bestandsaufnahme der Angriffsvektoren

Die Kenntnis der gesamten Angriffsfläche ist wichtig und dient als Grundlage für weitere Gegenmaßnahmen. Außerdem hilft es Unternehmen, ihre individuelle Sicherheitshaltung zu verstehen.

  1. Reduzieren der Angriffsvektoren

Alle Verbindungspunkte, wie die bereits erwähnten SAP Internet Communication Framework (ICF)-Dienste, die nicht verwendet oder benötigt werden, sollten deaktiviert werden. Außerdem ist sicherzustellen, dass alle Berührungspunkte mit nicht-vertrauenswürdigen Netzwerken oder dem öffentlichen Internet ausreichend gehärtet sind.

  1. Softwarekomponenten deinstallieren

Softwarekomponenten, die keinem bestimmten Zweck dienen, sind zu deinstallieren oder zumindest zu deaktivieren. Die meisten SAP-Kunden betreiben z.B. noch mindestens ein SAP NetWeaver-System, auf dem der nicht mehr benötigte, aber bis vor kurzem mit der Standardinstallation ausgelieferte „Client 066“ vorhanden ist. Es gibt verschiedene andere Beispiele, die Lösungen, wie z.B. SecurityBridge unmittelbar nach der Installation sofort automatisch identifizieren.

  1. Überwachung von Änderungen

Wann immer ein neuer Dienst aktiviert oder eingeführt wird, müssen Sicherheitsüberlegungen angestellt werden. SAP-Securitylösungen helfen Unternehmen, jede Veränderung der Angriffsfläche zu überwachen. Diese Änderungen wirken sich oftmals direkt auf den etablierten SAP-Sicherheitsstandard aus und müssen zu einer Neubewertung der Lage führen.

  1. Erkennung von Bedrohungen

Der jüngste Log4j-Vorfall, aber auch das etwas ältere RECON-Vorfall haben eindrucksvoll bewiesen, dass Schwachstellen über einen langen Zeitraum unbemerkt existieren können. Die Erkennung von Bedrohungen und die Überwachung von Aktionen mit Auswirkungen auf die Sicherheit des SAP-Systems sind Schlüsselelemente zum Schutz vor schweren Schäden.

  1. Mehrschichtige Sicherheit

Führen Sie zusätzliche Sicherheitsschichten ein. Neben der präzisen Härtung, dem Patchen und der Überwachung ist es empfehlenswert, je nach individueller Risikosituation zusätzliche Systeme zur Cyberabwehr und zur Netzwerksegmentierung in Betracht zu ziehen.

 

Wie kann man die SAP-Angriffsfläche reduzieren?

Dies ist keine leichte Aufgabe und wird besonders für SAP-Kunden schwierig, die ihren digitalen Fußabdruck erweitern und laufend neue Technologien einsetzen. Verringern bedeutet

  • Deaktivierung der Dienste von SAP Internet Communication Framework (ICF) und Internet Communication Manager (ICM)
  • Deinstallation nicht genutzter Softwarekomponenten
  • Löschung ungenutzter oder veralteter RFC-Destinationen und Service-Endpunkte. Die genutzten Endpunkte müssen ausreichend gehärtet sein.
  • Eliminierung von Trusting (SMT1), das nicht benötigt wird
  • Löschung von SAP-Mandanten, die nicht verwendet werden
  • Steuerung und Verfolgung der Handhabung von SSL-Zertifikaten in SAP (STRUST)
  • Und vieles mehr…

 

SAP-Sicherheitsrisiken automatisiert klassifizieren

Es kann ein schmaler Grat zwischen dem Akzeptieren eines neuen Sicherheitsrisikos und der Erfüllung des Wunsches der Fachabteilungen nach einem neuen Feature sein. Dies gilt insbesondere dann, wenn der neue Service nur zusätzlichen Komfort bringt, aber mit einem ganz bestimmten Risiko verbunden ist. Und damit ist auch schon die eine Herausforderung beschrieben, die es zu meistern gilt:

Viele SAP-Experten haben in dem Moment, in dem sie eine Änderungsanfrage bewerten, die Klassifizierung von fachlichem Nutzen und der Auswirkungen auf die SAP-Sicherheit nicht zur Hand, oder gar nicht im Blick. SAP Securitylösungen wie SecurityBridge liefern diese fehlende Information durch ein ausgeklügeltes Klassifizierungssystem, das die Wahrscheinlichkeit einer Ausnutzung ebenso in die Betrachtung mit einbezieht.

 

IT-Sicherheitsrisiken ganzheitlich bewerten

Das zuvor beschriebene Szenario bezieht sich auf eine bestimmte Änderung und steht hauptsächlich im Zusammenhang mit dem Security-Governance-Modell, das eingerichtet werden muss, um sicherzustellen, dass die Angriffsoberfläche von SAP nicht unbeabsichtigt vergrößert wird. Tritt man einen Schritt zurück, um die Gesamtoberfläche eines bestehenden Systems oder einer ganzen Landschaft zu betrachten, ist dies wesentlich komplexer.

In der Regel ist eine umfangreiche Bewertungsphase erforderlich, bevor Abhängigkeiten und andere umgebungsspezifische Überlegungen, wie das Vorhandensein zusätzlicher Sicherheitsschichten, angestellt werden können. Zusätzliche Sicherheitsebenen können durch Netzwerksegmentierung, Intrusion-Prevention-Systeme, die in intelligenten Firewalls, wie z.B. FortiGate von Fortinet, enthalten sind, eingeführt werden.

 

Fazit

Jeden zweiten Dienstag im Monat werden neue Sicherheitspatches für SAP-Kunden veröffentlicht. Es muss immer davon ausgegangen werden, dass einige der veröffentlichten Sicherheitsupdates SAP-Kunden erneut dazu zwingen werden, schwerwiegende Sicherheitslücken in ihren unternehmenskritischen SAP-Anwendungen zu schließen.

Wenn Dienste betroffen sind, die bereits deaktiviert sind, wird das Risiko einer Ausnutzung in der Regel verringert — daher wird oft die Deaktivierung eines betroffenen Dienstes als Workaround für diejenigen genannt, die den Patch nicht installieren können.

Log4j hat viele Unternehmen und auch SAP-Kunden unvorbereitet getroffen. SAP-Kunden sollten sich bewusst sein, dass dies jederzeit wieder passieren kann. Sie müssen also davon ausgehen, dass dies passieren wird und die eigene SAP-Sicherheitsstrategie entsprechend anpassen.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Jetzt anmelden:

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

ITOK23-IT-Onlinekonferenz

IT-Onlinekonferenz 2023 für die SAP-Community

Elftes Gipfeltreffen der SAP-Community: Bei der nächsten IT-Onlinekonferenz (23.-26.01.23) berichten SAP-Kunden gemeinsam mit SAP und …