SAP Sicherheit: Die vielen SAP-Schnittstellen müssen sicherer werden

Redaktion IT-Onlinemagazin 18. Januar 2018

Sicherheit SAP SchnittstellenDigitalisierte Prozesse durchlaufen auf ihrem Weg viele Systeme und stoppen nicht an Systemgrenzen. Sämtliche Schnittstellen in digitalen Ende-zu-Ende Prozessen sicherer zu machen, hat sich der SAP-Security Experte Virtual Forge zur Aufgabe gemacht.

Das neue Produkt InterfaceProfiler soll alle Frontend- und Backend-Schnittstellen inventarisieren, visualisieren und Hinweise zu deren Absicherung geben. Ferner überwacht und dokumentiert die Lösung die Datenflüsse zwischen Systemen. Typische SAP-Systeme haben mehrere Hundert bis mehrere Tausend RFC-Schnittstellen. Hinzu kommen Schnittstellen zum Betriebssystem, zur SAP GUI, zu mobilen Apps und Webservices. In hybriden Landschaften dürfte man da schnell eine hohe dreistellige bis vierstellige Anzahl von Verbindungen erreichen.

 

SAP-Schnittstellen inventarisieren und visualisieren

Ein SAP-System muss in der Regel alle Unternehmensprozesse mit Daten beliefern und ist daher sehr kontaktfreudig. So findet man in jeder SAP-Landschaft unter anderem neben RFC-Schnittstellen, immer noch Datei-Schnittstellen und die moderneren Webservices und Verbindungen ins Backend, Datenbank und zu anderen Lösungen, die in der Cloud, bei Tochterunternehmen, Kunden oder Lieferanten laufen. Das können SAP- oder Non-SAP-Lösungen sein, die on-premise oder in der Cloud genutzt werden.

Nicht vergessen darf man die Schnittstellen zum Frontend. Hier ist nach wie vor vorranging das SAP GUI zu nennen, aber mobile SAP-Lösungen, Partnerlösungen und Apps sind — technisch gesehen — ebenfalls Schnittstellen. SAP-Anwender exportieren mittels SAP GUI oder mobilen Anwendungen beispielsweise Daten in externe Software, wie Microsoft EXCEL oder andere Produkte — oder nehmen kritische Daten einfach auf einem USB-Stick mit nach Hause. Zu guter Letzt sind zusätzlich die Schnittstellen zum Betriebssystem und zu Middleware, zur SAP Cloud Platform und anderen Basisdiensten zu berücksichtigen.

Visualisierung SAP Schnittstellen
Visualisierung einer einfachen SAP-Systemlandschaft (Quelle: Virtual Forge)

Transparenz über alle vorhandenen Schnittstellen will der InterfaceProfiler schaffen, indem sämtliche Verbindungen automatisch inventarisiert und visualisiert werden. „Wie viele Verbindungen das eigene SAP-System tatsächlich nutzt, wissen oftmals selbst die Systemverantwortlichen nicht hundertprozentig. Jetzt können sie alle Schnittstellen in der gesamten Systemlandschaft lückenlos dokumentieren und dann prüfen“, berichtet Dr. Oleksandr Panchenko, Security Architect bei Virtual Forge. „Danach können alle Hintertüren abgeriegelt werden, um die Datenleaks zu verhindern.“

 

Hinweise zur Absicherung von SAP-Schnittstellen

Weist eine Schnittstelle Sicherheitsschwachstellen auf, wird das signalisiert und der Systemverantwortliche bekommt Hinweise zur besseren Absicherung. Erkannt werden beispielsweise fehlende Verschlüsselung, unsichere Verbindungen, Berechtigungsprobleme bei RFC-Verbindungen sowie unerwartete oder untypische Aktivitäten.

Prozessketten, an denen mehrere Systeme involviert sind, können auf diese Weise nachverfolgt und durchgängig abgesichert werden. Man kann schnell ablesen, sofern noch Unsicherheiten existieren oder durch Änderungen an Systemen neu auftreten.

 

Monitoring von Datenflüssen über SAP-Schnittstellen

Im laufenden Betrieb soll man mit dem InterfaceProfiler die Datenflüsse überwachen können. Es wird aufgezeichnet, welche Art und Menge von Daten über die jeweilige Schnittstelle ausgetauscht wurde und ob die tatsächliche Verwendung der Schnittstellen dem gewünschten Systembauplan entspricht. Systemlandschaften entstehen nicht über Nacht, im Laufe der Evolution erscheinen und verschwinden Schnittstellen — oder sogar ganze Systeme. Die Gefahr ist, dass Schnittstellen „vergessen“ oder anders als vorgesehen verwendet werden.

Durch die ständige Überwachung sollen tatsächliche Datenflüsse nachvollziehbar gemacht werden und die Abweichungen vom ursprünglichen Design analysiert werden.

„Die Digitalisierung und das Wachstum hybrider Landschaften mit Cloud-Anteilen führen zu einem weiteren Anstieg von Schnittstellen in SAP-Landschaften. Wer Sicherheit schaffen will, braucht hohe Transparenz und Informationen über Änderungen in Echtzeit“, erläutert Dr. Markus Schumacher, CEO von Virtual Forge.

 

Schnittstellen als Sicherheitsrisiko: Praxisbeispiele

Dass ein solches Szenario nicht unrealistisch ist, zeigt ein Ereignis bei einem Kunden der Virtual Forge: „Bei der Analyse der Systemlandschaft haben wir ein Skript entdeckt, das regelmäßig Mitarbeiter-Stammdaten abgezapft, verpackt und an eine externe Email-Adresse verschickt hat. Zum Zeitpunkt der Analyse existierte dieses Datenleck durch die unbemerkte Schnittstelle bereits seit über einem Jahr“, berichtet Dr. Panchenko aus dem Kundenprojekt.

„Im Kontext der Europäischen Datenschutzgrundverordnung (EU-DSGVO) haben wir Schnittstellen eines HR-Systems inventarisiert“, berichtet Stefan Eckstein, langjähriger Berater und aktuell Presales-Manager bei Virtual Forge aus einem Projekt eines großen SAP-Kunden. „Bei einer Umfrage in der Fachabteilung kam man auf fünf Schnittstellen – unsere Analyse zeigte dann jedoch 60 aktive Schnittstellen in diesem HR-System. Die meisten Schnittstellen zu diesem alten System (in einer historisch gewachsenen Systemlandschaft) liefen „unter dem Radar“. Da viele Experten oder Entwickler, die ursprünglich an der Integration des Systems gearbeitet haben, nicht mehr in der Fachabteilung waren oder die Firma verlassen haben, sind die Informationen über die Schnittstellen und deren eigentliche Zwecken verloren gegangen.“

Thomas KastnerThomas Kastner, Geschäftsführer der Virtual Forge, weiß Ähnliches zu erzählen: „Ein Kunde migriert seine Systeme von einem Hosting-Anbieter zu einem anderen. Dabei ist es wichtig zu wissen, welche Schnittstellen zu welchen anderen Komponenten aktiv sind: Alle Verbindungen in der neuen Umgebung müssen richtig konfiguriert werden, damit sie beim neuen Hosting-Anbieter erreichbar sind bzw. damit alle benötigten Systeme und Komponente mit umgezogen werden. Interface Profiler hilft bei der Inventarisierung der Schnittstellen und bei der Priorisierung der Komponenten und Systemen, die migriert werden. Ein solches Migrationsprojekt ist gleichzeitig eine gute Gelegenheit in der Systemlandschaft aufzuräumen.“

 

Integrationsmöglichkeit in die Virtual Forge Sicherheitssuite

Der InterfaceProfiler ist Teil der Suite von Sicherheitslösungen von Virtual Forge und kann mit den anderen Lösungen, wie dem TransportProfiler, dem CodeProfiler und dem SystemProfiler kombiniert werden. Eine Integration mit dem SAP Solution Manager ist nach Herstellerangaben ebenfalls geplant. Das Produkt ist derzeit bei ausgewählten Pilotkunden im Einsatz. Die generelle Verfügbarkeit ist ab zweitem Quartal 2018 zu erwarten.

 

 

Weiterführende Informationen:

InterfaceProfiler: Absicherung von SAP-Schnittstellen

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Tags

Das IT-Onlinemagazin ist Medienpartner der Transformation World 2024

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

Was SAP-Kunden 2024 zur SAP-Security planen

45 Prozent der SAP-Systeme sind wahrscheinlich nicht ausreichend geschützt, nur 40 Prozent der Unternehmen sehen …

Telefon: +49 5121 102865 E-Mail: info [ a t ] it-onlinemagazin.de
© Copyright 2024 IT-Onlinemagazin. Alle Texte sind urheberrechtlich geschützt. All Rights Reserved