SAP-Sicherheitslücken innerhalb von Tagen ausgenutzt?

IDC hat ermittelt, dass in den letzten Jahren rund zwei von drei ERP-Systemen angegriffen wurden. Prominente Fälle wurden in den letzten Monaten publik. Werden bekannte SAP-Sicherheitslücken mittlerweile innerhalb weniger Tage von Angreifern ausgenutzt?

Von Frederik Weidemann (Chief Technical Evangelist, Onapsis) wollte ich wissen, welche Entwicklungen und Trends er bei Angriffen auf IT- und SAP-Systeme beobachtet, wie es Angreifern gelingt, in SAP-Landschaften einzudringen, und wie automatisierte Kontrollen helfen können, dies zu verhindern.

Frederik Weidemann ist Gast eines Expert-Talks zur IT-Onlinekonferenz 2021 am 25.03. beim Thementag „SAP-Sicherheit“ und erläutert anhand von Beispielen, wie Angriffe ablaufen, wie Automatisierung helfen kann, wie man sicher in die Cloud wechselt und hybride Landschaften absichert.

 

Herr Weidemann, welche Trends beobachten Sie bei Angriffen auf IT- und SAP-Systeme?

Weidemann-Recon-SAPFrederik Weidemann: Vielleicht erinnern Sie sich an die Zeiten, in denen ein ungepatchtes Windows, in der Regel nach einer Minute im Internet, bereits infiziert gewesen ist. Seit letztem Jahr wissen wir, dass nach der Veröffentlichung der Recon-Schwachstelle bereits nach zwei Tagen weltweit nach verwundbaren SAP-Systemen gesucht wurde. Auch ein Proof of concept eines Exploits wurde für alle frei verfügbar zum Download gestellt.

SAP-Systeme wurden früher halbjährlich, jährlich, oder gar nie gepatcht. Das Wissen ein SAP-System anzugreifen ist kein Geheimnis mehr. Wer danach im Internet sucht, wird schnell fündig und findet sogar fertige Anleitungen.

(Erläuterung der Redaktion zur Recon-Schwachstelle: Angreifer können unter Umständen ein SAP-Administratorkonto einrichten. Über den SAP NetWeaver Application Server erhalten sie ggf. vollständige Kontrolle über ungepatchte SAP-Anwendungen, wie Solution Manager, S/4HANA, SCM, CRM und Enterprise Portal)

 

Verantwortung für SAP-Sicherheit nicht delegierbar

Welche Fehleinschätzungen beobachten Sie in Unternehmen?

Lassen Sie uns ein Beispiel betrachten: Gerne wird der Wechsel in die Cloud als Allheilsbringer gesehen. So wird zum Beispiel darauf verwiesen, dass von einer historisch gewachsenen und anspruchsvollen Struktur auf eine durch den Anbieter optimierte und sichere Cloud-Platform gewechselt wird. Damit soll auch eine spürbare Verbesserung der IT-Sicherheit einhergehen.

Allerdings lässt sich die Verantwortung für IT-Sicherheit nicht einfach in einen Vertrag festlegen. In der Praxis bleibt der Kunde immer für seine Business Prozesse, den Zugang zu Systemen, den darin gespeicherten Daten und für die Einhaltung von Recht und Gesetz verantwortlich.

Und damit kommen wir zum Hauptpunkt: Wer ist eigentlich in den Unternehmen für IT-Sicherheit verantwortlich? Wenn das Thema Top-Down gelebt wird, habe ich sehr gute Erfahrungen gemacht. Wenn allerdings zwei oder drei Mitarbeiter alleine gegen Windmühlen ankämpfen, dann ist der erfolgreiche Angriff auf Systeme in der Regel keine Hürde.

 

Welchen Einfluss hat die steigende Komplexität der IT-Landschaften auf die Sicherheit?

Die IT erfindet sich häufig und kurzfristig neu. Ein Framework, dass heute noch up-to-date ist, kann in zwei Jahren bereits veraltet sein. Heutige Landschaften verwachsen dabei immer mehr. On-premise und die Arbeit in der Cloud verschmilzt. Es entstehen hybride IT-Landschaften.

Oft werden dabei verschiedene Anbieter untereinander zusätzlich verknüpft. Selten bleibt ein Cloud-Service ohne eine weitere Verbindung zu einem anderen Anbieter. Für Angreifer eröffnen sich damit andere Einfallstore und Angriffsvektoren.

Musste ich vor 15 Jahren in Pentests häufig nur meinen Laptop im Meetingraum in die Netzwerk-Steckdose stecken, um Aha-Effekte und bedrückende Gesichter zu erzeugen, so stehen mir heute weitere und leichtere Möglichkeiten zur Verfügung. Je komplexer die Landschaft, desto einfacher wird es für einen Angreifer eine Lücke zu finden. Er hat in der Regel unbegrenzte Zeit und häufig auch Insiderwissen, was gerne ignoriert wird.

 

Automatisierung der SAP-Sicherheit?

Wie kann man seine SAP-Landschaften so schützen, dass Aufwand und Nutzen im Einklang stehen? Welche Rolle spielt die Automatisierung?

Ich bin ein großer Freund der Automatisierung. Im Kontext von DevSecOps ist die Automatisierung eine Kernfunktionalität. Kein Automobilhersteller würde heute ein Auto einer Großserie ausschließlich von Hand bauen. In der IT und insbesondere im Bereich der SAP-Sicherheit passiert aber genau das: Manuelle Prozesse werden auf Zuruf erledigt.

Betrachten Sie beispielsweise ihr eigenes Unternehmen: Wie sicher sind Sie, dass sämtliche Accounts auf allen Systemen deaktiviert werden, wenn ein Mitarbeiter ihr Unternehmen verlässt? Wie sicher sind Sie, dass ein neu eingeführter Cloud-Service Ihre Unternehmensanforderungen abdeckt? Und wie überprüfen Sie eigentlich, ob jemand gerade in SAP-Systemen etwas Illegales macht, z.B. sämtliche Kundendaten ausliest?

 

Was erfahren wir von Ihnen bei der IT-Onlinekonferenz 2021?

Wir schauen uns gemeinsam an, wie Angreifer sich mit SAP-Sicherheit beschäftigen und was Verantwortliche dagegen machen können, damit es nicht zu “Sicherheitsschwankungen” im SAP-Bereich kommt. Hier registrieren …

 

Was wird 2021 das dominierende Thema bei der SAP-Sicherheit?

SAP Cyber Threat Intelligence. Wir erwarten, dass sich der Trend aus 2020 fortsetzt. Angreifer werden neue Schwachstellen zeitnah und aktiv ausnutzen.

 

Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

SAP-Sicherheit bei der IT-Onlinekonferenz:

Sie können den Erfahrungsbericht von Frederik Weidemann bei der #ITOK21 live (22.03. – 25.03.) oder als Aufzeichnung verfolgen und eigene Fragen an den Experten stellen.

 

Bei der IT-Onlinekonferenz geben IT-Entscheider vier Tage lang Erfahrungsberichte, wie sie sich auf die SAP-Zukunft vorbereiten, die IT-Automatisierung, die Cloud-Transformation, das Management hybrider Multi-Cloud-Umgebungen und den S/4HANA-Umstieg meistern. Der 25. März gehört ausschließlich den Verbesserungsmöglichkeiten der SAP-Sicherheit. Zusätzlich gibt es vielfältige Interaktions- und Networking-Möglichkeiten.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

Klaus Wesp

Sichere SAP-Transformation in die Cloud manuell fast unmöglich

Die DSAG forderte von SAP bei den DSAG-Technologietagen 2021 „sichere Transformationspfade in die Cloud“. Von …