Automatisiertes Security-Monitoring für kritische ERP-Daten

Threat Insider – Wer ist das eigentlich?

Threat Insider können zum einen aktuelle, aber auch ehemalige Mitarbeiter sein, deren Accounts noch aktiv sind oder aber deren Accounts aus verschiedenen Gründen nicht komplett deaktiviert wurden. Zum einen kann es sein, dass ehemalige Mitarbeiter auch nach dem Ausscheiden aus dem Unternehmen als freiberufliche Berater tätig sind und dementsprechend der Account nur im Zugriff beschnitten wurde, oder aber, dass der Account noch von einem anderen Mitarbeiter vorübergehend genutzt wird. Weitere Threat Insider können aber auch Mitarbeiter von Dienstleistern sein, die einen temporären und begrenzten Zugriff auf die Systeme erhalten.

Berechtigungskonzept als Schwachstelle

Berechtigungskonzepte wie in SAP vorgesehen, sind ein kritisches Einfallstor für Threat Insider mit bösartigen Absichten. Sie könnten beispielsweise mit den Berechtigungen „Debuggen mit Wertänderung“ und „Tabellen pflegen“ Passwörter von anderen Nutzern verändern und somit Zugriffsrechte entziehen oder aber gewähren. Eine weitere Möglichkeit, sich einfach und schnell Zugriff auf kritische Daten zu verschaffen, besteht, wenn die Standardzugangsdaten nach einer SAP-Installation nicht geändert wurden, denn diese sind relativ einfach im Internet zu finden. Das BSI empfiehlt an dieser Stelle im IT-Grundschutzkatalog: „Können die Berechtigungen des Revisionsbenutzers nicht auf den lesenden Zugriff beschränkt werden, so darf der Zugriff nur im Vier-Augen-Prinzip erfolgen.“

Schwachstelle Datenexport

Hat sich der Threat Insider erst einmal Zugriff auf die Daten in SAP verschafft, kann er diese mit den SAP-Bordmitteln sehr einfach exportieren. Dafür braucht er die Rolle eines „vollen Nutzers“, denn diese Rolle berechtigt nicht nur die Speicherung von Änderungen in SAP, sondern auch die Exportgenehmigung der Daten. Es gibt kein Berechtigungsobjekt für Exporte, daher lässt sich der „volle Nutzer“-Zugriff auch nicht einschränken, jedenfalls nicht ohne Anpassungen am SAP-System selbst. Mit dem SAP-Export lassen sich einfach und schnell Excel-Tabellen befüllen, Berichte in SAP erstellen und Datenauswertungen fahren.

Weitere Schwachstellen sind unsicherer Code, fehlende Sicherheits-Patches, unkontrollierte Remote-Zugriffe (RFC, SOAP) oder aber aktive SAP-Standard Nutzer.

Lösungsansatz SIEM-Monitoring

Die Integration von zusätzlichen Sicherheitssystemen in SAP ist aufgrund der verschiedenen Schnittstellen, die implementiert werden müssen, kein einfaches Unterfangen, aus diesem Grund macht es Sinn auf Out-of-the-Box-Lösungen zusetzen. Diese Lösungen sollten sowohl die IT-Sicherheit der Systeme als auch die firmeninternen und -externen Richtlinien, zum Beispiel die EU-DSGVO, erhöhen und verbessern.

„Die Erkenntnisse aus den Analysen fließen kontinuierlich in den Prozess zur Verbesserung und Härtung der IT-Systeme ein. Dadurch erhöht sich auf Dauer die Sicherheit des gesamten IT-Systems und nicht nur der SAP-Umgebung.“

Pascal Cronauer, Logpoint

SIEM-Lösungen (Security Information and Event Management) zum Monitoring von Aktivitäten in SAP-Systemen durch die Analyse von Log-Daten eignen sich gut, da sie neben einer vollständigen Erkennung von Anomalien und kritischen Änderungen von Berechtigungen auch Korrelationen bezüglich sonstiger Sicherheitsverstöße erkennen. Zudem sind sie leicht zu verwalten und erlauben granulare Anpassung an unterschiedliche Risiko-Szenarien. Diese Eigenschaften machen die Software besonders für Auditoren interessant.

Management-Reports

Neben klassischen Informationen aus der Netzwerkebene und Sicherheitslösungen wie Firewalls und Virenscanner werden auch Log-Daten aus Datenbanken und Identity-Management-Systemen analysiert. SAP-Systeme sind für SIEM lediglich eine weitere Informationsquelle, in der durch Cross-Device- und Cross Event-Korrelation eine präzise Auswertung durchgeführt werden kann, um Threat-Insider-Angriffe und fehlerhafte Konfigurationen umgehend zu erkennen. Die Management-Reports, die mit der Lösung automatisch generiert werden, werden auf Basis der allgemein anerkannten Audit-Richtlinien sowie der SAP-Sicherheitsempfehlungen erstellt.

Die Erkenntnisse aus den Analysen fließen kontinuierlich in den Prozess zur Verbesserung und Härtung der IT-Systeme ein. Dadurch erhöht sich auf Dauer die Sicherheit des gesamten IT-Systems und nicht nur der SAP-Umgebung. Durch den Out-of-the-Box-Ansatz können moderne SIEM-Lösungen sofort Ergebnisse liefern und lässt sich leicht auf interne Richtlinien und Anforderungen anpassen.

Fazit

SAP-Systeme sind für Threat Insider anfällig. Zwar gibt es natürlich auch SAP-interne Möglichkeiten, beispielsweise Berechtigungen zu überprüfen oder aber mit dem SAP Audit System im Nachhinein eine Revision durchzuführen, um Auditoren und Forensiker bei ihrer Arbeit zu unterstützen. Doch ist der Schaden dann bereits entstanden und die Bordmittel reichen lediglich dafür aus, den Vorfall aufzuklären, nicht aber zu verhindern. Aus diesem Grund müssen bereits zuvor Sicherheitsmonitoring-Systeme zur Analyse von Log-Daten implementiert werden, um Warnmeldungen in Echtzeit zu generieren, um den Threat Insider auf frischer Tat zu ertappen.

Neben entsprechenden fortschrittlichen SIEM-Lösungen gibt es weitere organisatorische Maßnahmen, die die Verantwortlichen umsetzen können, um Threat-Insidern das Leben schwerer zu machen. Hierzu empfiehlt das BSI in seinem IT-Grundschutzkatalog die zumindest stichprobenartige Überprüfung der Berechtigungen für wichtige Benutzergruppen vorsehen. Das SAP-System an sich sollte fortwährend auf Updates überprüft und diese auch regelmäßig eingespielt werden. Letztlich aber kann nur ein Echtzeit-Monitoring wirklich Schutz vor Threat Insidern bieten, denn nur dann können die bösen Jungs gestoppt und der unentdeckte Informationsabfluss von sensiblen Unternehmensinformationen aufgehalten werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!