Pavel Ignatov - Fotolia

Wie Sie sich gegen SAP-ERP-Schwachstellen schützen

Eine kürzlich veröffentliche Studie zeigt: rund 95 Prozent aller SAP-ERP-Systeme haben Sicherheitslücken. Lesen Sie, wie Sie diese Lücken vermeiden.

Enterprise-Resource-Planning (ERP) -Systeme sind das Rückgrat vieler Unternehmen und eine entscheidende Komponente für die erfolgreiche Führung eines Betriebs. Allerdings sind viele ERP-Systeme sehr komplex. Sie haben in jeder Organisation vielfältige Bezüge zu Fachabteilungen und sie werden von unterschiedlichen Anwendergruppen im gesamten Unternehmen genutzt.

In vielen Betrieben verrichten ERP-Systeme zudem schon seit Jahrzehnten ihre Dienste, und haben in der Folge – wie man in der Informatik sagt – technische Schulden (Technical Debt) angesammelt: Technische Schulden sind die möglichen Konsequenzen schlechter technischer Umsetzung und Programmierung von Software. Das alles macht die Sicherheit von ERP-Systemen schwierig und kostspielig.

All diese Gründe tragen wesentlich zur Liste der SAP-Sicherheitsschwachstellen bei, die der SAP Security Spezialist Onapsis in einem Report identifiziert hat. Die Ergebnisse des Reports sollten aber weder Unternehmen davon abhalten, ERP-Systeme zu verwenden, noch Informationssicherheitsteams in Angst und Schrecken versetzen, wenn es um Sicherheit von SAP-Systemen geht. Wenn man einer Reihe von Best Practices folgt, können ERP-Systeme sowohl nützlich als auch sicher sein.

SAP-Schwachstellen

In ihrem Bericht fanden die Onapsis-Forscher bei über 95 Prozent der SAP-Systemen Schwachstellen, die zu einer Gefährdung von Unternehmensdaten und -prozessen führen können. Dazu wurden Hunderte von SAP-Systemen sicherheitstechnisch bewertet.

Wie es scheint, schreiben die Experten, agieren die Sicherheitsteams für Unternehmensinformationen und die SAP-Operations-Teams getrennt. Die entdeckten SAP-Schwachstellen stützen diese Behauptung, da die Sicherheitslücken grundlegende Fragen der Informationssicherheit betreffen. Diese Fragen wurden wahrscheinlich in anderen Teilen des Informationssicherheitsprogramms eines Unternehmens thematisiert.

Laut Onapsis sind dies die drei häufigsten Angriffspunkte auf SAP-Systeme, die die ERP-Sicherheit bedrohen:

  • ein nur geringfügig abgesichertes Kunden-Webportal;
  • verseuchte Konten, die in Kunden- oder Lieferantenportalen verwendet werden; und
  • Schwachstellen in den zugrunde liegenden Datenbank-Protokollen.

Alle drei Schwachpunkte tragen zu den technischen Schulden bei der Sicherung eines SAP-Systems bei.

Im ersten Fall kann beispielsweise ein niedrigerer Sicherheitsstandard bei der Konfiguration eines Kundenwebportals dazu führen, dass die Kunden sich von überall verbinden und Bestellungen aufgeben können. Damit kann aber das Kundenwebportal als Teil eines Angriffsszenarios verwendet werden, bei dem der Angreifer zunächst das niederstufige Sicherheitssystem infiltiert und dann das andere, kritische System und schließlich das gesamte SAP-System attackiert.

Im zweiten Fall können Kunden- und Lieferantenportale infiltriert werden. Backdoor-Nutzer könnten in die SAP-Portale und andere Plattformen eindringen und schließlich auf das interne Netzwerk zugreifen.

Im dritten Fall kann ein Angreifer eine unsichere Konfiguration von Datenbankprotokollen ausnutzen, die es ihm erlaubt, Befehle auf Betriebssystemebene auszuführen. An diesem Punkt hat der Angreifer uneingeschränkten Zugriff auf das Betriebssystem und kann möglicherweise alle gespeicherten Informationen in der Datenbank modifizieren oder zerstören.

Beachten Sie, dass dies alles übliche Angriffsmethoden sind, die einem Informationssicherheitsprofi nicht fremd sein sollten.

Best Practices für SAP- und ERP-Sicherheit

Während Unternehmen alle Systeme in ein Informationssicherheitsprogramm integrieren sollten, sollten die spezifischen Ressourcen für die Sicherung eines bestimmten Assets auf den Wert dieses Systems, den es für die Organisation hat, abgestimmt sein. Diese Vermögenswerte sollten über eine Business Impact Analyse (BIA) festgelegt werden.

Obwohl Unternehmen vielleicht zögern, irgendwelche Änderungen an Produktivsystemen vorzunehmen, ist es wichtig, dass alle Systeme über grundlegende Sicherheitsvorkehrungen verfügen. Nur so lassen sich sicherheitsrelevante Zwischenfälle verhindern. Diese grundlegenden Schritte sind notwendig, um Sicherheitsvorfälle zu verhindern, zu mildern, abzuwehren und zu monitoren. SAP selbst bietet einen Sicherheitsleitfaden an – einschließlich Schwachstellen-Management, Patch-Management und rollenbasierter Zugriffskontrolle.

Schwachstellen-Management kann in einem SAP-System durch das periodische Scannen von Anwendungen, Webseiten, Datenbanken und relevanten, zugehörigen Servern implementiert werden. Anschließend übergibt man die Daten einem Patch-Management-Programm. Die rollenbasierte Zugriffskontrolle ist wichtig für die Anwendungssicherheit, sollte aber auch für andere Aspekte des Systems angewendet werden. Auf diese Weise kann eine saubere Trennung der Aufgaben aufrecht erhalten und die Gefahr von krimineller Verwendung eingeschränkt werden.

Angesichts der kritischen Natur der SAP-Systeme gilt eine Hauptsorge der Ausfallzeit. Wenn ein SAP-System aus geschäftlichen Gründen nicht „down“ sein darf, sollte es Pläne geben, wie Patches oder sonstige Sicherheitsänderungen ohne Unterbrechung der Systemoperationen eingespielt werden können. Dazu kann man beispielsweise ein Hochverfügbarkeitssystem wie ein Backup-System installieren. Dieses übernimmt automatisch den Betrieb, wenn das primäre System gepatcht wird oder anderweitige Änderungen vorgenommen werden.

Zusätzliche Security-Tools einsetzen

Eine weitere Überlegung, die man im Auge behalten sollte ist, dass zusätzliche Sicherheitstechnologien wie zum Beispiel ein Intrusion Detection System (IDS) oder Monitoring-Tools vorhanden sein sollten. Diese können speziell darauf abgestimmt werden, ein SAP-System zu überwachen.

Mehr zum Thema SAP Security:

Onapsis Research Labs: Mehr kritische Schwachstellen in SAP-Umgebungen.

Security-Tutorial für SAP: In zehn Schritten zu mehr SAP-Sicherheit.

SAP Mobile Secure: Vier Komponenten für die mobile Sicherheit.

SAP-Sicherheitsplattform: Onapsis Security Platform (OSP) vorgestellt.

Darüber hinaus ist das Überwachen der SAP-Anwendungsprotokolle notwendig, um kompromittierte Konten oder andere böswillige Aktivitäten auf Anwendungsebene zu identifizieren. Mit dem Konzept der geringsten Rechte (least privilege) – das auch den Netzwerkzugang einschränkt – wird es für einen Angreifer schwierig, eine ausnutzbare Schwachstelle zu finden, um einen vollständigen Zugriff zu erlangen oder andere angreifbare Systeme zu identifizieren.

Auch hier sollten Unternehmen sicherstellen, dass alle Systeme Teil ihres Informationssicherheitsprogramms sind – SAP-Systeme sollten dabei nicht außen vor bleiben. In der Vergangenheit hat der Ausschluss von SAP-Systemen zu schwerwiegenden Sicherheitslücken geführt, die auch heute noch in SAP-Systemen vorhanden sind.

Einige dieser Schwachstellen sind der Informationssicherheits-Community seit Jahrzehnten bekannt. Deshalb kann die Anwendung der Verfahren und Fixes, die außerhalb von SAP-Systemen längst üblich sind, auch die SAP-Sicherheit deutlich verbessern und verhindern, dass weitere schwere Vorfälle kritische Geschäftsvorgänge infizieren.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+ und Facebook!  

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Business-Software

ComputerWeekly.de

Close