Information und Bildungsarbeit von und für die SAP-Community
IT Management, MAG 17-04

Begrenzter Zugriff für Basisbetreuer

Wer seine SAP-Daten vor Missbrauch schützen will, muss auch die Zugriffsrechte für die SAP-Basisadministratoren beschränken. Sicherheitstests bei Kunden belegen gravierende Schwachstellen in diesem Bereich.
Thomas Kastner, Virtual Forge
19. April 2017
Inhalt:
Begrenzter Zugriff für Basisbetreuer
avatar

Mit DBACockpit und DB02 stehen den SAP-Basismitarbeitern zwei zentrale Transaktionen zur Verfügung, mit denen sie die SAP-Datenbanken überwachen, steuern, konfigurieren und verwalten können.

Zahlreiche Basisfunktionen lassen sich darüber ausführen, zum Beispiel die Überprüfung von Systemstatus und Betriebsarten, Tabellenerweiterungen oder die Indexpflege und -aktualisierung von Tabellen.

Zudem enthalten beide Transaktionen den SQL Command Editor, der über sogenannte Open-SQL-Befehle den unmittelbaren Zugriff auf funktionale Tabellen erlaubt.

Damit können Anwender auch an geschäftskritische Informationen gelangen, wie Personal- und Finanzbuchhaltungsdaten oder auch Passwort-Hashes.

Security Patches für SQL Command Editor dringend beachten

SAP hat für den SQL Command Editor zahlreiche Sicherheits-Patches ausgeliefert. Diese Sicherheits-Patches sind unbedingt zu beachten und einzuspielen.

Um den Zugriff auf die SAP-Daten zu regulieren, hat SAP zudem eine neue Berechtigung ausgeliefert (S_TABU_SQL). Damit können die Unternehmen festlegen, welche Mitarbeiter auf welche SAP-Daten zugreifen dürfen. Kastner

Zusätzlich wurde im SQL Command Editor eine Tracking-Funktion implementiert, mit der jedes – berechtigte oder unberechtigte – Kommando automatisch geloggt wird.

Werden diese Log-Daten zudem in ein SIEM-System (Security Information and Event Management), wie SAP Enterprise Threat Detection (ETD), übertragen und dort analysiert, erhalten Unternehmen Transparenz über alle erfolgten Zugriffe.

Möglichem Missbrauch kann damit zeitnah durch Monitoring und Alerting entgegengesteuert werden. Obwohl es auch aus Datenschutz- und Compliance-Gründen notwendig ist, den Zugriff für die Mitarbeiter aus der SAP-Basisadministration zu begrenzen, sieht die Realität oft anders aus.

So werden bei SAP-Sicherheitstests in Unternehmen aller Größen und Branchen immer wieder ungepatchte Schwachstellen in der SQL-Command-Editor-Funktion von DBACOCKPIT und DB02 identifiziert.

Die SAP-Basisbetreuer haben somit weitreichende Möglichkeiten, an sensible SAP-Daten heranzukommen.

Komplettübernahme vorstellbar

Um die möglichen Folgeschäden zu verdeutlichen, haben SAP-Penetration-Testing-Experten von Virtual Forge in einem ausgewählten Kundensystem zunächst die USR02-Tabelle ausgelesen, die die User-Passwörter enthält.

Nachdem es den Testern gelungen war, die verschlüsselten Passwörter mit einem Password-Cracker-Tool zu knacken, konnten sie sich problemlos am SAP-System anmelden und auf dieselben Funktionen zugreifen, für die die einzelnen Nutzer berechtigt waren.

Die Tests zeigten: Bösartige Angriffe hätten bis zur kompletten Kompromittierung eines SAP-Systems führen können.

Daher ist es für jedes SAP-Anwender­unternehmen zwingend geboten, regelmäßig die Security Notes insbesondere für den SQL Command Editor einzuspielen.

Darüber hinaus sollten mindestens einmal jährlich Upgrades vorgenommen und dabei die aktuellen Support Packages eingespielt werden, mit denen SAP die Kunden mit Fehlerbereinigungen und gesetzlich vorgeschriebenen Softwareanpassungen versorgt.

Externe Beratung empfehlenswert

Da es in den meisten Unternehmen jedoch keine ausgewiesenen SAP-Sicherheitsexperten gibt, bietet es sich an, für das regelmäßige Einspielen der Security Patches externe Dienstleister an Bord zu holen.

Unverzichtbar ist, dass der Beratungspartner das erforderliche Sicherheits- und SAP-Know-how mitbringt, vor allem Erfahrungen in der Umsetzung von Patches, Verständnis für unterschiedliche SAP-Releases und Upgrade-Verfahren sowie Kenntnisse im Bereich der Gefahrenerkennung („Threat Detection“) und Prävention.

Mit diesen Kompetenzen ausgestattet, kann der SAP-Sicherheitsanbieter den Kunden unterstützen, die Kritikalität der Security Patches zu bewerten. Zudem erhält der Kunde Beratung bei der Auswahl der erforderlichen Tests, um zu verhindern, dass es beim Einspielen der Patches zu Programm- und Anwendungsfehlern kommt.

Da die selektive Überprüfung aufwändige Regressionstests über das komplette SAP-System hinweg überflüssig macht, spart der Kunde dadurch jede Menge Zeit und Kosten.

Werkzeuge ergänzend einsetzen

Im Bereich der Prävention bietet sich auch der Einsatz spezieller Werkzeuge zur Erkennung und Korrektur von Fehlern in der kundenindividuellen SAP-Systemkonfiguration an.

Mit dem Virtual Forge SystemProfiler (alternativ: Damit) lassen sich alle Benutzer ermitteln, die umfangreiche Berechtigungen zur Ausführung des SQL Command Editor (DB02, DBACOCKPIT) und zugehöriger Tabellenberechtigungen (S_TABU_SQL) haben.

Hat ein Kunde seine SAP-Systeme an den SAP Solution Manager angeschlossen, lassen sich mit solchen Werkzeugen automatisch Sicherheitslücken und Schwachstellen identifizieren.

So kann beispielsweise auch für alle SAP-Systeme regelmäßig überprüft werden, ob alle erforderlichen Security Patches eingespielt wurden, die die Sicherheitslücken im SQL Command Editor vollständig beseitigen.

https://e3mag.com/partners/virtual-forge-gmbh/

avatar
Thomas Kastner, Virtual Forge

Thomas Kastner ist Managing Director und Besitzer von Virtual Forge


Alle Artikel des Autors

Schreibe einen Kommentar

Items entscheidet sich für Natuvion

Security: Wie sich SAP-Systeme effektiv schützen lassen

Precisely unterstützt Amazon RDS für Db2 Service

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.