Information und Bildungsarbeit von und für die SAP-Community
Advertorial, MAG 24-03

Cybersecurity – Malwareschutz auf Anwendungsebene mit SAP VSI

Uploads oder Attachments stellen im SAP-Kontext eine besondere Bedrohung für Anwendung und Anwender dar, die mit Standard-Security-Tools nicht adressiert werden kann, sondern zur Mitigation die Verwendung einer besonderen SAP-Kernel-API erfordert.
Jörg Schneider-Simon, Bowbridge Software
7. März 2024
Inhalt:
avatar

Die Zahl der Angriffe auf SAP-Anwendungen nimmt stetig zu. Zwar wird in den einschlägigen Presse- und Social-Media-Artikeln zu Sicherheitsvorfällen SAP nicht explizit genannt, wer aber zwischen den Zeilen lesen kann, dem wird rasch klar, dass die kompromittierte „Warenwirtschaftsanwendung“ oder das angegriffene „HR-System“ mit hoher Wahrscheinlichkeit eine SAP-Anwendung war. Dass die Frequenz und Erfolgsrate von Angriffen auf Enterprise-ERP-Anwendungen zunehmen würden, war zu erwarten. Schließlich stellen diese die „Daten-Kronjuwelen“ zahlreicher Unternehmen dar und die zu erwartende „Beute“ rechtfertigt aus Sicht der Angreifer die Investition in den Aufbau von SAP-Spezial-Wissen. Daher ist es auch nicht verwunderlich, dass „SAP-Cybersecurity“ als Disziplin, die sich von der klassischen SoD-, Rollen- und GRC-fokussierten „SAP-Security“ bewusst abhebt, mittlerweile einen festen Platz in den Programmen aller relevanten SAP-Veranstaltungen und Publikationen hat.

SAP-Cybersecurity ist dabei ein komplexes Thema mit zahlreichen Bausteinen, die Schnittstellen mit der klassischen Infrastruktur-Security (OS, Netzwerk), aber auch der bereits genannten Sicherheit der Business-Logik und GRC-Aspekten besitzen. Eine dieser Facetten ist der Schutz vor Schadsoftware und anderen gefährlichen Inhalten in Dateien, die als Anhänge in SAP-Anwendungen verarbeitet werden. Im Folgenden sollen fünf Gründe beleuchtet werden, warum dieser Schutz unabdingbar ist, wenn Ihre Anwendung Dateien und Attachments verarbeitet:

Grund Nr. 1: SAP empfiehlt die Nutzung von VSI

Im „Security-Guide for S/4 HANA“ gibt es seit dessen erster Veröffentlichung 2016 ein ganzes Kapitel, das sich dem Thema „Virus Scanning“ widmet. Darin heißt es ausdrücklich, dass der Einsatz eines VSI 2.x-fähigen Virenscanners empfohlen wird. SAP S/4 HANA-Code ruft den Scanner über ein dediziertes Interface (VSI, das SAP Virus Scanning Interface) an verschiedenen Stellen in der Verarbeitung auf, z. B. beim Upload, beim Download oder beim Durchgang durch das Gateway. 

Zwar bezeichnet SAP das besagte Interface nach wie vor als „Virus Scan Interface“, in der aktuellen Version 2.1 der Schnittstelle ist diese aber zu einer umfassenden „Content Scanning“-Schnittstelle erweitert worden. So empfiehlt SAP im Security -Guide drei Scan-Arten:

  1. Signatur-basierte Malware-Erkennung: Für die Erkennung von Malware, die nicht zur Ausführung gebracht wird, ist Signatur-basierte Erkennung nach wie vor die bevorzugte Technik, mit hohen Erkennungsraten bei gleichzeitig sehr hoher Performance.
  2. MIME-Type-Erkennung: Gemeint ist hier die Filterung von Datei-Transfers auf Basis des Inhaltes der übertragenen Dateien, und nicht – wie im SAP-Standard üblich – ausschließlich auf Basis der Endung des Datei-Namens.
  3. Erkennung und Blocken aktiver Inhalte: Aktive Inhalte sind solche Inhalte, die in Dateien eingebettet sind und beim Anzeigen oder bei der Verarbeitung der Dateien ausgeführt werden. Hierzu zählen zum Beispiel Makros in Office-Dokumenten, aber auch JavaScript in PDF-, XML- und Bild-Dateien, Scripts, MS Silverlight, XSLT, OLE, DDE usw.

Grund Nr. 2: Prüfungsrelevante Warnungen im Security Audit Log

Dateitransfers in SAP-Anwendungen sind in der Vergangenheit oft ohne Wissen der Sicherheitsverantwortlichen implementiert worden. Aktuelle ABAP-Kernel (ab Release 757) erzeugen daher Warnungen (SAL Event FU9) im Security Audit Log, wenn Dateien transferiert wurden, die aufgrund fehlenden oder nicht aktiviertem VSI-Virenschutz nicht gescannt wurden. Solche Warnungen werden bei einer Prüfung in der Regel als Business-Risiko gewertet und eine Mitigation muss nachgewiesen werden.

Seit Kernel 757 werden Warnungen im Security Audit Log erzeugt, wenn Dateien ungescannt in oder aus der Anwendung übertragen werden.

Grund Nr. 3: Red-Team- oder Penetration-Test-Findings

Es gehört zum Standard-Vorgehen bei Penetrationstests herauszufinden, ob über File-Upload-Funktionalitäten Malware in die Anwendung hochgeladen werden kann. Pen-Tester oder Red-Teamer verwenden hierzu in der Regel das EICAR Test-File. Diese Datei ist zwar keine echte Malware, wird aber von jedem Virenscanner geblockt. Kann das EICAR Test-File in die Anwendung geladen werden, stellt dies eine sogenannte „Unrestricted File Upload“-Schwachstelle (MITRE CWE-434) dar. Diese Sicherheitslücke steigt seit 2019 Jahr für Jahr im MITRE Ranking der gefährlichsten Schwachstellen und stieg 2023 in die Top 10 dieses Rankings auf.

Zur Prüfung, ob zudem die Dateityp-filter der Anwendung einfach umgangen werden können, laden Pen-Tester außerdem Dateien mit „falschen“ Dateiendungen in die Anwendung („notepad.pdf“). Wenn dies gelingt, attestieren Penetration Tester ein Schwachstellen-Finding des Typs CWE-636. Die Kategorie „Insecure Design“, der diese Schwachstelle angehört, findet sich in den Top-10-Schwachstellen des Open Web Application Security Project (OWASP).

Grund Nr. 4: Server-Level Anti-Malware schützt SAP nicht

Es ist ein weitverbreitetes Missverständnis, dass eine Server-Security-Lösung, die auf OS-Ebene auf einem SAP-Server in-stalliert ist, auch die Dateitransfers in der SAP-Anwendung schützt. Zunächst einmal empfiehlt SAP, aus Performance-Gründen alle Verzeichnisse der SAP-Instanz und der Datenbank vom Echtzeitscan durch den Virenscanner auf OS-Ebene auszunehmen (siehe SAP-Hinweis 106267). 

Aber selbst wenn dieser Hinweis ignoriert wird, bleiben Datei-Transfers auf Anwendungsebene für den Virenscanner ohne VSI-Anbindung unsichtbar. Dies liegt darin begründet, dass Virenscanner Dateien immer dann scannen, wenn sie in oder aus dem Dateisystem geschrieben oder gelesen werden. Im Kontext einer SAP-Anwendung findet ein solcher Dateisystem-Zugriff aber nicht statt. Üblicherweise nimmt ein Frontend-Applikationsserver – oder bei FIORI Anwendungen das Gateway – den Dateitransfer an und hält die Datei im Speicher, um sie anschließend an einen Backend-Server weiterzuleiten (in der Regel über SAP RFC). Dieser schreibt die Datei auch nicht ins Dateisystem, sondern legt sie in der Datenbank oder einem DMS, z. B. dem SAP Content Server, ab. An keiner Stelle entlang dieser Verarbeitungskette findet ein Dateisystem-Zugriff statt. Die Datei wird bis in die innerste Datenablage der SAP-Anwendung transferiert, ohne jemals gescannt worden zu sein.

Auch Versuche, den Bedrohungsvektor Dateiupload auf Netzwerk-Ebene zu adressieren, liefern bestenfalls partielle Ergebnisse. Zwar ist es mittlerweile möglich, Uploads über HTTP/HTTPS in einer NextGen Firewall oder einem Reverse Proxy auf Malware zu scannen, allerdings scheitern diese Lösungen in der Regel bereits an Transfers aus FIORI Apps, weil hier die Datei als BASE64-enkodierter String im OData-Kanal über HTTP/S übertragen wird. Diese Schachtelung wird von NextGen Firewalls und Reverse Proxies nicht aufgelöst. Die im OData enthaltene Datei wird auch nicht gescannt. Der Versuch, Transfers über SAP-proprietäre Protokolle wie DIAG (von der SAP-GUI verwendet) oder SAP-RFC zu scannen, scheitert daran, dass diese Protokolle nicht dekodiert werden können, insbesondere bei der Verwendung von SNC zur Verschlüsselung der Verbindung. 

Grund Nr. 5: Compliance und Haftung

Für nahezu jede Organisation gelten Compliance Frameworks, die explizit die Implementierung eines aktuellen Schutzes vor Malware fordern, der dem Stand der Technik entspricht. Allen voran und topaktuell natürlich NIS2, aber auch ISO 27002:2022 – Control 8.7, PCI DSS, HIPAA und der Cloud Computing Catalogue des BSI.

SAP hat das Virus Scan Interface im Jahr 2005 auf NetWeaver04 eingeführt und seither in fast alle Anwendungen implementiert, einschließlich HANA XS/XSA, Business Objects usw. Faktisch entspricht die Nutzung von VSI also dem Stand der Technik.

Daraus resultiert, dass Unternehmen, die keinen Malware-Schutz über SAP VSI implementieren, dann haftbar gemacht werden können, wenn Unternehmensfremde Nutzer der Anwendung infolgedessen einen Schaden erleiden, weil sie beispielsweise eine Datei aus der SAP-Anwendung herunterladen, die mit einer Malware oder gar Ransomware infiziert ist.

Fazit

Von Datei-Transfers oder Attachments in SAP-Anwendungen geht ein erhebliches Gefährdungspotenzial aus. Dies betrifft sowohl die Sicherheit und Integrität der Anwendung selbst als auch die der Benutzer. Dateien beim Upload und Download auf Malware und andere gefährliche Inhalte zu prüfen, muss daher integraler Bestandteil der SAP-Cybersecurity-Strategie sein. Malwareschutz-Lösungen auf Betriebssystem- und Netzwerkebene sind nicht in der Lage, Dateitransfers in SAP-Anwendungen abzusichern. 

Aus diesem Grund stellt SAP in allen gängigen Produkten ein Virus Scan Interface (VSI) bereit, mit dem Datei-Transfers auf Applikationsebene gescannt werden können und sollen.

Ein Advertorial von:

avatar
Jörg Schneider-Simon, Bowbridge Software

Jörg Schneider-Simon ist Chief Technical Officer von Bowbridge Software, einem Hersteller von Cybersecurity-Lösungen für SAP-Anwendungen.


Alle Artikel des Autors

Schreibe einen Kommentar

No-Name-Kolumne

Kernkompetenz: ERP-Software

Integrierte Cloud-MES und Analytics

Der neue SAP Boys Club

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.