Information und Bildungsarbeit von und für die SAP-Community

Der Weg zur SAP-Cyber-Resilienz

Das, was IT-Organisationen an Sicherheitsvorkehrungen getroffen haben, reicht hinten und vorne nicht aus. Die bisherigen Maßnahmen führen einfach nicht zu ausreichender Resilienz
Christoph Nagy, SecurityBridge
28. März 2023
it security Header
avatar

Es fehlt an ausreichender Resilienz

Allzu oft haben erfolgreiche Cyberangriffe auf IT-Infrastruktur und SAP-Anwendungen in jüngster Vergangenheit gezeigt, es fehlt an ausreichender Resilienz. Verstärkt überprüfen deshalb derzeit IT-Organisationen ihre eingefahrenen Prozesse auf Effektivität sowie unter wirtschaftlichen Gesichtspunkten.

Das Problem dabei: Die Bedrohungslandschaft wandelt sich ständig. Kriminelle entwickeln immer neue Methoden der Ausnutzung oder entdecken bisher unbekannte Schwachstellen. Möglich wird dies, weil sich die Einstellungen des SAP-Systems selbst permanent verändern. Um SAP-Cyber-Resilienz zu etablieren, muss man also Verfahren entwickeln, die jede Änderung der Bedrohungs- und Sicherheitslage erfassen, deren Sicherheitsauswirkungen analysieren und sofortige Upgrades ermöglichen. 

Im SAP-Bereich werden gelegentliche Überprüfungen im Rahmen von IT-Sicherheitsaudits gern zum Anlass genommen, die Härtung der SAP-Systeme anzupassen und die grundlegende Sicherheitsarchitektur zu hinterfragen. Eine einmalige Bewertung wird allerdings kaum zur nachhaltigen Problembewältigung beitragen. Spätestens bei der nächsten Prüfung stellt man fest: Neue Schwachstellen oder Probleme sind aufgetaucht.

Nötig ist deshalb ein aktives Management der Sicherheitsmaßnahmen für SAP-Anwendungen.
Zu diesem Zweck müssen die IT-Landschaft und Konfiguration der SAP-Systeme regelmäßig validiert und die Benutzerverwaltung sowie Berechtigungszuweisungen bewertet werden. Dabei festgestellte Abweichungen von der festgelegten Sicherheits-Baseline können dann sofort in adäquate Reaktion umgesetzt werden. Der erste Schritt zur SAP-Cyber-Resilienz ist getan.

Ein Security und Compliance Management einer SAP-Sicherheitsplattform unterstützt bei der Definition von Sicherheitsrichtlinien für alle relevanten SAP-Systemparameter, kritischen Berechtigungen und Zugriffskontrolllisten (ACL). Gleichzeitig überprüft es, ob die Konfiguration dem Standard entspricht.

Ein wesentlicher Baustein fehlt jedoch noch – wer ein effektives Sicherheitsüberwachungsprogramm zur Erkennung von Cyberangriffen einführen will, muss alle in der SAP-Anwendung durchgeführten Transaktionen verfolgen. Ein Beispiel aus der Praxis veranschaulicht, warum regelmäßige Kontrollen und Echtzeitüberwachung so wichtig sind: Der Angreifer nutzt eine ungepatchte Sicherheitslücke im SAP-Transportmanagementsystem (STMS), um ein Konto, auf das er Zugriff hat, in den God-Mode zu versetzen (zum Beispiel SAP_ALL). Sobald der bösartige Transport importiert wird und die Anmeldeinformationen aktiv sind, erhält er Zugriff und öffnet die Änderbarkeit des Systems. Nun erzeugt der Angreifer Persistenz, indem er einige Systemparameter ändert, die dynamisch eingestellt werden können, und dies, ohne entsprechende Protokolleinträge zu hinterlassen!

Wären die angegriffenen Systeme immun gegen SAP-Cyberattacken gewesen, hätte ein solcher Angriff in dieser Form nicht stattfinden können. Denn dann wäre die Sicherheitslücke in SAP STMS, die im Oktober 2021 behoben wurde, bereits gepatcht worden. Selbst wenn der Angreifer die Schwachstelle hätte ausnutzen können, hätte die Security-Plattform die unberechtigte Vergabe von Administrationsrechten als Anomalie im Echtzeit-Monitoring erkannt und, falls aktiviert, per automatischer Regel entfernt. 

Sollte es den Kriminellen jedoch gelungen sein, das System zu infiltrieren und sogar relevante Sicherheitsprotokolle zu deaktivieren, könnte es schwierig werden. Sie könnten eine „Backdoor“ installiert haben, um Persistenz zu erreichen, also eine Möglichkeit geschaffen haben, zu einem späteren Zeitpunkt zurückzukehren. Selbst wenn es einem Angreifer aber gelungen ist, eine Schwachstelle zu finden und zu beseitigen, steigt durch regelmäßige Schwachstellenanalyse die Wahrscheinlichkeit, dass die Sicherheitseinstellungen und die benutzerdefinierte Codebasis getestet werden. SAP-Cyber-Resilienz schützt damit auch vor Backdoor-Attacken.

avatar
Christoph Nagy, SecurityBridge

Christoph Nagy ist Geschäftsführer bei SecurityBridge


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.