Information und Bildungsarbeit von und für die SAP-Community
Business Management, MAG 16-12

Ethical Hacking in SAP

Die Digitalisierung macht kritische Infrastrukturen verwundbar. Ein Mittel, das Sicherheitsniveau zu prüfen, sind Sicherheitsanalysen durch sogenannte „Ethical Hacker“. Mit professioneller Hilfe werden Sicherheitslücken rechtzeitig identifiziert, bevor „reale“ Hacker echten Schaden anrichten.
Christian Bruns, BTC
25. November 2016
Inhalt:
Ethical hacker on blue
avatar

Die zeitweise Nichterreichbarkeit von Webseiten beliebter Online-Services wie Twitter, Spotify, Reddit oder Paypal im Oktober, der kürzlich bekannt gewordene Diebstahl von 500 Millionen Kundendatensätzen bei Yahoo 2014, die wiederholten Cyber-Attacken auf Webseiten des Bundeskanzleramts und Bundestags – Nachrichten zu Vorfällen, die auf die Anfälligkeit unserer durchdigitalisierten Welt hinweisen, gibt es gefühlt im Überschuss.

Mehr denn je sind daher Unternehmen aus Eigennutz, aber auch vom Gesetzgeber gefordert, die IT-, Kommunikations- und Steuerungstechnik-Infrastrukturen ihrer Organisation zu schützen.

Wie hoch die potenzielle Gefährdungslage mitunter ist, zeigte vor zwei Jahren ein Selbsttest der Ettlinger Stadtwerke.

Binnen zwei Tagen gelang es hier einem beauftragten IT-Experten, sich in das Netz der Stadtwerke zu „hacken“ und die Kontrolle über die Steuerungsleitwarte zu übernehmen.

„Ethical Hacking“, wie die Arbeitsweise des Experten in Ettlingen auch bezeichnet wird, gilt als bewährtes Mittel, sich ein Lagebild zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen in Sachen Sicherheit zu verschaffen.

In Sicherheitschecks von BTC helfen beispielsweise Fachexperten, die nach den Vorgaben des EC-Councils als „Ethical Hacker“ zertifiziert sind, das Gefährdungspotenzial von IT-Umgebungen zu bewerten.

Dazu werden das Vorgehen und die Technik krimineller Hacker simuliert, um in kritischen Bereichen Sicherheitslücken aufzuspüren, bevor diese tatsächlich durch böswillige Angriffe ausgenutzt werden.

SAP: Komplexität schafft Angriffsflächen

Die Auswertung der Ergebnisse der von BTC in den Unternehmen durchgeführten Sicherheitschecks zeigt dabei, dass es oft kleine technische und organisatorische Schwächen sind, die den Hackern das Leben – oder genauer die Arbeit – erleichtern.

Zu den häufig anzutreffenden Unzulänglichkeiten zählt beispielsweise, dass Rollen und Zuständigkeiten für Prozesse und Systeme unter Sicherheitsaspekten nicht sauber definiert sind und keine zentrale Verantwortung institutionalisiert ist.

So werden in SAP-Umgebungen unternehmenskritische Produktionssysteme häufig mit weniger kritischen Büro-Anwendungen in einem gemeinsamen Netzwerkabschnitt betrieben.Christian-Bruns-BTC-Technology

Ein Dauerthema sind Passwörter. Penetrationstests zeigen, dass gerade für SAP-Systeme im Zusammenhang mit Entwicklungsaufgaben oder Qualitätssicherungen nach wie vor zu einfache Passwörter gewählt werden und/oder Accounts nur mit voreingestellten Zugangsdaten (Credentials) verwendet werden.

Eine wiederkehrende Gefährdung bedeuten zudem die einmal vergebenen Berechtigungen und Gruppenkennungen, die bei Stellen- oder Aufgabenwechsel nicht gelöscht bzw. geändert werden.

Das kann zu der (gar nicht so) amüsanten Konsequenz führen, dass Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, die meisten Zugriffsrechte besitzen.

Die wachsende Komplexität, gerade in SAP-Infrastrukturen, erhöht die Anfälligkeit aufgrund nachlässiger Konfigurationen zusätzlich etwa durch nicht eingespielte Patches oder Updates für Betriebssysteme, WebServer, Datenbanken und/oder auch SAP-Software.

Welche Zählebigkeit selbst bekannte Fehler an dieser Stelle entwickeln, zeigt das Invoker Serlet. Eine Sicherheitslücke des Bestandteils vom Java-Server in SAP NetWeaver veranlasste im Mai dieses Jahres die US-CERT-Behörde (United States Computer Emergency Readiness Team), erstmalig eine offizielle Warnung bezüglich SAP-Software auszusprechen.

Wohlgemerkt handelt es sich hierbei um ein bereits seit sechs Jahren bekanntes Problem, das zu dem Zeitpunkt – obgleich längst ein Patch verfügbar ist – in den Infrastrukturen von mindestens 36 Organisationen weltweit noch anzutreffen war.

Mangelhafte Konfigurationen, unzureichend geschützte Netzstrukturen oder ein zu simples Account Management erleichtern die Hackerarbeit.

Bei den Ettlinger Stadtwerken war es z. B. ein offener Netz-Port im Gästehaus, den der Ethical Hacker nutzte.

Kombiniert mit ein wenig Social Engineering und der Analyse von Kommunikationsmustern im Netz genügte es, um letztendlich das Tor zur Leitwarte zu öffnen.

Damit es erst gar nicht so weit kommt, ist jedes Unternehmen gut beraten, in regelmäßigen Abständen manuelle und automatisierte Analysen und Tests mit Unterstützung von Ethical Hackern durchzuführen.

Auf diesem Weg lassen sich potenzielle Schwachstellen im Aufbau und in der Konfiguration der SAP-Landschaft in allen Architekturbereichen identifizieren und mit geeigneten technischen oder organisatorischen Mitteln Vorsorge treffen.

https://e3mag.com/partners/btc-business-technology-consulting-ag/

avatar
Christian Bruns, BTC

Christian Bruns ist Manager für Informationssicherheit bei BTC


Alle Artikel des Autors

Schreibe einen Kommentar

FUE: Abschätzung für neue Rise-with-SAP-Verträge

Sicherheit für die SAP-Landschaft

SAP-Kuckucksei

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.