IT-Security – Hackern auf der Spur

Hacking hat ja bei vielen Menschen noch etwas Ehrfurchtgebietendes. Man hat einen technisch extrem versierten Nerd vor Augen, der in einem dunklen Keller sitzt, umringt von vielen Monitoren, auf denen etliche Kommandozeilenfenster geöffnet sind.

Und in der Praxis? Dort sieht es so aus, dass zum Eindringen von außen in Systeme natürlich großes technisches Know-how erforderlich ist, ebenso zum „Hacking“ von SAP-Systemen. Allerdings ist das meiste davon kein Insiderwissen, es ist frei im Internet verfügbar.

Nehmen Sie sich ein paar Minuten Zeit und googeln Sie mal nach „SAP Hacking“ oder „SAP password cracking“. Sie werden überrascht sein über die Ergebnisse und wissen nach ein paar Minuten, wie zum Beispiel Kennwörter geknackt werden können und welche Software Sie dafür als Freeware runterladen können.

Die Möglichkeiten zum Hacken eines SAP-Systems sind vielfältig, ebenso wie die möglichen damit verfolgten Ziele. Dies kann Datendiebstahl sein, monetäre Manipulation oder die negative Beeinflussung von Geschäftsprozessen.

Um sicherheitskritische Vorgänge in SAP-Systemen und konkrete Angriffe in Echtzeit zu überwachen, hat SAP das Enterprise Threat Detection (ETD) entwickelt. Die Software ist optimiert für die Überwachung von SAP-Produkten einschließlich der Hana-Datenbank.

Aber auch Fremdprodukte können angeschlossen werden. Das SAP ETD ist als SIEM-Software (Security Information and Event Management) konzipiert, kann aber auch für ein Continuous Monitoring im Rahmen des administrativen Tagesgeschäftes genutzt werden oder zur Weiterleitung der Alerts an eine weitere SIEM-Software.

Das grundsätzliche Prinzip des SAP ETD besteht darin, Protokolle von den verschiedenen Systemen zu sammeln, nach vordefinierten Kriterien automatisiert zu analysieren und Alarmmeldungen bei Feststellungen auszugeben.

Die Protokolle werden vom Originär-System in Echtzeit an das SAP ETD übertragen, wodurch eventuelle Manipulationen an den Protokollen (z. B. deren Löschung) sich nicht mehr auf die Nachvollziehbarkeit auswirken.

Zur Auswertung wird bereits eine Vielzahl von Standard-Analysen, sogenannte Pattern, ausgeliefert. Diese werden automatisch vom SAP ETD analysiert, wenn neue Protokolle übertragen werden.

Hierbei werden nicht nur einzelne Protokolleinträge ausgewertet, sondern komplexe Suchmuster, die auch über mehrere Protokolle und Systeme hinweg ausgewertet werden können.

Zum Beispiel kann überwacht werden, ob ein neuer Benutzer angelegt wird und von derselben Workstation aus eine Anmeldung mit ihm erfolgt oder ob per Debugging Daten manipuliert wurden. Bei einem Treffer kann ein Alarm erzeugt und eine Meldung an die Verantwortlichen ausgelöst werden.

Hierdurch erhöht sich die Systemsicherheit um ein Vielfaches. Zwar haben die meisten Unternehmen strikte Sicherheitskonzepte, aber eine Echtzeit-Überwachung findet kaum statt.

Kritische Vorgänge wie das Auslesen von Kennwort-Hashes oder der Einsatz von Entwicklerrechten in Produktivsystemen werden erst im Rahmen nachgelagerter Prüfungen identifiziert (wenn überhaupt).

Durch die steigende Anzahl von Angriffen auf IT-Systeme ist der Einsatz von SIEM-Software fast schon obligatorisch. Bisher standen hier insbesondere Betriebssysteme und Firewalls im Fokus.

Da aber die wirklich unternehmenskritischen Daten in den ERP-Systemen gespeichert und verarbeitet werden, müssen diese in die Überwachung integriert werden.

Beim Einsatz von SAP ERP/S/4 Hana stellt das SAP ETD eine sehr effiziente Möglichkeit dafür dar. Durch die im SAP ETD enthaltenen Standard-Pattern kann das System mit überschaubarem Aufwand produktiv gesetzt werden.

Für viele Firmen wird die Möglichkeit des SAP ETD als Managed Service von Interesse sein, da in dem Fall das System nicht selbst betrieben werden muss.