Information und Bildungsarbeit von und für die SAP-Community

SAP-Security: Vulnerability Scan

Um das Gefährdungspotenzial von SAP-Landschaften einschätzen zu können und mögliche Angriffspunkte zu identifizieren, gibt es zahlreiche Maßnahmen, bei denen es eine Herausforderung darstellt, den Überblick zu behalten.
Axel Giese, Pathlock Deutschland
21. November 2023
Inhalt:
avatar

Das Angebot reicht von Vulnerability Scans über Audits bis hin zu Penetrationstests. Welcher Ansatz jedoch wofür der richtige ist, hängt von individuellen Ergebnis-Anforderungen ab.

Bei der Durchführung von Vulnerability Scans, auch Vulnerability Assessments genannt, werden SAP-Systeme automatisiert oder teilautomatisiert nach bekannten Schwachstellen durchsucht und die Ergebnisse in einem tabellarischen Bericht aufgelistet. Im einfachsten Fall kann dies eine Auflistung der sicherheitsrelevanten Parameter eines SAP-Application-Servers sein, ohne diese einer Bewertung zu unterziehen. Es findet hier also keine Überprüfung statt, ob die Schwachstellen ausgenutzt werden können, wie es etwa bei einem Penetrationstest der Fall wäre.

Darüber hinaus kann es sich bei einigen der identifizierten Schwachstellen um sogenannte „False Positives“ handeln, die zwar gelistet sind, aber im aktuellen Systemkontext keine Gefahr darstellen oder systemtechnisch begründet sind. Auch wenn hier nicht auf aktive Bedrohungen geprüft wird, sind regelmäßige Vulnerability Scans dennoch notwendig, um die Informationssicherheit generell zu gewährleisten, und sie sollten in periodischen Abständen wiederholt werden. Ein Vulnerability Scan erkennt neben fehlerhafter Parametrisierung von SAP-Application-Servern auch Probleme wie fehlende Patches und veraltete Protokolle, Zertifikate und Dienste.

Security- und Compliance-Audit

Ein Security- und Compliance-Audit ist eine umfassende und formelle Überprüfung der Sicherheit von Systemen und -sicherheitsrelevanten Prozessen eines Unternehmens. Ein SAP-Audit stellt somit eine vollständige und gründliche Prüfung nicht nur physischer Attribute wie der Sicherheit der Betriebsplattform, des Application-Servers sowie der Netzwerkarchitektur, sondern auch die Sichtung und den Check vorhandener Sicherheitskonzepte, beispielsweise zu Themen wie SAP-Berechtigungen oder dem Umgang mit Notfallusern.

Methodisch beinhaltet das Audit die Durchführung eines Schwachstellen-scans. Darüber hinaus erfolgen eine Bewertung der Ergebnisse im Kontext der jeweiligen Systemumgebung und eine Bereinigung um „False Positives“. Die daraus resultierenden Handlungsempfehlungen zur weiteren Absicherung der SAP-Systeme sind wesentlich detaillierter und tiefgreifender, als dies im Bericht eines Schwachstellenscans möglich ist, und die Aussagekraft eines Security- und Compliance-Audits hinsichtlich der Absicherung von SAP-Systemen geht somit deutlich über diesen hinaus, da die Ergebnisse zusätzlich einer Bewertung unterzogen, im Kontext der Systemumgebung des jeweiligen Unternehmens betrachtet und in einem ausführlichen Bericht zusammengefasst werden. Zwingend zu empfehlen ist die Durchführung von Audits als Erstvorbereitung und nach Abschluss von Härtungsmaßnahmen sowie im Rahmen einer System- oder Plattformmigration.

Penetrationstest

Ein Penetrationstest, kurz Pentest genannt, versucht, im Unterschied zu Vulnerability Scans und Audits, Schwachstellen aktiv auszunutzen. Dem automatisierten Schwachstellenscan steht hier ein Vorgehen gegenüber, das sowohl fundiertes Fachwissen als auch Werkzeuge aus verschiedenen Bereichen erfordert. Ein Penetrationstest bedarf einer umfassenden Planung hinsichtlich des zu erreichenden Ergebnisses, der anzuwendenden Methode und der zu verwendenden Werkzeuge. Das zentrale Ziel eines Pentests ist es, unsichere Geschäftsprozesse, fehlerhafte Sicherheitseinstellungen oder andere Schwachstellen zu identifizieren, die ein Angreifer ausnutzen könnte. So können beispielsweise die Übertragung unverschlüsselter Passwörter, die Wiederverwendung von Standardpasswörtern und vergessene Datenbanken, in denen gültige Benutzeranmeldeinformationen gespeichert sind, aufgedeckt werden. Pentests müssen nicht so häufig durchgeführt werden wie Vulnerability Scans, es ist aber ratsam, sie in regelmäßigen Abständen zu wiederholen.

Penetrationstests sollten sinnvollerweise auch von einem externen Anbieter und nicht von internen Mitarbeitenden durchgeführt werden. So gewährleisten sie eine objektive Sichtweise und vermeiden Interessenkonflikte. Externe sollte über umfassende und tiefgreifende Erfahrungen im Bereich der Informationstechnologie verfügen, vorzugsweise im Geschäftsbereich des Unternehmens. Die Fähigkeit, abstrakte Denkmuster anzuwenden und das Verhalten von Bedrohungsakteuren zu antizipieren, ist neben dem Fokus auf Vollständigkeit und dem Verständnis, wie und warum die Umgebung eines Unternehmens kompromittiert werden könnte, wichtig für die Durchführung dieser Leistung.

Schwachstellen identifizieren

Im Sinne einer ganzheitlichen Absicherung resultiert aus den drei Methodiken in unterschiedlichen Intervallen der bestmögliche Schutz vor Schwachstellen. Jeder Testansatz, vom Vulnerability Scan bis zu gezielten Penetrationstests, ist für eine umfassende Sicherheitsstrategie von entscheidender Bedeutung. Die Komplexität von SAP-Anwendungen erschwert jedoch die konsequente Einhaltung bewährter Sicherheitsverfahren – die schiere Menge der generierten Logs ist zu groß, um manuell gescannt zu werden. Sinnvoll ist daher, auf die Unterstützung externer Spezialisten wie Pathlock zu setzen. Diese bieten neben Security Consulting, bei dem Compliance-Experten mit dem nötigen Know-how selbst für Pentests Schwachstellen identifizieren, gleich eine Reihe von automatisierten Scanning- und Threat-Detection-Lösungen.

Pathlock Partner-Eintrag
avatar
Axel Giese, Pathlock Deutschland


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb. Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Mit Ausstellung, Fachvorträgen und viel Gesprächsbedarf erwarten wir wieder zahlreiche Bestandskunden, Partner und Experten in Salzburg. Das E3-Magazin ladet zum Lernen und Ideenaustausch am 5. und 6. Juni 2024 nach Salzburg ein.

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Tickets

Early-Bird-Ticket - Erhältlich bis 29.03.2024
EUR 440 exkl. USt
Regular Ticket
EUR 590 exkl. USt

Jetzt Early-Bird-Ticket sichern!

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.