Information und Bildungsarbeit von und für die SAP-Community
Business-Management, MAG 15-10

SAPotage – Angriffsziel: Produktion

SAP-Sicherheit ist auch in der Produktionssteuerung unerlässlich. Wer sich hier unberechtigt ein­schalten kann, dem stehen umfangreiche Möglichkeiten für Betrug, Spionage und Sabotage offen. Der Schutz einer SAP-gestützten Produktionsplanung beginnt schon auf dem Transaktions-Layer.
Gerhard Unger, Onapsis
4. Oktober 2015
Inhalt:
2015
avatar

Viele Verantwortliche denken bei IT-Sicherheit in der Produktion zunächst einmal an den Schutz von Steuerungsanlagen und wiegen sich in Sicherheit, wenn ihre SCADA-Systeme nicht an das Internet angeschlossen sind.

Spätestens, wenn diese Systeme an ein Intranet angeschlossen werden, ist es mit der vermeintlichen Sicherheit vorbei. Doch Produktion ist nicht nur die Steuerung eines Fließbandes.

Jeder Herstellungsprozess fußt auf der Veranlassung von Geschäftsprozessen durch Berechtigte. Dafür werden Produktionsdaten immer häufiger an den Steuerungsanlagen abgegriffen und an SAP-Systeme weitergeleitet.

Im Idealfall stellt ein mit Echtzeit-Daten bestücktes Dashboard allen Entscheidungsträgern die Informationen für die Steuerung von Geschäftsprozessen wie Materialbeschaffung und Produktionsplanung überall zur Verfügung.

So lenken die Verantwortlichen in den Abteilungen die Produktionslogistik, indem sie neues Material bestellen, die Auslagerung der Fertigung an Zulieferer veranlassen und die Rechnung stellen. Auch Qualitätskontrolle ist ein fester Bestandteil eines SAP-gesteuerten Herstellungsprozesses.

Risikoszenarien

Durch diese unmittelbare Verzahnung von Produktions- und Geschäftsprozessen steht Angreifern ein weites Feld für Angriffe auf ERP- oder SCM-Module und Applikationen offen.

Böswillige Anwender können sich zum Ersten zentrale Einblicke in das Produktions-Know-how und die Abläufe eines Unternehmens verschaffen. SAP-basierte Lösungen zur Produktionsplanung sowie ERP- und SCM-Module werden damit zum lohnenden Ziel für Industriespionage.

Zum Zweiten haben böswillige Anwender und unberechtigte Besitzer eines SAP-Nutzerkontos umfassende Möglichkeiten für betrügerische Aktivitäten.

Wer sich einmal über den Transaktionslayer – also auf der SAP-NetWeaver- oder Hana-Ebene – Zugriff auf eine SAP-Instanz verschafft hat, umgeht mit einfachen Verfahren klassische SAP-Sicherheitskonzepte auf Anwendungsebene wie etwa die Se­gregation of Duties.

Als Konsequenz sind auch Applikationen nicht geschützt. Eine SoD sieht zum Beispiel im Normalfall vor, dass ein Anwender einer Produktionsabteilung eine Materialbestellung tätigen kann, die Rechnungstellung aber nur durch das Controlling erfolgen darf.

Ein Anwender, der sich einen eigenen Account mit erweiterten Benutzungsrechten anlegt, einen privilegierten SAP-All-Account für seine Zwecke kapert oder sich einen neuen Account schafft, streift diese SoD-Einschränkungen ab.

Er tätigt eine Scheinbestellung, schreibt einem Strohmann eine fiktive Rechnung und veranlasst die Überweisung auf sein Konto. Kleine, regelmäßig fließende Geldbeträge fallen unter Umständen nicht auf, zumal die eigene Produktion unbeeinträchtigt weiterläuft.

Viele CISOs können sich über solche alltäglichen Sicherheitsrisiken aus Mangel an Ressourcen oft nicht mal einen Überblick verschaffen.

Zum Dritten gefährdet Sabotage von SAP-Landschaften die Produktion. Böswillige Anbieter werden nötige Materialbestellungen stoppen, vielleicht Produktionsdaten zum Beispiel zur Materialkalkulation manipulieren. Auf SAP-Transaktionsebene können sie durch ein Shut-Down das ganze SAP-System lahmlegen.

Ohne Produktionsplanung ist dann auch keine Produktion mehr möglich. In der Praxis mag dies seltener vorkommen. Ein funktionierendes SAP-System als Plattform für betrügerische Aktivitäten ist in der Regel lukrativer.

Vorgehensweisen

Die zunehmende Anbindung produktionsrelevanter Geschäftsprozesse über SAP-basierte Lösungen an das Internet und die Einbindung externer Partner verschärfen die Risikolage.

Die mobile Übermittlung von Daten oder auch die Anbindung von Zulieferern etwa über die Cloud und die Steuerungssysteme erhöht die Angriffsfläche. Mobile Apps als Bestandteil der SAP-Mobile-Plattform können durch ungerechtfertigten Zugriff zu Einfallstoren auf SAP-ERP-Instanzen werden.

Hacker suchen gezielt nach immer neuen Zugangsmöglichkeiten. Ein klassisches Spear Phishing auf Produktionsverantwortliche, um mittels Keyloggern die Eingabe von Passwörtern zu protokollieren, bedroht natürlich auch den SAP-Anwender und ist nur der Anfang.

Böswillige externe Angreifer suchen über Suchmaschinen wie etwa Shodan nach den gesuchten SAP-Instanzen. Interne Mitarbeiter haben es natürlich noch viel einfacher, sich Zugang auf SAP-Systeme zu verschaffen.

Durch das Ausnutzen einer HTTP-Verb-Tampering-Schwachstelle können Hacker Backdoor-Anwender im SAP-J2EE-Benutzermanagement-Mo­dul anlegen. So erhalten sie Zugriff auf SAP-Portale und Prozessintegrations-Plattformen sowie die damit verbundenen internen Systeme.

Angriffe auf Datenbanken erfolgen über Schwachstellen proprietärer SAP-Protokolle: Mit gekaperten oder usurpierten Nutzerrechten werden auf dem SAP-Transaktions-Level Schwachstellen im SAP-RFC-Gateway ausgenutzt.

Der Hacker erhält Zugriff auf jede in der SAP-Datenbank gespeicherte Information und kann diese auslesen. Häufig gehen dabei externe Angreifer den Umweg über oft nicht produktive und damit häufig nicht ausreichend geschützte Umgebungen:

Zum Beispiel geraten Testumgebungen nach Einrichtung des entsprechenden Produktivsystems häufig in Vergessenheit – und damit auch die dafür geltenden technischen Accounts, die oft nur mit Default-Passworten ausgestattet sind.

Diese kann ein Hacker einfach als Sprungbrett für den Angriff auf Produktivsysteme nutzen. Mit solchen häufig beobachteten Angriffsmethoden lassen sich dann zahlreiche produktionsrelevante Informationen verändern und manipulieren.

So etwa die SAP-Tabellen LFA1 (Vendor Master Data), KNA1 (Customer Master Data), EKKO und EKPO oder auch AUFK für Bestellaufträge und KALC zur Berechnung der Quantität von Produktionsmaterialien.

Schutzebene Transaktionslayer

Der Schutz von SAP-gestützten Produktionsprozessen beginnt schon bei den Grundlagen einer jeden SAP-Landschaft – auf dem Transaktionslayer. Segregation of Duties, GRC-Maßnahmen und spezielle Sicherheitsanwendungen auf Anwendungsebene sowie die im großen Umfang geleistete Hilfestellung des Software-Herstellers SAP sind wichtige Hilfsmittel, um mehr Sicherheit zu schaffen.

Aber sie können nicht allein stehen. Sie eliminieren nicht die Gefahren auf der Hana- oder NetWeaver-Ebene durch das Entstehen von Sicherheitslücken, nicht eingespielte Softwarepatches, eine unkontrollierte Kommunikation über Schnittstellen zur Überspielung falscher Daten oder ungeschützten Zugang zu Administrationsdiensten.

Ein umfassender Schutz des Transaktionslayers kann viele dieser Risiken effektiv beseitigen und bietet die Grundlage der Sicherheit von ERP- oder SCM-Modulen und Anwendungen.

Ein automatisiertes Assessment alle SAP-Instanzen – auch von Test- und Entwicklungsumgebungen – inventarisiert bestehende Sicherheitslücken und zeigt die möglichen Risiken auf.

Solche Meldungen berücksichtigen auch den Kontext der vom automatischen Assessment bereitgestellten Infrastruktur-Informationen. Dabei registrieren sie auch Systemänderungen, die eine Organisation eventuell verwundbar macht. So lässt sich feststellen, welche Aussicht auf Erfolg ein Angriff hat.

Entsprechende Analysen beschreiben detailliert die Wahrscheinlichkeit und Auswirkungen von Bedrohungen. Administratoren können mithilfe detaillierter Anweisungen die Lücken je nach Priorität schließen.

Überwachung und Nutzerverhalten

Fortschrittliche Lösungen überwachen kontinuierlich auch die Bedrohungslage und suchen nach Angriffsmustern zur Ausnutzung neuer Schwachstellen.

Sie melden tatsächlich durchgeführte neue Attacken auf bestehende Schwachstellen und analysieren entsprechende Angriffsmethoden in Echtzeit. Abwehrmechanismen werden automatisch angetriggert und können von den Verantwortlichen durchgeführt werden.

So verhindern IT-Abteilungen die Ausnutzung von Sicherheitslücken, auch wenn noch kein regelrechter Patch veröffentlicht und implementiert ist. Dieser Geschwindigkeitsgewinn ist entscheidend.

Denn in SAP-Landschaften vergehen aufgrund der Komplexität der Systeme vom Tag des Erstauftretens eines Angriffes bis zur tatsächlichen Implementierung eines einschlägigen Patches im Schnitt bis zu 18 Monate.

Wichtig für eine Abwehr von Missbrauch, Betrug und Spionage ist auch das Erkennen ungewöhnlichen Nutzerverhaltens, welches ein Indiz für böswillige Aktivitäten von Mitarbeitern sein kann.

Die Sicherheitsverantwortlichen erhalten die Möglichkeit, auf Bedrohungen so schnell wie möglich zu reagieren und können die benutzten Nutzungsrechte für die Änderung von Anwenderrechten oder für den Zugriff auf Produktionsdaten unmittelbar kassieren.

Eine erfolgreiche SAP-Security-Strategie ist mehrschichtig aufgebaut und basiert auf mehreren Werkzeugen, darunter Firewalls und SIEM-Lösungen.

Wichtig ist auch, dass diese Lösungen nicht als Insellösungen agieren, sondern über definierte Programmierschnittstellen (API) relevante Daten austauschen können.

Sichere Grundlagen schaffen

Nur wer den Transaktions-Layer schützt, kann wirksam auch seine Produktionsanwendungen und ERP-Module in SAP schützen. Denn einem Hacker, der sich einmal Zugang zu einem beliebigen Ausgangspunkt in der SAP-Systemlandschaft verschafft, dem stehen alle produktionsrelevanten SAP-Komponenten offen. Auch ERP- und SCM-Sicherheit braucht festen Boden unter den Füßen.

avatar
Gerhard Unger, Onapsis

Gerhard Unger ist Vice President Onapsis EMEA/APAC. Er verantwortet die strategische Ausrichtung sämtlicher Vertriebskanäle des Marktführers für SAP-Security-Lösungen im europäischen und asiatisch-pazifischen Wirtschaftsraum.


Alle Artikel des Autors

Schreibe einen Kommentar

Cybercrime, Workforce Transformation und KI

10 Jahre S/4: Rennwagen mit angezogener API-Handbremse

Die Evolution des CFO

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

FourSide Hotel Salzburg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzburg, Österreich
+43-66-24355460

Veranstaltungsdatum

Mittwoch, 10. Juni, und
Donnerstag, 11. Juni 2026

Early-Bird-Ticket

Reguläres Ticket

EUR 390 exkl. USt.
verfügbar bis 1.10.2025
EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 22. April und
Donnerstag, 23. April 2026

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Abonnenten des E3-Magazins
ermäßigt mit Promocode STAbo26
EUR 390 exkl. USt
Studierende*
ermäßigt mit Promocode STStud26.
Studiennachweis bitte per mail an office@b4bmedia.net senden.
EUR 290 exkl. USt
*Die ersten 10 Tickets sind für Studierende kostenfrei. Versuchen Sie Ihr Glück! 🍀
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2026, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.