{"id":128752,"date":"2023-07-04T08:00:00","date_gmt":"2023-07-04T06:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=128752"},"modified":"2024-01-19T11:46:00","modified_gmt":"2024-01-19T10:46:00","slug":"unsicherheit-in-der-sap-landschaft","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/unsicherheit-in-der-sap-landschaft\/","title":{"rendered":"(Un-)Sicherheit in der SAP-Landschaft"},"content":{"rendered":"\n

Die Antwort findet sich in der SAP-Landschaft oder vielmehr in den Q- und Dev-Systemen, Solution-Managern und Legacy-Systemen sowie den Clients der Anwender, die die Pr\u00fcfer nicht im Blick hatten. Unvollst\u00e4ndige oder Fehlkonfigurationen innerhalb der SAP-Landschaft k\u00f6nnen letztlich zur Kompromittierung von als sicher eingestuften Systemen f\u00fchren.<\/p>\n\n\n\n

Zwei beispielhafte Szenarien veranschaulichen typische \u201eSeitenangriffe\u201c auf scheinbar hochsichere und produktive Systeme. \u00dcber diese kann ein Angreifer umfassenden Zugriff erhalten, ohne eine Schwachstelle oder Fehlkonfiguration im Zielsystem zu nutzen.<\/p>

\"\"<\/a><\/div><\/div>\n\n\n\n

Angriffe \u00fcber den Arbeitsplatz<\/h3>\n\n\n\n

Das erste Szenario beschreibt den Weg \u00fcber den PC eines Anwenders in das produktive und hochsichere SAP-System: Egal, ob Phishing, Ransomware, APT-Kampagnen oder die n\u00e4chste Welle an Schadprogrammen wie WannaCry, in Unternehmen passiert es leider immer wieder, dass Client-PCs trotz aller Schutzma\u00dfnahmen wie Antivirus-Programmen oder Firewall gekapert und ferngesteuert werden.<\/p>\n\n\n\n

Haben Angreifer erst mal die Kontrolle \u00fcber einen Client, wird der Zugriff schnell auf weitere Clients ausgedehnt (lateral movement). Dabei ist es nur eine Frage der Zeit, wann ein Angreifer den Client eines SAP-Basis- oder Benutzer-Admins kontrolliert. Denn \u00fcber Angriffe auf Windows-Systeme und auf den User ist es wesentlich einfacher, Zugriff zu bekommen, als direkt das SAP-System anzugreifen.<\/p>\n\n\n\n

Zudem nutzen viele Unternehmen Single-Sign-on (SSO) zur Authentifizierung, um Passw\u00f6rter zu eliminieren. Solange keine 2-Faktor-Authentifizierung im Einsatz ist, eignet sich SSO f\u00fcr Angreifer sehr gut als T\u00fcr\u00f6ffner in das SAP-System \u2013 und das ganz ohne ein einziges Passwort! Denn solange sich der Angreifer im Kontext des SAP-Admins auf dessen PC bewegt, wickelt der SSO-Mechanismus im Hintergrund die Authentifizierung ab, und der Angreifer kann direkt und ohne weitere M\u00fchen im Kontext des Admin-Users auf das SAP-System zugreifen. F\u00fcr den Zugriff gen\u00fcgen dem Angreifer schon ein paar Powershell-Skripte und eine RFC-Verbindung zum SAP-System.<\/p>\n\n\n\n

2-Faktor-Authentifizierung<\/h3>\n\n\n\n

Um sich gegen solche Angriffe wirksam zu sch\u00fctzen, ist unbedingt eine 2-Faktor Authentifizierung notwendig. Im zweiten Szenario spielen die RFC-Destinationen zwischen den SAP-Systemen eine entscheidende Rolle. Wann immer neue Features oder Releases zu testen sind, ist ein Sandbox-System nicht weit. Gerne wird hier das komplette Produktivsystem kopiert, um einen realit\u00e4tsnahen Test zu erm\u00f6glichen. <\/p>\n\n\n\n

Die Entwickler oder Tester erhalten im Sandbox-System erh\u00f6hte Rechte, um Probleme schnell zu identifizieren und zu l\u00f6sen. Doch dieses Sandbox-System kann schnell zum Sturz des als hochsicher bewerteten Produktivsystems f\u00fchren. Dies kann passieren, sobald sich ein Remote-Funktionsbaustein zum Passwort-Reset und eine RFC-Destination zu einem produktiven System ausw\u00e4hlen lassen. Daraufhin erh\u00e4lt ein ausgew\u00e4hlter Ziel-User ein neues Passwort \u2013 und der Angreifer kann ungehindert auf das produktive System zugreifen. Derartige Angriffe lassen sich unterbinden, indem man konsequent keine privilegierten Verbindungen von \u201eniedrigen\u201c zu \u201eh\u00f6herklassigen\u201c Systemen zul\u00e4sst. Zudem m\u00fcssen alle kritischen RFC-Destinationen nach der Systemkopie aus der Sandbox entfernt werden.<\/p>\n\n\n\n

Auch sehr sichere Systeme mit wenig Aufwand lassen sich kompromittieren. Zur Einsch\u00e4tzung der Systemsicherheit muss die gesamte SAP-Landschaft gepr\u00fcft werden. Lediglich die produktiven Systeme oder nur die ERP-Linie zu checken, f\u00fchrt zu einer l\u00fcckenhaften Bewertung. Wichtig ist eine Pr\u00fcfsoftware, die diese ganzheitliche Arbeit leistet. Nur wer den \u00dcberblick \u00fcber seine SAP-Landschaft besitzt, kann effektiv Seitenangriffe auf kritische Systeme identifizieren und unterbinden!<\/p>\n\n\n\n

werth-it.de<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die gute Nachricht: Die produktiven SAP-Systeme haben alle Checks der Wirtschaftspr\u00fcfer \u00fcberstanden und die Penetrationstester zur Verzweiflung getrieben. Und dann: Ein Angreifer hat das hochsichere System gekapert.<\/p>\n","protected":false},"author":5062,"featured_media":2451,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"0","footnotes":""},"categories":[21,43065],"tags":[15055,31057,1790,43067,236,41787],"coauthors":[43294],"class_list":["post-128752","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-mag-23-06","tag-cyberattacken","tag-cybercrime","tag-it-security","tag-mag-23-06","tag-sap","tag-security-experte","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Die gute Nachricht: Die produktiven SAP-Systeme haben alle Checks der Wirtschaftspr\u00fcfer \u00fcberstanden und die Penetrationstester zur Verzweiflung getrieben. Und dann: Ein Angreifer hat das hochsichere System gekapert.<\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Mag 23-06<\/a>","author_info_v2":{"name":"Thomas Werth, Werth IT","url":"https:\/\/e3mag.com\/de\/author\/thomas-werth\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/128752","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/5062"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=128752"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/128752\/revisions"}],"predecessor-version":[{"id":131009,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/128752\/revisions\/131009"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/2451"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=128752"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=128752"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=128752"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=128752"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}