{"id":140081,"date":"2024-03-07T07:00:00","date_gmt":"2024-03-07T06:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=140081"},"modified":"2024-09-19T10:36:32","modified_gmt":"2024-09-19T08:36:32","slug":"cybersecurity-malwareschutz-auf-anwendungsebene-mit-sap-vsi","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/cybersecurity-malwareschutz-auf-anwendungsebene-mit-sap-vsi\/","title":{"rendered":"Cybersecurity \u2013 Malwareschutz auf Anwendungsebene mit SAP VSI"},"content":{"rendered":"\n

Die Zahl der Angriffe auf SAP-Anwendungen nimmt stetig zu. Zwar wird in den einschl\u00e4gigen Presse- und Social-Media-Artikeln zu Sicherheitsvorf\u00e4llen SAP nicht explizit genannt, wer aber zwischen den Zeilen lesen kann, dem wird rasch klar, dass die kompromittierte \u201eWarenwirtschaftsanwendung\u201c oder das angegriffene \u201eHR-System\u201c mit hoher Wahrscheinlichkeit eine SAP-Anwendung war. Dass die Frequenz und Erfolgsrate von Angriffen auf Enterprise-ERP-Anwendungen zunehmen w\u00fcrden, war zu erwarten. Schlie\u00dflich stellen diese die \u201eDaten-Kronjuwelen\u201c zahlreicher Unternehmen dar und die zu erwartende \u201eBeute\u201c rechtfertigt aus Sicht der Angreifer die Investition in den Aufbau von SAP-Spezial-Wissen. Daher ist es auch nicht verwunderlich, dass \u201eSAP-Cybersecurity\u201c als Disziplin, die sich von der klassischen SoD-, Rollen- und GRC-fokussierten \u201eSAP-Security\u201c bewusst abhebt, mittlerweile einen festen Platz in den Programmen aller relevanten SAP-Veranstaltungen und Publikationen hat.<\/p>\n\n\n\n

SAP-Cybersecurity ist dabei ein komplexes Thema mit zahlreichen Bausteinen, die Schnittstellen mit der klassischen Infrastruktur-Security (OS, Netzwerk), aber auch der bereits genannten Sicherheit der Business-Logik und GRC-Aspekten besitzen. Eine dieser Facetten ist der Schutz vor Schadsoftware und anderen gef\u00e4hrlichen Inhalten in Dateien, die als Anh\u00e4nge in SAP-Anwendungen verarbeitet werden. Im Folgenden sollen f\u00fcnf Gr\u00fcnde beleuchtet werden, warum dieser Schutz unabdingbar ist, wenn Ihre Anwendung Dateien und Attachments verarbeitet:<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n\n\n\n

Grund Nr. 1: SAP empfiehlt die Nutzung von VSI<\/h2>\n\n\n\n\n\n\n\n

Im \u201eSecurity-Guide for S\/4 HANA\u201c gibt es seit dessen erster Ver\u00f6ffentlichung 2016 ein ganzes Kapitel, das sich dem Thema \u201eVirus Scanning\u201c widmet. Darin hei\u00dft es ausdr\u00fccklich, dass der Einsatz eines VSI 2.x-f\u00e4higen Virenscanners empfohlen wird. SAP S\/4 HANA-Code ruft den Scanner \u00fcber ein dediziertes Interface (VSI, das SAP Virus Scanning Interface) an verschiedenen Stellen in der Verarbeitung auf, z. B. beim Upload, beim Download oder beim Durchgang durch das Gateway. <\/p>\n\n\n\n

Zwar bezeichnet SAP das besagte Interface nach wie vor als \u201eVirus Scan Interface\u201c, in der aktuellen Version 2.1 der Schnittstelle ist diese aber zu einer umfassenden \u201eContent Scanning\u201c-Schnittstelle erweitert worden. So empfiehlt SAP im Security -Guide drei Scan-Arten:<\/p>\n\n\n\n

    \n
  1. Signatur-basierte Malware-Erkennung: <\/strong>F\u00fcr die Erkennung von Malware, die nicht zur Ausf\u00fchrung gebracht wird, ist Signatur-basierte Erkennung nach wie vor die bevorzugte Technik, mit hohen Erkennungsraten bei gleichzeitig sehr hoher Performance. <\/li>\n\n\n\n
  2. MIME-Type-Erkennun<\/strong>g: Gemeint ist hier die Filterung von Datei-Transfers auf Basis des Inhaltes der \u00fcbertragenen Dateien, und nicht \u2013 wie im SAP-Standard \u00fcblich \u2013 ausschlie\u00dflich auf Basis der Endung des Datei-Namens.<\/li>\n\n\n\n
  3. Erkennung und Blocken aktiver Inhalte<\/strong>: Aktive Inhalte sind solche Inhalte, die in Dateien eingebettet sind und beim Anzeigen oder bei der Verarbeitung der Dateien ausgef\u00fchrt werden. Hierzu z\u00e4hlen zum Beispiel Makros in Office-Dokumenten, aber auch JavaScript in PDF-, XML- und Bild-Dateien, Scripts, MS Silverlight, XSLT, OLE, DDE usw.<\/li>\n<\/ol>\n\n\n\n\n\n\n\n

    Grund Nr. 2: Pr\u00fcfungsrelevante Warnungen im Security Audit Log<\/h2>\n\n\n\n\n\n\n\n

    Dateitransfers in SAP-Anwendungen sind in der Vergangenheit oft ohne Wissen der Sicherheitsverantwortlichen implementiert worden. Aktuelle ABAP-Kernel (ab Release 757) erzeugen daher Warnungen (SAL Event FU9) im Security Audit Log, wenn Dateien transferiert wurden, die aufgrund fehlenden oder nicht aktiviertem VSI-Virenschutz nicht gescannt wurden. Solche Warnungen werden bei einer Pr\u00fcfung in der Regel als Business-Risiko gewertet und eine Mitigation muss nachgewiesen werden.<\/p>\n\n\n

    \n
    \"\"\n\t\t\t\n\t\t\t\t\n\t\t\t<\/svg>\n\t\t<\/button>
    Seit Kernel 757 werden Warnungen im Security Audit Log erzeugt, wenn Dateien ungescannt in oder aus der Anwendung \u00fcbertragen werden.<\/em><\/figcaption><\/figure>\n<\/div>\n\n\n

    Grund Nr. 3: Red-Team- oder Penetration-Test-Findings<\/h2>\n\n\n\n\n\n\n\n

    Es geh\u00f6rt zum Standard-Vorgehen bei Penetrationstests herauszufinden, ob \u00fcber File-Upload-Funktionalit\u00e4ten Malware in die Anwendung hochgeladen werden kann. Pen-Tester oder Red-Teamer verwenden hierzu in der Regel das EICAR Test-File. Diese Datei ist zwar keine echte Malware, wird aber von jedem Virenscanner geblockt. Kann das EICAR Test-File in die Anwendung geladen werden, stellt dies eine sogenannte \u201eUnrestricted File Upload\u201c-Schwachstelle (MITRE CWE-434) dar. Diese Sicherheitsl\u00fccke steigt seit 2019 Jahr f\u00fcr Jahr im MITRE Ranking der gef\u00e4hrlichsten Schwachstellen und stieg 2023 in die Top 10 dieses Rankings auf.<\/p>\n\n\n\n

    Zur Pr\u00fcfung, ob zudem die Dateityp-filter der Anwendung einfach umgangen werden k\u00f6nnen, laden Pen-Tester au\u00dferdem Dateien mit \u201efalschen\u201c Dateiendungen in die Anwendung (\u201enotepad.pdf\u201c). Wenn dies gelingt, attestieren Penetration Tester ein Schwachstellen-Finding des Typs CWE-636. Die Kategorie \u201eInsecure Design\u201c, der diese Schwachstelle angeh\u00f6rt, findet sich in den Top-10-Schwachstellen des Open Web Application Security Project (OWASP).<\/p>\n\n\n\n

    Grund Nr. 4: Server-Level Anti-Malware sch\u00fctzt SAP nicht<\/h2>\n\n\n\n\n\n\n\n

    Es ist ein weitverbreitetes Missverst\u00e4ndnis, dass eine Server-Security-L\u00f6sung, die auf OS-Ebene auf einem SAP-Server in-stalliert ist, auch die Dateitransfers in der SAP-Anwendung sch\u00fctzt. Zun\u00e4chst einmal empfiehlt SAP, aus Performance-Gr\u00fcnden alle Verzeichnisse der SAP-Instanz und der Datenbank vom Echtzeitscan durch den Virenscanner auf OS-Ebene auszunehmen (siehe SAP-Hinweis 106267). <\/p>\n\n\n\n

    Aber selbst wenn dieser Hinweis ignoriert wird, bleiben Datei-Transfers auf Anwendungsebene f\u00fcr den Virenscanner ohne VSI-Anbindung unsichtbar. Dies liegt darin begr\u00fcndet, dass Virenscanner Dateien immer dann scannen, wenn sie in oder aus dem Dateisystem geschrieben oder gelesen werden. Im Kontext einer SAP-Anwendung findet ein solcher Dateisystem-Zugriff aber nicht statt. \u00dcblicherweise nimmt ein Frontend-Applikationsserver \u2013 oder bei FIORI Anwendungen das Gateway \u2013 den Dateitransfer an und h\u00e4lt die Datei im Speicher, um sie anschlie\u00dfend an einen Backend-Server weiterzuleiten (in der Regel \u00fcber SAP RFC). Dieser schreibt die Datei auch nicht ins Dateisystem, sondern legt sie in der Datenbank oder einem DMS, z. B. dem SAP Content Server, ab. An keiner Stelle entlang dieser Verarbeitungskette findet ein Dateisystem-Zugriff statt. Die Datei wird bis in die innerste Datenablage der SAP-Anwendung transferiert, ohne jemals gescannt worden zu sein.<\/p>\n\n\n\n

    Auch Versuche, den Bedrohungsvektor Dateiupload auf Netzwerk-Ebene zu adressieren, liefern bestenfalls partielle Ergebnisse. Zwar ist es mittlerweile m\u00f6glich, Uploads \u00fcber HTTP\/HTTPS in einer NextGen Firewall oder einem Reverse Proxy auf Malware zu scannen, allerdings scheitern diese L\u00f6sungen in der Regel bereits an Transfers aus FIORI Apps, weil hier die Datei als BASE64-enkodierter String im OData-Kanal \u00fcber HTTP\/S \u00fcbertragen wird. Diese Schachtelung wird von NextGen Firewalls und Reverse Proxies nicht aufgel\u00f6st. Die im OData enthaltene Datei wird auch nicht gescannt. Der Versuch, Transfers \u00fcber SAP-propriet\u00e4re Protokolle wie DIAG (von der SAP-GUI verwendet) oder SAP-RFC zu scannen, scheitert daran, dass diese Protokolle nicht dekodiert werden k\u00f6nnen, insbesondere bei der Verwendung von SNC zur Verschl\u00fcsselung der Verbindung. <\/p>\n\n\n\n

    Grund Nr. 5: Compliance und Haftung<\/h2>\n\n\n\n\n\n\n\n

    F\u00fcr nahezu jede Organisation gelten Compliance Frameworks, die explizit die Implementierung eines aktuellen Schutzes vor Malware fordern, der dem Stand der Technik entspricht. Allen voran und topaktuell nat\u00fcrlich NIS2, aber auch ISO 27002:2022 \u2013 Control 8.7, PCI DSS, HIPAA und der Cloud Computing Catalogue des BSI.<\/p>\n\n\n\n

    SAP hat das Virus Scan Interface im Jahr 2005 auf NetWeaver04 eingef\u00fchrt und seither in fast alle Anwendungen implementiert, einschlie\u00dflich HANA XS\/XSA, Business Objects usw. Faktisch entspricht die Nutzung von VSI also dem Stand der Technik.<\/p>\n\n\n\n

    Daraus resultiert, dass Unternehmen, die keinen Malware-Schutz \u00fcber SAP VSI implementieren, dann haftbar gemacht werden k\u00f6nnen, wenn Unternehmensfremde Nutzer der Anwendung infolgedessen einen Schaden erleiden, weil sie beispielsweise eine Datei aus der SAP-Anwendung herunterladen, die mit einer Malware oder gar Ransomware infiziert ist.<\/p>\n\n\n\n

    Fazit<\/h2>\n\n\n\n\n\n\n\n

    Von Datei-Transfers oder Attachments in SAP-Anwendungen geht ein erhebliches Gef\u00e4hrdungspotenzial aus. Dies betrifft sowohl die Sicherheit und Integrit\u00e4t der Anwendung selbst als auch die der Benutzer. Dateien beim Upload und Download auf Malware und andere gef\u00e4hrliche Inhalte zu pr\u00fcfen, muss daher integraler Bestandteil der SAP-Cybersecurity-Strategie sein. Malwareschutz-L\u00f6sungen auf Betriebssystem- und Netzwerkebene sind nicht in der Lage, Dateitransfers in SAP-Anwendungen abzusichern. <\/p>\n\n\n\n

    Aus diesem Grund stellt SAP in allen g\u00e4ngigen Produkten ein Virus Scan Interface (VSI) bereit, mit dem Datei-Transfers auf Applikationsebene gescannt werden k\u00f6nnen und sollen.<\/p>\n\n\n\n\n\n\n\n

    <\/div>\n\n\n\n

    Ein Advertorial von:<\/p>\n\n\n\n

    \"\"<\/a><\/figure>\n","protected":false},"excerpt":{"rendered":"

    Uploads oder Attachments stellen im SAP-Kontext eine besondere Bedrohung f\u00fcr Anwendung und Anwender dar, die mit Standard-Security-Tools nicht adressiert werden kann, sondern zur Mitigation die Verwendung einer besonderen SAP-Kernel-API erfordert.<\/p>\n","protected":false},"author":1510,"featured_media":140089,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[44017,43842],"tags":[20346,43874],"coauthors":[22523],"class_list":["post-140081","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-extra-2403","category-mag-24-03","tag-cybersecurity","tag-vsi","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/03\/2403-26-Extra-shutterstock_2159332889-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

    Uploads oder Attachments stellen im SAP-Kontext eine besondere Bedrohung f\u00fcr Anwendung und Anwender dar, die mit Standard-Security-Tools nicht adressiert werden kann, sondern zur Mitigation die Verwendung einer besonderen SAP-Kernel-API erfordert.<\/p>\n","category_list_v2":"Extra 2403<\/a>, MAG 24-03<\/a>","author_info_v2":{"name":"J\u00f6rg Schneider-Simon, Bowbridge Software","url":"https:\/\/e3mag.com\/de\/author\/joerg-schneider\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/140081","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/1510"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=140081"}],"version-history":[{"count":18,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/140081\/revisions"}],"predecessor-version":[{"id":140149,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/140081\/revisions\/140149"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/140089"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=140081"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=140081"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=140081"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=140081"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}