{"id":4097,"date":"2016-11-25T00:13:14","date_gmt":"2016-11-24T23:13:14","guid":{"rendered":"http:\/\/e3mag.com\/?p=4097"},"modified":"2022-02-06T00:10:35","modified_gmt":"2022-02-05T23:10:35","slug":"ethical-hacking-in-sap","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/ethical-hacking-in-sap\/","title":{"rendered":"Ethical Hacking in SAP"},"content":{"rendered":"

Die zeitweise Nichterreichbarkeit von Webseiten beliebter Online-Services wie Twitter<\/span>, Spotify<\/span>, Reddit<\/span> oder Paypal<\/span> im Oktober, der k\u00fcrzlich bekannt gewordene Diebstahl von 500 Millionen Kundendatens\u00e4tzen bei Yahoo<\/span> 2014, die wiederholten Cyber-Attacken auf Webseiten des Bundeskanzleramts und Bundestags \u2013 Nachrichten zu Vorf\u00e4llen, die auf die Anf\u00e4lligkeit unserer durchdigitalisierten Welt hinweisen, gibt es gef\u00fchlt im \u00dcberschuss.<\/p>\n

Mehr denn je sind daher Unternehmen aus Eigennutz, aber auch vom Gesetzgeber gefordert, die IT<\/span>-, Kommunikations- und Steuerungstechnik-Infrastrukturen<\/span> ihrer Organisation zu sch\u00fctzen.<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n

Wie hoch die potenzielle Gef\u00e4hrdungslage mitunter ist, zeigte vor zwei Jahren ein Selbsttest der Ettlinger Stadtwerke<\/span>.<\/p>\n

Binnen zwei Tagen gelang es hier einem beauftragten IT<\/span>-Experten, sich in das Netz der Stadtwerke<\/span> zu \u201ehacken\u201c und die Kontrolle \u00fcber die Steuerungsleitwarte zu \u00fcbernehmen.<\/p>\n

\u201eEthical Hacking\u201c, wie die Arbeitsweise des Experten in Ettlingen auch bezeichnet wird, gilt als bew\u00e4hrtes Mittel, sich ein Lagebild zur Wirksamkeit der eigenen technischen und organisatorischen Ma\u00dfnahmen in Sachen Sicherheit zu verschaffen.<\/p>\n

In Sicherheitschecks von BTC helfen beispielsweise Fachexperten, die nach den Vorgaben des EC-Councils als \u201eEthical Hacker<\/span>\u201c zertifiziert sind, das Gef\u00e4hrdungspotenzial von IT<\/span>-Umgebungen zu bewerten.<\/p>\n

Dazu werden das Vorgehen und die Technik<\/span> krimineller Hacker<\/span> simuliert, um in kritischen Bereichen Sicherheitsl\u00fccken aufzusp\u00fcren, bevor diese tats\u00e4chlich durch b\u00f6swillige Angriffe ausgenutzt werden.<\/p>\n

SAP: Komplexit\u00e4t schafft Angriffsfl\u00e4chen<\/h2>\n

Die Auswertung der Ergebnisse der von BTC in den Unternehmen durchgef\u00fchrten Sicherheitschecks zeigt dabei, dass es oft kleine technische und organisatorische Schw\u00e4chen sind, die den Hackern<\/span> das Leben \u2013 oder genauer die Arbeit \u2013 erleichtern.<\/p>\n

Zu den h\u00e4ufig anzutreffenden Unzul\u00e4nglichkeiten z\u00e4hlt beispielsweise, dass Rollen und Zust\u00e4ndigkeiten f\u00fcr Prozesse und Systeme unter Sicherheitsaspekten nicht sauber definiert sind und keine zentrale Verantwortung institutionalisiert ist.<\/p>\n

So werden in SAP-Umgebungen unternehmenskritische Produktionssysteme h\u00e4ufig mit weniger kritischen B\u00fcro-Anwendungen in einem gemeinsamen Netzwerkabschnitt betrieben.\"Christian-Bruns-BTC-Technology\"<\/a><\/p>\n

Ein Dauerthema sind Passw\u00f6rter<\/span>. Penetrationstests zeigen, dass gerade f\u00fcr SAP-Systeme im Zusammenhang mit Entwicklungsaufgaben oder Qualit\u00e4tssicherungen nach wie vor zu einfache Passw\u00f6rter<\/span> gew\u00e4hlt werden und\/oder Accounts nur mit voreingestellten Zugangsdaten (Credentials) verwendet werden.<\/p>\n

Eine wiederkehrende Gef\u00e4hrdung bedeuten zudem die einmal vergebenen Berechtigungen und Gruppenkennungen, die bei Stellen- oder Aufgabenwechsel nicht gel\u00f6scht bzw. ge\u00e4ndert werden.<\/p>\n

Das kann zu der (gar nicht so) am\u00fcsanten Konsequenz f\u00fchren, dass Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, die meisten Zugriffsrechte<\/span> besitzen.<\/p>\n

Die wachsende Komplexit\u00e4t, gerade in SAP-Infrastrukturen<\/span>, erh\u00f6ht die Anf\u00e4lligkeit aufgrund nachl\u00e4ssiger Konfigurationen zus\u00e4tzlich etwa durch nicht eingespielte Patches oder Updates f\u00fcr Betriebssysteme<\/span>, Web<\/span>–Server<\/span>, Datenbanken und\/oder auch SAP-Software<\/span>.<\/p>\n

Welche Z\u00e4hlebigkeit selbst bekannte Fehler<\/span> an dieser Stelle entwickeln, zeigt das Invoker Serlet. Eine Sicherheitsl\u00fccke des Bestandteils vom Java-Server<\/span> in SAP NetWeaver veranlasste im Mai dieses Jahres die US-CERT<\/span>-Beh\u00f6rde (United States Computer Emergency Readiness Team), erstmalig eine offizielle Warnung bez\u00fcglich SAP-Software<\/span> auszusprechen.<\/p>\n

Wohlgemerkt handelt es sich hierbei um ein bereits seit sechs Jahren bekanntes Problem, das zu dem Zeitpunkt \u2013 obgleich l\u00e4ngst ein Patch verf\u00fcgbar ist \u2013 in den Infrastrukturen<\/span> von mindestens 36 Organisationen weltweit noch anzutreffen war.<\/p>\n

Mangelhafte Konfigurationen, unzureichend gesch\u00fctzte Netzstrukturen oder ein zu simples Account Management erleichtern die Hackerarbeit.<\/p>\n

Bei den Ettlinger Stadtwerken war es z. B. ein offener Netz-Port im G\u00e4stehaus, den der Ethical Hacker<\/span> nutzte.<\/p>\n

Kombiniert mit ein wenig Social Engineering und der Analyse von Kommunikationsmustern im Netz gen\u00fcgte es, um letztendlich das Tor zur Leitwarte zu \u00f6ffnen.<\/p>\n

Damit es erst gar nicht so weit kommt, ist jedes Unternehmen gut beraten, in regelm\u00e4\u00dfigen Abst\u00e4nden manuelle und automatisierte Analysen und Tests mit Unterst\u00fctzung von Ethical Hackern<\/span> durchzuf\u00fchren.<\/p>\n

Auf diesem Weg lassen sich potenzielle Schwachstellen im Aufbau und in der Konfiguration der SAP-Landschaft in allen Architekturbereichen identifizieren und mit geeigneten technischen oder organisatorischen Mitteln Vorsorge treffen.<\/p>\n

\"https:\/\/e3mag.com\/partners\/btc-business-technology-consulting-ag\/\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die Digitalisierung macht kritische Infrastrukturen verwundbar. Ein Mittel, das Sicherheitsniveau zu pr\u00fcfen, sind Sicherheitsanalysen durch sogenannte \u201eEthical Hacker\u201c. Mit professioneller Hilfe werden Sicherheitsl\u00fccken rechtzeitig identifiziert, bevor \u201ereale\u201c Hacker echten Schaden anrichten. <\/p>\n","protected":false},"author":78,"featured_media":4119,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,740],"tags":[637,111,117,400],"coauthors":[23729],"class_list":["post-4097","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag1612","tag-hacker","tag-infrastruktur","tag-sicherheit","tag-software","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",400,267,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-768x512.jpg",768,512,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-100x67.jpg",100,67,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-480x320.jpg",480,320,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-640x427.jpg",640,427,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-720x480.jpg",720,480,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-960x640.jpg",960,640,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",18,12,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",600,400,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",600,400,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Die Digitalisierung macht kritische Infrastrukturen verwundbar. Ein Mittel, das Sicherheitsniveau zu pr\u00fcfen, sind Sicherheitsanalysen durch sogenannte \u201eEthical Hacker\u201c. Mit professioneller Hilfe werden Sicherheitsl\u00fccken rechtzeitig identifiziert, bevor \u201ereale\u201c Hacker echten Schaden anrichten. <\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 16-12<\/a>","author_info_v2":{"name":"Christian Bruns, BTC","url":"https:\/\/e3mag.com\/de\/author\/christian-bruns\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/4097","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/78"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=4097"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/4097\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/4119"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=4097"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=4097"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=4097"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=4097"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}