![\"Fullsize\"](\"https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/banner_26_04_08_1200x150.jpg\")
<\/a><\/div><\/div>\nF\u00fcr einen Betrug erweitert ein Angreifer<\/span> seine Rechte<\/span> in SAP-Systemen, legt sich als einen falschen Zulieferer an, schreibt sich eine Rechnung und veranlasst die \u00dcberweisung auf das eigene Konto.<\/p>\n Dies geschieht durch die Ausweitung der Privilegien eines Nutzer-Accounts<\/span> \u2013 unter Aushebelung des SAP-spezifischen Sicherheitsansatzes der Segregation of Duties (SoD): Eine Trennung von Pflichten oder Kompetenzen kann zwar effektiv f\u00fcr Sicherheit<\/span> sorgen, indem Rechte<\/span> von Mitarbeitern in der Entwicklung, Produktion, Planung und Buchhaltung fein s\u00e4uberlich getrennt werden.<\/p>\n In einem Fall, vor dem im Mai 2016 die regierungsnahe US-CERT warnte, wird eine eigentlich seit 2010 mit Patch schlie\u00dfbare Sicherheitsl\u00fccke<\/span> bei SAP-Systemen mit aktivierten Invoker Servlet immer noch ausgenutzt.<\/p>\n Durch die L\u00fccke k\u00f6nnen Angreifer<\/span> per Fernzugriff neue SAP-Anwender<\/span> mit Verwaltungsprivilegien \u00fcber den Webbrowser anlegen.<\/p>\n Die L\u00fccke lie\u00df sich bei 36 Unternehmen feststellen \u2013 13 davon erwirtschafteten einen Jahresumsatz von mehr als zehn Milliarden Euro.<\/p>\n Der Angriff zielte auf nicht aktualisierte oder fehlkonfigurierte SAP-Java-Plattformen. Dramatisch ist auch die Sabotage durch Abschaltungen von SAP-Applikationen oder gar eines ganzen Systems.<\/p>\n Den Schaden, wenn eine Anwendung offline geschaltet werden muss, sch\u00e4tzten im Fr\u00fchjahr 2016 die Befragten einer Ponemon-Institute-Studie auf 4,5 Millionen Dollar \u2013 einschlie\u00dflich aller Kosten zur Behebung des Schadens und verloren gegangener Gesch\u00e4ftsm\u00f6glichkeiten.<\/p>\n Ansatzfl\u00e4chen f\u00fcr Angriffe auf Zugriffsrechte und Anwenderprofile sind die Transaktionslayer \u2013 wie Hana oder NetWeaver \u2013, die Gesch\u00e4ftsinformationen und Prozesse sowie den Zugriff darauf verwalten, die Kommunikation zwischen den Instanzen regeln und f\u00fcr deren Sicherheit<\/span> etwa durch Verschl\u00fcsselung<\/span> sorgen.<\/p>\n Auch Accounts<\/span> und deren Berechtigungen werden im Transaktionslayer mit Parametern verwaltet und lassen sich wie bei einer Datenbank<\/span> ver\u00e4ndern. Angreifer<\/span> versuchen mit diesen Zugriffen ferngesteuert den Datenverkehr zu steuern, Verzeichnisse jeden Inhalts einzulesen, zu kopieren, zu verschieben oder zu \u00fcberschreiben.<\/p>\n Alle Parameter von SAP-Infrastrukturen lassen sich schnell durch die Eingabe von Zahlenwerten konfigurieren.<\/p>\n Die verschiedensten M\u00f6glichkeiten der Account<\/span>–Verwaltung<\/span> sorgen dabei schnell f\u00fcr Komplexit\u00e4t und erh\u00f6hen die Fehlerquote.<\/p>\n Risiken ergeben sich dabei durch das Customizing der SAP-Software, durch die Einstellungen der User Management<\/span> Engine (UME) bei Java-Systemen, die f\u00fcr die Suche oder das Anlegen von neuen Usern zust\u00e4ndig ist, und durch die Access Control List (ACL), welche die Anmeldung bei Servern und die Zulassung von Programmen oder Verbindungen regelt (reginfo, sec\u00adinfo, Webdispatcher, Management Console, Message Server, ICM).<\/p>\n Weitere Gefahren bestehen bei Konfiguration von Anwenderrollen und User-Parametern generell ( zum Beispiel durch den universell berechtigten Sap_All-User sowie User-Profile, die RFC-Verbindungen aufnehmen k\u00f6nnen) oder bei unsicheren Konfigurationen von Authentifizierungsverfahren.<\/p>\n Weitreichende Privilegien machen Nutzer gef\u00e4hrlich. Wenn Zugangsdaten geleakt oder Authentifizierungsverfahren umgangen wurden, kann aber die Verwendung von sicheren Usertypen noch eine zweite Schutzmauer bieten.<\/p>\n Eine Grundregel in der Rechteverwaltung lautet daher, einen Anwender<\/span> nur mit dem Minimum an Rechten<\/span> zu versehen, die er f\u00fcr seine Aufgabe ben\u00f6tigt. Der sogenannte Restricted User, der in der Default-Einstellung \u00fcber keine besonderen Privilegien verf\u00fcgt, auf Datenbanken<\/span> nur \u00fcber Client-Anwendungen zugreift und keinen vollen SQL-Zugang hat, sollte Sicherheitsstandard sein.<\/p>\n Standard User, welche per Default ihre eigenen Objekte anlegen sowie Daten in der System View auslesen k\u00f6nnen und eine Public Role innehaben, sollten nach M\u00f6glichkeit vermieden werden. Deren Log-in-, Datenabfrage- und Daten\u00fcbertragungsaktivit\u00e4ten sind besonders zu \u00fcberwachen.<\/p>\n Dies gilt nat\u00fcrlich auch f\u00fcr besonders kritische Hana<\/span>-User: Der <sid>adm user (wobei <sid> f\u00fcr die jeweilige Hana<\/span>-System-SID steht), der w\u00e4hrend des Installationsprozesses auf Betriebssystem-Ebene angelegt wird, stellt ungesch\u00fctzt ein Risiko<\/span> dar. Er verf\u00fcgt \u00fcber Privilegien f\u00fcr alle Hana<\/span>-Systemressourcen.<\/p>\n Viele Systemprovider legen das Passwort<\/span> f\u00fcr diesen Anwender<\/span> w\u00e4hrend der Installation der Systeme bei Kunden an. Sp\u00e4testens nach \u00dcbergabe der SAP-Infrastruktur sollte es ge\u00e4ndert werden.<\/p>\n Auch andere Anwender<\/span> auf Betriebssystem-Umgebung, wie der root user, der sapadm user oder individuell angelegte Anwenderprofile, m\u00fcssen sicher konfiguriert und mit umfangreichen Privilegien umso engmaschiger \u00fcberwacht werden.<\/p>\n Eine weitere zu \u00fcberwachende Hintert\u00fcr, bei deren Betreten oft nicht nach Credentials nachgefragt wird, sind die Notfall-Mechanismen von SAP. Mit dem Profil Parameter login\/no_automatic_user_sapstar steht ein Zugang f\u00fcr die unkomplizierte Probleml\u00f6sung bereit, der zum gef\u00e4hrlichen Backdoor<\/span> werden kann.<\/p>\n Wird dann der Super-User SAP* gel\u00f6scht, existiert dieser Zugang nicht mehr f\u00fcr die auditierbaren Datenbanken<\/span>. Er bleibt deswegen bei der Durchf\u00fchrung herk\u00f6mmlicher Audits unentdeckt, hat aber eine Verbindung zum System mit allen Autorisierungen. Zudem kann das Standard-Passwort<\/span> nicht ge\u00e4ndert werden. Das Ergebnis bei Missbrauch ist die Kompromittierung entweder eines oder mehrerer Clients, eines oder mehrerer Applikationsserver oder gar des ganzen SAP-Systems.<\/p>\n Die einfache Abhilfe ist, den Super-User niemals zu l\u00f6schen, den User SAP* zus\u00e4tzlich zu sichern und den Wert login\/no_automatic_user_sapstar mit \u201e1\u201c festzulegen.<\/p>\n Aber auch unsichere Konfigurationen von Authentifizierungsverfahren stellen ein hohes Risiko<\/span> dar. Gefahr erzeugen Skripte zu automatischer Abspeicherung von Passw\u00f6rtern<\/span> in der SAP-GUI-Bedienungsoberfl\u00e4che. Diese speichern bei entsprechender Einstellung die etwa im Log-in-Feld eingetragenen Werte und damit auch Passw\u00f6rter<\/span> \u2013 genauso aber auch Nutzerdaten von Kunden.<\/p>\n Beg\u00fcnstigt werden solche Angriffe durch eine zu schwache Verschl\u00fcsselung<\/span> bei der Abspeicherung der Daten. Zudem wird die Historie der Eintragungen in Benutzernamenfeldern f\u00fcr jeden Anwender<\/span> in einer einheitlich benannten Datei abgespeichert, sodass ein Hacker<\/span> diese leicht findet. F\u00fcr mehr Sicherheit<\/span> sorgt der Schutz<\/span> von Eingaben in verdunkelten Eingabefeldern oder das Abstellen der Speicherung vergangener Eintr\u00e4ge.<\/p>\n Eine andere L\u00fccke sind die sogenannten SAP-Shortcuts. Hier definieren Anwender<\/span> nicht nur eine\u00a0 Zieladresse zum Log-in auf eine SAP-Instanz, die dort auszul\u00f6sende Transaktion und unter Umst\u00e4nden die Eintragung eines Default-Nutzernamens.<\/p>\n Ein von falschen H\u00e4nden definierter oder kontrollierter Shortcut kann zum Einstiegstor auf Systeme werden. In fr\u00fcheren Transaktionslayern war die Gefahr sogar noch gr\u00f6\u00dfer, weil in die Shortcuts auch die automatische Eingabe individueller Passworte<\/span> eingebaut werden konnte.<\/p>\n SAP hat diese Optionen f\u00fcr neu anzulegende Passw\u00f6rter<\/span> deswegen mittlerweile geblockt. F\u00fcr bereits bestehende Passw\u00f6rter<\/span> existiert diese Gefahr eventuell weiterhin.<\/p>\n Angesichts der Komplexit\u00e4t und Dimension der Konfigurationsproblematik k\u00f6nnen Fehler fast gar nicht vermieden werden. Es gilt aber, sie so schnell wie m\u00f6glich zu finden und zu beheben.<\/p>\n Eine effektive SAP-Sicherheitsl\u00f6sung untersucht daher Konfigurationsfehler und bietet Fast-Echtzeitschutz gegen m\u00f6gliche Angriffe.<\/p>\n Die Inventarisierung von Sicherheitsl\u00fccken<\/span> kann dabei nur durch automatisierte Assessment-L\u00f6sungen erfolgen. Wichtig ist dabei eine kontinuierliche \u00dcberpr\u00fcfung des Sicherheitsstatus in der SAP-Infrastruktur, um neu aufgekommene Fehleinstellungen unverz\u00fcglich zu bemerken. Dabei m\u00fcssen nicht nur Produktiv-Systeme, sondern auch Test<\/span>-Systeme ber\u00fccksichtigt werden, denn gerade hier befinden sich default konfigurierte und oft vergessene User-Accounts<\/span>, die von ungew\u00fcnschten Besuchern ausgenutzt werden.<\/p>\n Konfigurationen von Accounts<\/span> oder Authentifizierungsl\u00f6sungen lassen sich dabei nach verschiedenen Richtlinien (SAP-Sicherheitsrichtlinie<\/span>, PCI, SOX, NERC, Custom oder anderen) \u00fcberpr\u00fcfen.<\/p>\n Eine L\u00f6sung zu Erkennung und Abwehr von Bedrohungen gibt dann zum Ersten eine schrittweise und so schnell umsetzbare Anleitung zur Behebung der L\u00fccken.<\/p>\n Gegen unbekannte Bedrohungen, die auch durch Konfigurationen-bedingte Risiken entstehen, bieten L\u00f6sungen einen Fast-Echtzeit-Schutz<\/span> durch Blockieren von Angriffen, bis eine SAP Security Note daf\u00fcr verf\u00fcgbar ist.<\/p>\n An oberer Stelle steht auch eine \u00dcberwachung<\/span> von anormalen Zugriffen interner Mitarbeiter.<\/p>\n Der Entwickler, der pl\u00f6tzlich oder zu ungew\u00f6hnlichen Zeiten auf Instanzen zur Buchhaltung zur\u00fcckgreift, sollte nicht unentdeckt und seine Zugriffe<\/span> gegebenenfalls geblockt werden.<\/p>\n","protected":false},"excerpt":{"rendered":" SAP-gesteuerte Gesch\u00e4ftsprozesse und Daten sind f\u00fcr Angreifer ein attraktives Ziel. Externe wie interne Angreifer, die fremde Zugangsdaten in Beschlag nehmen oder Berechtigungen ausweiten, k\u00f6nnen auf Daten und Anwendungen \u00fcber die Transaktionslayer von falsch oder riskant konfigurierten SAP-Systemen zugreifen.<\/p>\n","protected":false},"author":79,"featured_media":4256,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,740],"tags":[637,1359,117],"coauthors":[22310],"class_list":["post-4240","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag1612","tag-hacker","tag-onapsis","tag-sicherheit","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",400,280,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-768x538.jpg",768,538,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-100x70.jpg",100,70,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-480x336.jpg",480,336,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-640x448.jpg",640,448,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-720x504.jpg",720,504,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-960x672.jpg",960,672,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",18,12,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",964,675,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",1000,700,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",600,420,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898.jpg",600,420,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/shutterstock_242118898-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" SAP-gesteuerte Gesch\u00e4ftsprozesse und Daten sind f\u00fcr Angreifer ein attraktives Ziel. Externe wie interne Angreifer, die fremde Zugangsdaten in Beschlag nehmen oder Berechtigungen ausweiten, k\u00f6nnen auf Daten und Anwendungen \u00fcber die Transaktionslayer von falsch oder riskant konfigurierten SAP-Systemen zugreifen.<\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 16-12<\/a>","author_info_v2":{"name":"Mariano Nunez, Onapsis","url":"https:\/\/e3mag.com\/de\/author\/mariano-nunez\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/4240","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/79"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=4240"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/4240\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/4256"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=4240"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=4240"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=4240"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=4240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Mariano](\"https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Mariano-Nun.jpg\" "\\"Target")
<\/a>Die Trennung kann aber auch durch stark privilegierte Accounts<\/span> ausgehebelt werden.<\/p>\nAngriffe auf Profile und Privilegien<\/h3>\n
Account<\/span>-Verwaltung und Fehlerquote<\/h3>\n
Management<\/span> von Risiko<\/span>-Anwendern<\/h3>\n
Seiteneing\u00e4nge<\/h3>\n
![\"Gefa\u0308hrdungstabelle\"](\"https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Gefa\u0308hrdungstabelle.jpg\" "\\"Target")
<\/a><\/p>\nKonfigurationscheck und Angriffsabwehr<\/h3>\n
![\"SAP-Sicherheit\"](\"https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/SAP-Sicherheit.jpg\" "\\"Target")
<\/a><\/p>\n