{"id":56481,"date":"2019-03-07T08:00:13","date_gmt":"2019-03-07T07:00:13","guid":{"rendered":"http:\/\/e3mag.com\/?p=56481"},"modified":"2020-02-09T14:50:41","modified_gmt":"2020-02-09T13:50:41","slug":"it-security-supereinfach-oder-superschwer","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/it-security-supereinfach-oder-superschwer\/","title":{"rendered":"IT-Security: Supereinfach oder superschwer"},"content":{"rendered":"

Sp\u00e4testens seit der 2007 auf der Blackhat-Konferenz vorgestellten Gateway-Schwachstelle (vgl. VIDEO<\/a>) hat sich die Wahrnehmung f\u00fcr SAP-Sicherheit nachhaltig ge\u00e4ndert. \u00dcber diese Schwachstelle kann ein Angreifer ohne Authentifikation sich auf SAP-ERP- und Abap-Systemen einen Administratornutzer mit \u201eSAP_ALL\u201c-Berechtigungen anlegen.<\/p>\n

Anschlie\u00dfend hat der Angreifer die volle Kontrolle und kann beliebige Daten einsehen und manipulieren. Trotz dessen, dass diese Schwachstelle so lange bekannt ist, sind viele ERP-Kunden auch 2019 noch gegen sie und viele andere Standardschwachstellen anf\u00e4llig. Woran liegt das?<\/p>

\"\"<\/a><\/div><\/div>\n

SAP-Sicherheitshinweise lassen sich nicht direkt mit Microsoft-Windows-Sicherheitsupdates vergleichen, weil SAP in der Abap-Welt dem Prinzip der Abw\u00e4rtskompatibilit\u00e4t folgt. In der Folge liefert SAP immer einen Schalter in den Hinweisen mit aus, wenn ein Risiko besteht, dass der Patch die bestehende Funktionalit\u00e4t oder Verf\u00fcgbarkeit beim Kunden gef\u00e4hrdet.<\/p>\n

Das alleinige Einspielen reicht folglich in diesen F\u00e4llen nicht aus, sondern der Kunde muss zur Aktivierung erst anschlie\u00dfend die manuellen Schritte durchf\u00fchren. H\u00e4ufig ben\u00f6tigen gerade die kritischen Schwachstellen diese manuelle Nacharbeit und f\u00fchren so unbewusst zu unsicheren Systemen. So ist dies ebenfalls bei der exemplarischen Gateway-Schwachstelle der Fall, gegen die noch immer eine Vielzahl von Kundensystemen verwundbar ist.<\/p>\n

SAP hat im Jahr 2009 die Sicherheitsstrategie ge\u00e4ndert und seitdem 4256 SAP-Sicherheitshinweise ver\u00f6ffentlicht, davon \u00fcber 50 Prozent in den Jahren 2010 bis 2012. Aussagen auf einer TechEd zufolge hat SAP damals erstmals den kompletten SAP-Standard mit statischer Code-Analyse untersucht, was mit zur obigen H\u00e4ufung gef\u00fchrt haben soll.<\/p>\n

2010 wurde dann der \u201eSAP Security Patchday\u201c am zweiten Dienstag eines Monats eingef\u00fchrt. Hierdurch werden die Hinweise prim\u00e4r nur noch geb\u00fcndelt ver\u00f6ffentlicht. Ab 2012 wurde eingef\u00fchrt, dass Security-Hinweise nur noch in Abh\u00e4ngigkeit von Ihrer Priorit\u00e4t mit Support Packages ausgeliefert werden.<\/p>\n

Dringend zu beachten ist hierbei die 18-Monate-Regel: Nach dieser wird das Einspielen von Security-Hinweisen nur in Systemen garantiert, die auf einem Support-Package-Level sind, der nicht \u00e4lter als 18 Monate ist. Jeder Kunde ben\u00f6tigt daher zus\u00e4tzlich zu einem SAP-Security-Patch-Zyklus einen regelm\u00e4\u00dfigen Support-Package-Einspielzyklus.<\/p>\n

W\u00e4hrend in einer einstufigen SAP-Systemlandschaft eine \u00dcberwachung der Hinweise, Konfigurationen und Support-Package-Level noch manuell m\u00f6glich ist, wird dies in gro\u00dfen und heterogenen SAP-Landschaften zunehmend schwerer bis unm\u00f6glich. Hier bietet es sich an, diese Aufgaben mit einem Automaten zu \u00fcberwachen. Sowohl die SAP als auch der freie Markt bieten hier diverse L\u00f6sungen an.<\/p>\n

Sind diese Herausforderungen 2019 mit S\/4 und Hana gel\u00f6st? In der Cloud f\u00fchrt SAP die Infrastrukturwartung durch, allerdings hat der Kunde hier keinen SAP-GUI-Zugriff mehr und kann keine Eigenentwicklungen im Kernsystem durchf\u00fchren.<\/p>\n

Auf den Kunden kommen hier neue Herausforderungen in hybriden Architekturen zu. H\u00e4ufig ist mit der wachsenden Komplexit\u00e4t nicht klar, wo, wie h\u00e4ufig, welche Daten gespeichert werden und wer darauf Zugriff hat.<\/p>\n

Das gilt insbesondere dann, wenn die Fachabteilung mit einer Kreditkarte zus\u00e4tzliche Services freischalten kann, von denen die IT erst einmal nichts mitbekommt. Kunden, die S\/4 als on-premise nutzen, m\u00fcssen weiterhin die oben genannten Themen beachten.<\/p>\n

Auch 2019 muss ein aktuelles S\/4 1809 nach der Installation geh\u00e4rtet werden. Beispiele sind das im Standard nicht aktivierte Security Audit Log, der nicht aktivierte Schutz gegen RFC-Call-Back-Angriffe oder die seit 1992 ausgelieferte Passwortmindestl\u00e4nge von lediglich 6 Zeichen.<\/p>\n

Als Fazit f\u00fcr 2019 bleibt, dass der Kunde f\u00fcr die Sicherheit seiner Daten selbst verantwortlich ist und das auch bleiben wird. In den vergangenen Jahren gab es jedes Jahr kritische Schwachstellen im SAP-Standard.<\/p>\n

Daher ist es weiterhin erforderlich, seine SAP-Systeme zeitnah zu patchen und das Einspielen zu \u00fcberwachen. Das gilt f\u00fcr genutzte als auch ungenutzte Komponenten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Seit 2012 h\u00e4ufen sich \u00f6ffentlich bekannt gewordene und erfolgreiche Angriffe auf SAP-Systeme. Wie hat sich die SAP-Sicherheit in den vergangenen zehn Jahren ge\u00e4ndert, wie sicher sind SAP-Systeme heute und was erwartet uns 2019?<\/p>\n","protected":false},"author":1676,"featured_media":15608,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,27969],"tags":[39,73,19701,236,1175],"coauthors":[28039],"class_list":["post-56481","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag-1902","tag-cloud","tag-erp","tag-s-4-hana","tag-sap","tag-teched","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Seit 2012 h\u00e4ufen sich \u00f6ffentlich bekannt gewordene und erfolgreiche Angriffe auf SAP-Systeme. Wie hat sich die SAP-Sicherheit in den vergangenen zehn Jahren ge\u00e4ndert, wie sicher sind SAP-Systeme heute und was erwartet uns 2019?<\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 19-02<\/a>","author_info_v2":{"name":"Frederik Weidemann, Virtual Forge","url":"https:\/\/e3mag.com\/de\/author\/frederik-weidemann\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/56481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/1676"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=56481"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/56481\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/15608"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=56481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=56481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=56481"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=56481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}