{"id":61490,"date":"2015-10-04T12:04:11","date_gmt":"2015-10-04T10:04:11","guid":{"rendered":"http:\/\/e3mag.com\/?p=61490"},"modified":"2019-07-29T12:14:00","modified_gmt":"2019-07-29T10:14:00","slug":"sapotage-angriffsziel-produktion","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sapotage-angriffsziel-produktion\/","title":{"rendered":"SAPotage – Angriffsziel: Produktion"},"content":{"rendered":"

Viele Verantwortliche denken bei IT-Sicherheit in der Produktion zun\u00e4chst einmal an den Schutz von Steuerungsanlagen und wiegen sich in Sicherheit, wenn ihre SCADA-Systeme nicht an das Internet angeschlossen sind.<\/p>\n

Sp\u00e4testens, wenn diese Systeme an ein Intranet angeschlossen werden, ist es mit der vermeintlichen Sicherheit vorbei. Doch Produktion ist nicht nur die Steuerung eines Flie\u00dfbandes.<\/p>

\"\"<\/a><\/div><\/div>\n

Jeder Herstellungsprozess fu\u00dft auf der Veranlassung von Gesch\u00e4ftsprozessen durch Berechtigte. Daf\u00fcr werden Produktionsdaten immer h\u00e4ufiger an den Steuerungsanlagen abgegriffen und an SAP-Systeme weitergeleitet.<\/p>\n

Im Idealfall stellt ein mit Echtzeit-Daten best\u00fccktes Dashboard allen Entscheidungstr\u00e4gern die Informationen f\u00fcr die Steuerung von Gesch\u00e4ftsprozessen wie Materialbeschaffung und Produktionsplanung \u00fcberall zur Verf\u00fcgung.<\/p>\n

So lenken die Verantwortlichen in den Abteilungen die Produktionslogistik, indem sie neues Material bestellen, die Auslagerung der Fertigung an Zulieferer veranlassen und die Rechnung stellen. Auch Qualit\u00e4tskontrolle ist ein fester Bestandteil eines SAP-gesteuerten Herstellungsprozesses.<\/p>\n

Risikoszenarien<\/h3>\n

Durch diese unmittelbare Verzahnung von Produktions- und Gesch\u00e4ftsprozessen steht Angreifern ein weites Feld f\u00fcr Angriffe auf ERP- oder SCM-Module und Applikationen offen.<\/p>\n

B\u00f6swillige Anwender k\u00f6nnen sich zum Ersten zentrale Einblicke in das Produktions-Know-how und die Abl\u00e4ufe eines Unternehmens verschaffen. SAP-basierte L\u00f6sungen zur Produktionsplanung sowie ERP- und SCM-Module werden damit zum lohnenden Ziel f\u00fcr Industriespionage.<\/p>\n

Zum Zweiten haben b\u00f6swillige Anwender und unberechtigte Besitzer eines SAP-Nutzerkontos umfassende M\u00f6glichkeiten f\u00fcr betr\u00fcgerische Aktivit\u00e4ten.<\/p>\n

Wer sich einmal \u00fcber den Transaktionslayer \u2013 also auf der SAP-NetWeaver- oder Hana-Ebene \u2013 Zugriff auf eine SAP-Instanz verschafft hat, umgeht mit einfachen Verfahren klassische SAP-Sicherheitskonzepte auf Anwendungsebene wie etwa die Se\u00adgregation of Duties.<\/p>\n

Als Konsequenz sind auch Applikationen nicht gesch\u00fctzt. Eine SoD sieht zum Beispiel im Normalfall vor, dass ein Anwender einer Produktionsabteilung eine Materialbestellung t\u00e4tigen kann, die Rechnungstellung aber nur durch das Controlling erfolgen darf.<\/p>\n

Ein Anwender, der sich einen eigenen Account mit erweiterten Benutzungsrechten anlegt, einen privilegierten SAP-All-Account f\u00fcr seine Zwecke kapert oder sich einen neuen Account schafft, streift diese SoD-Einschr\u00e4nkungen ab.<\/p>\n

Er t\u00e4tigt eine Scheinbestellung, schreibt einem Strohmann eine fiktive Rechnung und veranlasst die \u00dcberweisung auf sein Konto. Kleine, regelm\u00e4\u00dfig flie\u00dfende Geldbetr\u00e4ge fallen unter Umst\u00e4nden nicht auf, zumal die eigene Produktion unbeeintr\u00e4chtigt weiterl\u00e4uft.<\/p>\n

Viele CISOs k\u00f6nnen sich \u00fcber solche allt\u00e4glichen Sicherheitsrisiken aus Mangel an Ressourcen oft nicht mal einen \u00dcberblick verschaffen.<\/p>\n

Zum Dritten gef\u00e4hrdet Sabotage von SAP-Landschaften die Produktion. B\u00f6swillige Anbieter werden n\u00f6tige Materialbestellungen stoppen, vielleicht Produktionsdaten zum Beispiel zur Materialkalkulation manipulieren. Auf SAP-Transaktionsebene k\u00f6nnen sie durch ein Shut-Down das ganze SAP-System lahmlegen.<\/p>\n

Ohne Produktionsplanung ist dann auch keine Produktion mehr m\u00f6glich. In der Praxis mag dies seltener vorkommen. Ein funktionierendes SAP-System als Plattform f\u00fcr betr\u00fcgerische Aktivit\u00e4ten ist in der Regel lukrativer.<\/p>\n

Vorgehensweisen<\/h3>\n

Die zunehmende Anbindung produktionsrelevanter Gesch\u00e4ftsprozesse \u00fcber SAP-basierte L\u00f6sungen an das Internet und die Einbindung externer Partner versch\u00e4rfen die Risikolage.<\/p>\n

Die mobile \u00dcbermittlung von Daten oder auch die Anbindung von Zulieferern etwa \u00fcber die Cloud und die Steuerungssysteme erh\u00f6ht die Angriffsfl\u00e4che. Mobile Apps als Bestandteil der SAP-Mobile-Plattform k\u00f6nnen durch ungerechtfertigten Zugriff zu Einfallstoren auf SAP-ERP-Instanzen werden.<\/p>\n

Hacker suchen gezielt nach immer neuen Zugangsm\u00f6glichkeiten. Ein klassisches Spear Phishing auf Produktionsverantwortliche, um mittels Keyloggern die Eingabe von Passw\u00f6rtern zu protokollieren, bedroht nat\u00fcrlich auch den SAP-Anwender und ist nur der Anfang.<\/p>\n

B\u00f6swillige externe Angreifer suchen \u00fcber Suchmaschinen wie etwa Shodan nach den gesuchten SAP-Instanzen. Interne Mitarbeiter haben es nat\u00fcrlich noch viel einfacher, sich Zugang auf SAP-Systeme zu verschaffen.<\/p>\n

Durch das Ausnutzen einer HTTP-Verb-Tampering-Schwachstelle k\u00f6nnen Hacker Backdoor-Anwender im SAP-J2EE-Benutzermanagement-Mo\u00addul anlegen. So erhalten sie Zugriff auf SAP-Portale und Prozessintegrations-Plattformen sowie die damit verbundenen internen Systeme.<\/p>\n

Angriffe auf Datenbanken erfolgen \u00fcber Schwachstellen propriet\u00e4rer SAP-Protokolle: Mit gekaperten oder usurpierten Nutzerrechten werden auf dem SAP-Transaktions-Level Schwachstellen im SAP-RFC-Gateway ausgenutzt.<\/p>\n

Der Hacker erh\u00e4lt Zugriff auf jede in der SAP-Datenbank gespeicherte Information und kann diese auslesen. H\u00e4ufig gehen dabei externe Angreifer den Umweg \u00fcber oft nicht produktive und damit h\u00e4ufig nicht ausreichend gesch\u00fctzte Umgebungen:<\/p>\n

Zum Beispiel geraten Testumgebungen nach Einrichtung des entsprechenden Produktivsystems h\u00e4ufig in Vergessenheit \u2013 und damit auch die daf\u00fcr geltenden technischen Accounts, die oft nur mit Default-Passworten ausgestattet sind.<\/p>\n

Diese kann ein Hacker einfach als Sprungbrett f\u00fcr den Angriff auf Produktivsysteme nutzen. Mit solchen h\u00e4ufig beobachteten Angriffsmethoden lassen sich dann zahlreiche produktionsrelevante Informationen ver\u00e4ndern und manipulieren.<\/p>\n

So etwa die SAP-Tabellen LFA1 (Vendor Master Data), KNA1 (Customer Master Data), EKKO und EKPO oder auch AUFK f\u00fcr Bestellauftr\u00e4ge und KALC zur Berechnung der Quantit\u00e4t von Produktionsmaterialien.<\/p>\n

Schutzebene Transaktionslayer<\/h3>\n

Der Schutz von SAP-gest\u00fctzten Produktionsprozessen beginnt schon bei den Grundlagen einer jeden SAP-Landschaft \u2013 auf dem Transaktionslayer. Segregation of Duties, GRC-Ma\u00dfnahmen und spezielle Sicherheitsanwendungen auf Anwendungsebene sowie die im gro\u00dfen Umfang geleistete Hilfestellung des Software-Herstellers SAP sind wichtige Hilfsmittel, um mehr Sicherheit zu schaffen.<\/p>\n

Aber sie k\u00f6nnen nicht allein stehen. Sie eliminieren nicht die Gefahren auf der Hana- oder NetWeaver-Ebene durch das Entstehen von Sicherheitsl\u00fccken, nicht eingespielte Softwarepatches, eine unkontrollierte Kommunikation \u00fcber Schnittstellen zur \u00dcberspielung falscher Daten oder ungesch\u00fctzten Zugang zu Administrationsdiensten.<\/p>\n

Ein umfassender Schutz des Transaktionslayers kann viele dieser Risiken effektiv beseitigen und bietet die Grundlage der Sicherheit von ERP- oder SCM-Modulen und Anwendungen.<\/p>\n

Ein automatisiertes Assessment alle SAP-Instanzen \u2013 auch von Test- und Entwicklungsumgebungen \u2013 inventarisiert bestehende Sicherheitsl\u00fccken und zeigt die m\u00f6glichen Risiken auf.<\/p>\n

Solche Meldungen ber\u00fccksichtigen auch den Kontext der vom automatischen Assessment bereitgestellten Infrastruktur-Informationen. Dabei registrieren sie auch System\u00e4nderungen, die eine Organisation eventuell verwundbar macht. So l\u00e4sst sich feststellen, welche Aussicht auf Erfolg ein Angriff hat.<\/p>\n

Entsprechende Analysen beschreiben detailliert die Wahrscheinlichkeit und Auswirkungen von Bedrohungen. Administratoren k\u00f6nnen mithilfe detaillierter Anweisungen die L\u00fccken je nach Priorit\u00e4t schlie\u00dfen.<\/p>\n

\u00dcberwachung und Nutzerverhalten<\/h3>\n

Fortschrittliche L\u00f6sungen \u00fcberwachen kontinuierlich auch die Bedrohungslage und suchen nach Angriffsmustern zur Ausnutzung neuer Schwachstellen.<\/p>\n

Sie melden tats\u00e4chlich durchgef\u00fchrte neue Attacken auf bestehende Schwachstellen und analysieren entsprechende Angriffsmethoden in Echtzeit. Abwehrmechanismen werden automatisch angetriggert und k\u00f6nnen von den Verantwortlichen durchgef\u00fchrt werden.<\/p>\n

So verhindern IT-Abteilungen die Ausnutzung von Sicherheitsl\u00fccken, auch wenn noch kein regelrechter Patch ver\u00f6ffentlicht und implementiert ist. Dieser Geschwindigkeitsgewinn ist entscheidend.<\/p>\n

Denn in SAP-Landschaften vergehen aufgrund der Komplexit\u00e4t der Systeme vom Tag des Erstauftretens eines Angriffes bis zur tats\u00e4chlichen Implementierung eines einschl\u00e4gigen Patches im Schnitt bis zu 18 Monate.<\/p>\n

Wichtig f\u00fcr eine Abwehr von Missbrauch, Betrug und Spionage ist auch das Erkennen ungew\u00f6hnlichen Nutzerverhaltens, welches ein Indiz f\u00fcr b\u00f6swillige Aktivit\u00e4ten von Mitarbeitern sein kann.<\/p>\n

Die Sicherheitsverantwortlichen erhalten die M\u00f6glichkeit, auf Bedrohungen so schnell wie m\u00f6glich zu reagieren und k\u00f6nnen die benutzten Nutzungsrechte f\u00fcr die \u00c4nderung von Anwenderrechten oder f\u00fcr den Zugriff auf Produktionsdaten unmittelbar kassieren.<\/p>\n

Eine erfolgreiche SAP-Security-Strategie ist mehrschichtig aufgebaut und basiert auf mehreren Werkzeugen, darunter Firewalls und SIEM-L\u00f6sungen.<\/p>\n

Wichtig ist auch, dass diese L\u00f6sungen nicht als Insell\u00f6sungen agieren, sondern \u00fcber definierte Programmierschnittstellen (API) relevante Daten austauschen k\u00f6nnen.<\/p>\n

Sichere Grundlagen schaffen<\/h3>\n

Nur wer den Transaktions-Layer sch\u00fctzt, kann wirksam auch seine Produktionsanwendungen und ERP-Module in SAP sch\u00fctzen. Denn einem Hacker, der sich einmal Zugang zu einem beliebigen Ausgangspunkt in der SAP-Systemlandschaft verschafft, dem stehen alle produktionsrelevanten SAP-Komponenten offen. Auch ERP- und SCM-Sicherheit braucht festen Boden unter den F\u00fc\u00dfen.<\/p>\n","protected":false},"excerpt":{"rendered":"

SAP-Sicherheit ist auch in der Produktionssteuerung unerl\u00e4sslich. Wer sich hier unberechtigt ein\u00adschalten kann, dem stehen umfangreiche M\u00f6glichkeiten f\u00fcr Betrug, Spionage und Sabotage offen. Der Schutz einer SAP-gest\u00fctzten Produktionsplanung beginnt schon auf dem Transaktions-Layer.<\/p>\n","protected":false},"author":1852,"featured_media":61274,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,1577],"tags":[39,8922,722],"coauthors":[34566],"class_list":["post-61490","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-1577","tag-cloud","tag-mobile-apps","tag-netweaver","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

SAP-Sicherheit ist auch in der Produktionssteuerung unerl\u00e4sslich. Wer sich hier unberechtigt ein\u00adschalten kann, dem stehen umfangreiche M\u00f6glichkeiten f\u00fcr Betrug, Spionage und Sabotage offen. Der Schutz einer SAP-gest\u00fctzten Produktionsplanung beginnt schon auf dem Transaktions-Layer.<\/p>\n","category_list_v2":"Business-Management<\/a>, MAG 15-10<\/a>","author_info_v2":{"name":"Gerhard Unger, Onapsis","url":"https:\/\/e3mag.com\/de\/author\/gerhard-unger\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/61490","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/1852"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=61490"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/61490\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/61274"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=61490"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=61490"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=61490"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=61490"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}