Accès limité pour les tuteurs de base

Mit DBACockpit und DB02 stehen den SAP-Basismitarbeitern zwei zentrale Transaktionen zur Verfügung, mit denen sie die SAP-Datenbanken überwachen, steuern, konfigurieren und verwalten können.

Zahlreiche Basisfunktionen lassen sich darüber ausführen, zum Beispiel die Überprüfung von Systemstatus und Betriebsarten, Tabellenerweiterungen oder die Indexpflege und -aktualisierung von Tabellen.

Zudem enthalten beide Transaktionen den SQL Command Editor, der über sogenannte Open-SQL-Befehle den unmittelbaren Zugriff auf funktionale Tabellen erlaubt.

Damit können Anwender auch an geschäftskritische Informationen gelangen, wie Personal- und Finanzbuchhaltungsdaten oder auch Passwort-Hashes.

Security Patches für SQL Command Editor dringend beachten

SAP hat für den SQL Command Editor zahlreiche Sicherheits-Patches ausgeliefert. Diese Sicherheits-Patches sind unbedingt zu beachten und einzuspielen.

Um den Zugriff auf die SAP-Daten zu regulieren, hat SAP zudem eine neue Berechtigung ausgeliefert (S_TABU_SQL). Damit können die Unternehmen festlegen, welche Mitarbeiter auf welche SAP-Daten zugreifen dürfen.

Zusätzlich wurde im SQL Command Editor eine Tracking-Funktion implementiert, mit der jedes – berechtigte oder unberechtigte – Kommando automatisch geloggt wird.

Werden diese Log-Daten zudem in ein SIEM-System (Security Information and Event Management), wie SAP Enterprise Threat Detection (ETD), übertragen und dort analysiert, erhalten Unternehmen Transparenz über alle erfolgten Zugriffe.

Möglichem Missbrauch kann damit zeitnah durch Monitoring und Alerting entgegengesteuert werden. Obwohl es auch aus Datenschutz- und Compliance-Gründen notwendig ist, den Zugriff für die Mitarbeiter aus der SAP-Basisadministration zu begrenzen, sieht die Realität oft anders aus.

So werden bei SAP-Sicherheitstests in Unternehmen aller Größen und Branchen immer wieder ungepatchte Schwachstellen in der SQL-Command-Editor-Funktion von DBACOCKPIT und DB02 identifiziert.

Die SAP-Basisbetreuer haben somit weitreichende Möglichkeiten, an sensible SAP-Daten heranzukommen.

Komplettübernahme vorstellbar

Um die möglichen Folgeschäden zu verdeutlichen, haben SAP-Penetration-Testing-Experten von Virtual Forge in einem ausgewählten Kundensystem zunächst die USR02-Tabelle ausgelesen, die die User-Passwörter enthält.

Nachdem es den Testern gelungen war, die verschlüsselten Passwörter mit einem Password-Cracker-Tool zu knacken, konnten sie sich problemlos am SAP-System anmelden und auf dieselben Funktionen zugreifen, für die die einzelnen Nutzer berechtigt waren.

Die Tests zeigten: Bösartige Angriffe hätten bis zur kompletten Kompromittierung eines SAP-Systems führen können.

Daher ist es für jedes SAP-Anwender­unternehmen zwingend geboten, regelmäßig die Security Notes insbesondere für den SQL Command Editor einzuspielen.

Darüber hinaus sollten mindestens einmal jährlich Upgrades vorgenommen und dabei die aktuellen Support Packages eingespielt werden, mit denen SAP die Kunden mit Fehlerbereinigungen und gesetzlich vorgeschriebenen Softwareanpassungen versorgt.

Externe Beratung empfehlenswert

Da es in den meisten Unternehmen jedoch keine ausgewiesenen SAP-Sicherheitsexperten gibt, bietet es sich an, für das regelmäßige Einspielen der Security Patches externe Dienstleister an Bord zu holen.

Unverzichtbar ist, dass der Beratungspartner das erforderliche Sicherheits- und SAP-Know-how mitbringt, vor allem Erfahrungen in der Umsetzung von Patches, Verständnis für unterschiedliche SAP-Releases und Upgrade-Verfahren sowie Kenntnisse im Bereich der Gefahrenerkennung („Threat Detection“) und Prävention.

Mit diesen Kompetenzen ausgestattet, kann der SAP-Sicherheitsanbieter den Kunden unterstützen, die Kritikalität der Security Patches zu bewerten. Zudem erhält der Kunde Beratung bei der Auswahl der erforderlichen Tests, um zu verhindern, dass es beim Einspielen der Patches zu Programm- und Anwendungsfehlern kommt.

Da die selektive Überprüfung aufwändige Regressionstests über das komplette SAP-System hinweg überflüssig macht, spart der Kunde dadurch jede Menge Zeit und Kosten.

Werkzeuge ergänzend einsetzen

Im Bereich der Prävention bietet sich auch der Einsatz spezieller Werkzeuge zur Erkennung und Korrektur von Fehlern in der kundenindividuellen SAP-Systemkonfiguration an.

Mit dem Virtual Forge SystemProfiler (alternativ: Damit) lassen sich alle Benutzer ermitteln, die umfangreiche Berechtigungen zur Ausführung des SQL Command Editor (DB02, DBACOCKPIT) und zugehöriger Tabellenberechtigungen (S_TABU_SQL) haben.

Hat ein Kunde seine SAP-Systeme an den SAP Solution Manager angeschlossen, lassen sich mit solchen Werkzeugen automatisch Sicherheitslücken und Schwachstellen identifizieren.

So kann beispielsweise auch für alle SAP-Systeme regelmäßig überprüft werden, ob alle erforderlichen Security Patches eingespielt wurden, die die Sicherheitslücken im SQL Command Editor vollständig beseitigen.