Ethical Hacking in SAP

Die zeitweise Nichterreichbarkeit von Webseiten beliebter Online-Services wie Twitter, Spotify, Reddit ou Paypal im Oktober, der kürzlich bekannt gewordene Diebstahl von 500 Millionen Kundendatensätzen bei Yahoo 2014, die wiederholten Cyber-Attacken auf Webseiten des Bundeskanzleramts und Bundestags – Nachrichten zu Vorfällen, die auf die Anfälligkeit unserer durchdigitalisierten Welt hinweisen, gibt es gefühlt im Überschuss.

Mehr denn je sind daher Unternehmen aus Eigennutz, aber auch vom Gesetzgeber gefordert, die IT-, Kommunikations- und Steuerungstechnik-Infrastructures ihrer Organisation zu schützen.

Wie hoch die potenzielle Gefährdungslage mitunter ist, zeigte vor zwei Jahren ein Selbsttest der Ettlinger Stadtwerke.

Binnen zwei Tagen gelang es hier einem beauftragten IT-Experten, sich in das Netz der Stadtwerke zu „hacken“ und die Kontrolle über die Steuerungsleitwarte zu übernehmen.

„Ethical Hacking“, wie die Arbeitsweise des Experten in Ettlingen auch bezeichnet wird, gilt als bewährtes Mittel, sich ein Lagebild zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen in Sachen Sicherheit zu verschaffen.

In Sicherheitschecks von BTC helfen beispielsweise Fachexperten, die nach den Vorgaben des EC-Councils als „Ethical Hacker“ zertifiziert sind, das Gefährdungspotenzial von IT-Umgebungen zu bewerten.

Dazu werden das Vorgehen und die Technik krimineller Hacker simuliert, um in kritischen Bereichen Sicherheitslücken aufzuspüren, bevor diese tatsächlich durch böswillige Angriffe ausgenutzt werden.

SAP: Komplexität schafft Angriffsflächen

Die Auswertung der Ergebnisse der von BTC in den Unternehmen durchgeführten Sicherheitschecks zeigt dabei, dass es oft kleine technische und organisatorische Schwächen sind, die den Hackern das Leben – oder genauer die Arbeit – erleichtern.

Zu den häufig anzutreffenden Unzulänglichkeiten zählt beispielsweise, dass Rollen und Zuständigkeiten für Prozesse und Systeme unter Sicherheitsaspekten nicht sauber definiert sind und keine zentrale Verantwortung institutionalisiert ist.

So werden in SAP-Umgebungen unternehmenskritische Produktionssysteme häufig mit weniger kritischen Büro-Anwendungen in einem gemeinsamen Netzwerkabschnitt betrieben.

Ein Dauerthema sind Passwörter. Penetrationstests zeigen, dass gerade für SAP-Systeme im Zusammenhang mit Entwicklungsaufgaben oder Qualitätssicherungen nach wie vor zu einfache Passwörter gewählt werden und/oder Accounts nur mit voreingestellten Zugangsdaten (Credentials) verwendet werden.

Eine wiederkehrende Gefährdung bedeuten zudem die einmal vergebenen Berechtigungen und Gruppenkennungen, die bei Stellen- oder Aufgabenwechsel nicht gelöscht bzw. geändert werden.

Das kann zu der (gar nicht so) amüsanten Konsequenz führen, dass Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, die meisten Zugriffsrechte besitzen.

Die wachsende Komplexität, gerade in SAP-Infrastructures, erhöht die Anfälligkeit aufgrund nachlässiger Konfigurationen zusätzlich etwa durch nicht eingespielte Patches oder Updates für Betriebssysteme, Web–Serveur, Datenbanken und/oder auch SAP-Logiciel.

Welche Zählebigkeit selbst bekannte Erreur an dieser Stelle entwickeln, zeigt das Invoker Serlet. Eine Sicherheitslücke des Bestandteils vom Java-Serveur in SAP NetWeaver veranlasste im Mai dieses Jahres die US-CERT-Behörde (United States Computer Emergency Readiness Team), erstmalig eine offizielle Warnung bezüglich SAP-Logiciel auszusprechen.

Wohlgemerkt handelt es sich hierbei um ein bereits seit sechs Jahren bekanntes Problem, das zu dem Zeitpunkt – obgleich längst ein Patch verfügbar ist – in den Infrastructures von mindestens 36 Organisationen weltweit noch anzutreffen war.

Mangelhafte Konfigurationen, unzureichend geschützte Netzstrukturen oder ein zu simples Account Management erleichtern die Hackerarbeit.

Bei den Ettlinger Stadtwerken war es z. B. ein offener Netz-Port im Gästehaus, den der Ethical Hacker nutzte.

Kombiniert mit ein wenig Social Engineering und der Analyse von Kommunikationsmustern im Netz genügte es, um letztendlich das Tor zur Leitwarte zu öffnen.

Damit es erst gar nicht so weit kommt, ist jedes Unternehmen gut beraten, in regelmäßigen Abständen manuelle und automatisierte Analysen und Tests mit Unterstützung von Ethical Hackern durchzuführen.

Auf diesem Weg lassen sich potenzielle Schwachstellen im Aufbau und in der Konfiguration der SAP-Landschaft in allen Architekturbereichen identifizieren und mit geeigneten technischen oder organisatorischen Mitteln Vorsorge treffen.