Information et éducation par et pour la communauté SAP

Ethical Hacking in SAP

Die Digitalisierung macht kritische Infrastrukturen verwundbar. Ein Mittel, das Sicherheitsniveau zu prüfen, sind Sicherheitsanalysen durch sogenannte „Ethical Hacker“. Mit professioneller Hilfe werden Sicherheitslücken rechtzeitig identifiziert, bevor „reale“ Hacker echten Schaden anrichten.
Christian Bruns, BTC
25 novembre 2016
Ethical hacker on blue
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Die zeitweise Nichterreichbarkeit von Webseiten beliebter Online-Services wie Twitter, Spotify, Reddit ou Paypal im Oktober, der kürzlich bekannt gewordene Diebstahl von 500 Millionen Kundendatensätzen bei Yahoo 2014, die wiederholten Cyber-Attacken auf Webseiten des Bundeskanzleramts und Bundestags – Nachrichten zu Vorfällen, die auf die Anfälligkeit unserer durchdigitalisierten Welt hinweisen, gibt es gefühlt im Überschuss.

Mehr denn je sind daher Unternehmen aus Eigennutz, aber auch vom Gesetzgeber gefordert, die IT-, Kommunikations- und Steuerungstechnik-Infrastructures ihrer Organisation zu schützen.

Wie hoch die potenzielle Gefährdungslage mitunter ist, zeigte vor zwei Jahren ein Selbsttest der Ettlinger Stadtwerke.

Binnen zwei Tagen gelang es hier einem beauftragten IT-Experten, sich in das Netz der Stadtwerke zu „hacken“ und die Kontrolle über die Steuerungsleitwarte zu übernehmen.

„Ethical Hacking“, wie die Arbeitsweise des Experten in Ettlingen auch bezeichnet wird, gilt als bewährtes Mittel, sich ein Lagebild zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen in Sachen Sicherheit zu verschaffen.

In Sicherheitschecks von BTC helfen beispielsweise Fachexperten, die nach den Vorgaben des EC-Councils als „Ethical Hacker“ zertifiziert sind, das Gefährdungspotenzial von IT-Umgebungen zu bewerten.

Dazu werden das Vorgehen und die Technik krimineller Hacker simuliert, um in kritischen Bereichen Sicherheitslücken aufzuspüren, bevor diese tatsächlich durch böswillige Angriffe ausgenutzt werden.

SAP: Komplexität schafft Angriffsflächen

Die Auswertung der Ergebnisse der von BTC in den Unternehmen durchgeführten Sicherheitschecks zeigt dabei, dass es oft kleine technische und organisatorische Schwächen sind, die den Hackern das Leben – oder genauer die Arbeit – erleichtern.

Zu den häufig anzutreffenden Unzulänglichkeiten zählt beispielsweise, dass Rollen und Zuständigkeiten für Prozesse und Systeme unter Sicherheitsaspekten nicht sauber definiert sind und keine zentrale Verantwortung institutionalisiert ist.

So werden in SAP-Umgebungen unternehmenskritische Produktionssysteme häufig mit weniger kritischen Büro-Anwendungen in einem gemeinsamen Netzwerkabschnitt betrieben.Christian-Bruns-BTC-Technology

Ein Dauerthema sind Passwörter. Penetrationstests zeigen, dass gerade für SAP-Systeme im Zusammenhang mit Entwicklungsaufgaben oder Qualitätssicherungen nach wie vor zu einfache Passwörter gewählt werden und/oder Accounts nur mit voreingestellten Zugangsdaten (Credentials) verwendet werden.

Eine wiederkehrende Gefährdung bedeuten zudem die einmal vergebenen Berechtigungen und Gruppenkennungen, die bei Stellen- oder Aufgabenwechsel nicht gelöscht bzw. geändert werden.

Das kann zu der (gar nicht so) amüsanten Konsequenz führen, dass Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, die meisten Zugriffsrechte besitzen.

Die wachsende Komplexität, gerade in SAP-Infrastructures, erhöht die Anfälligkeit aufgrund nachlässiger Konfigurationen zusätzlich etwa durch nicht eingespielte Patches oder Updates für Betriebssysteme, WebServeur, Datenbanken und/oder auch SAP-Logiciel.

Welche Zählebigkeit selbst bekannte Erreur an dieser Stelle entwickeln, zeigt das Invoker Serlet. Eine Sicherheitslücke des Bestandteils vom Java-Serveur in SAP NetWeaver veranlasste im Mai dieses Jahres die US-CERT-Behörde (United States Computer Emergency Readiness Team), erstmalig eine offizielle Warnung bezüglich SAP-Logiciel auszusprechen.

Wohlgemerkt handelt es sich hierbei um ein bereits seit sechs Jahren bekanntes Problem, das zu dem Zeitpunkt – obgleich längst ein Patch verfügbar ist – in den Infrastructures von mindestens 36 Organisationen weltweit noch anzutreffen war.

Mangelhafte Konfigurationen, unzureichend geschützte Netzstrukturen oder ein zu simples Account Management erleichtern die Hackerarbeit.

Bei den Ettlinger Stadtwerken war es z. B. ein offener Netz-Port im Gästehaus, den der Ethical Hacker nutzte.

Kombiniert mit ein wenig Social Engineering und der Analyse von Kommunikationsmustern im Netz genügte es, um letztendlich das Tor zur Leitwarte zu öffnen.

Damit es erst gar nicht so weit kommt, ist jedes Unternehmen gut beraten, in regelmäßigen Abständen manuelle und automatisierte Analysen und Tests mit Unterstützung von Ethical Hackern durchzuführen.

Auf diesem Weg lassen sich potenzielle Schwachstellen im Aufbau und in der Konfiguration der SAP-Landschaft in allen Architekturbereichen identifizieren und mit geeigneten technischen oder organisatorischen Mitteln Vorsorge treffen.

https://e3mag.com/partners/btc-business-technology-consulting-ag/

avatar
Christian Bruns, BTC

Christian Bruns ist Manager für Informationssicherheit bei BTC


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.