Gefahrenquelle Kundencode
E-3: Herr Wiegenstein, wie kamen Sie den Sicherheitslücken im selbst geschriebenen Abap-Code auf die Spur?
Andreas Wiegenstein: Um Transparenz über den Anteil und die Qualität des Kundencodes in SAP-Systemen zu gewinnen, führt Virtual Forge kontinuierlich einen weltweiten Benchmark durch.
Aktuell werteten wir die anonymisierten Scans von mehr als 300 SAP-Kundensystemen aus. Beteiligt an dieser bisher umfassendsten Untersuchung ihrer Art waren Unternehmen aller Größen und Branchen, vornehmlich in Deutschland und den USA.
E-3: Was sind die wichtigsten Benchmark-Ergebnisse?
Wiegenstein: Zunächst fanden wir heraus, dass jedes SAP-Produktivsystem im Durchschnitt rund zwei Millionen Zeilen selbst geschriebenen Abap-Codes umfasst, mit dem die Kunden die SAP-Standardfunktionen an ihre Geschäftsprozesse anpassen.
Höchst alarmierend ist die Tatsache, dass wir in ausnahmslos jedem Kundencode zahlreiche Fehler fanden, die die Sicherheit und Stabilität eines SAP-Systems gefährden können.
Es ist von rund 2.000 kritischen Fehlern auszugehen pro SAP-System, die Unternehmen für Angriffe verwundbar machen und auch Probleme beim Compliance Audit verursachen können.
E-3: In welchen Bereichen finden sich diese Schwachstellen?
Wiegenstein: Zum größten Teil handelt es sich dabei um mangelhaft programmierte oder fehlende Berechtigungsprüfungen. Allein diese Schwachstellen würden bereits ausreichen, um in einem Unternehmen großen Schaden anzurichten, da Mitarbeiter auf Informationen zugreifen können, ohne dazu befugt zu sein – da kann viel Missbrauch betrieben werden.
Noch Schlimmeres allerdings ist von wirklich gravierenden Sicherheitsfehlern – den sogenannten Killerfehlern – in den Abap-Eigenentwicklungen zu befürchten. Davon entdeckten wir aktuell durchschnittlich 16 in jedem SAP-System – und damit deutlich mehr als noch in den Jahren zuvor.
E-3: Was ist an diesen „Killerfehlern“ so gefährlich?
Wiegenstein: Jeder einzelne dieser Killerfehler ist so hoch kritisch, dass er von Angreifern dazu ausgenutzt werden kann, um das System komplett unter die eigene Kontrolle zu bringen.
SAP-Kundencode bietet zahlreiche Einfallstore, um komplette Datenbestände zu stehlen, zu löschen oder zu manipulieren und damit zum Beispiel das Bilanzergebnis eines Unternehmens zu verfälschen oder das SAP-System vollständig zu sabotieren oder einfach mal abzuschalten.
Der wirtschaftliche Schaden, der dadurch entstehen kann, ist enorm. Denken Sie zum Beispiel nur daran, dass die betroffenen Unternehmen für alle Schäden haften müssen, die durch die Entwendung sensibler Mitarbeiter- oder Kundendaten entstehen. Zugleich können solche Vorfälle zu hohen Imageverlusten führen.
E-3: Gibt es Erkenntnisse, wie viele SAP-Sicherheitsvorfälle tatsächlich auf schadhaften Kundencode zurückgehen?
Wiegenstein: Leider nein, denn meist kann nach einer Attacke nicht lückenlos nachgewiesen werden, durch welche Sicherheitslücke der Angreifer überhaupt ins SAP-System eindringen konnte.
War es ein Defekt im Kundencode, im SAP-Standardcode oder bei der System- oder Firewall-Installation? Erschwerend für eine Ursachenanalyse kommt hinzu, dass viele Unternehmen erst nach geraumer Zeit entdecken, dass ihre SAP-Anwendungen gehackt wurden, zum Beispiel bei Routineprüfungen oder per Zufall.
E-3: Wie kommt es überhaupt zu fehlerhaften Abap-Eigenentwicklungen?
Wiegenstein: Prinzipiell kommen als Verursacher zwei Gruppen infrage, nämlich die unternehmenseigenen Entwickler oder Beratungshäuser, die dem Unternehmen die benötigten SAP-Erweiterungen zuliefern.
Dabei können die Fehler unbeabsichtigt in den Kundencode gelangen – etwa durch Programmierer, die nicht daran denken, die erforderlichen Berechtigungsprüfungen einzubauen.
Andererseits kommt es natürlich auch vor, dass Fehler bewusst eingebaut werden, zum Beispiel von frustrierten Mitarbeitern, die sich an ihrem Arbeitgeber rächen wollen, oder von externen Programmierern, die sich damit Zugang zu vertraulichen Unternehmensinformationen verschaffen.
E-3: Also können Kundencode-Angriffe auch von externen Hackern geführt werden?
Wiegenstein: Selbstverständlich. Es trifft keinesfalls zu, dass SAP-Systeme nur über das interne Netzwerk zugänglich sind, wie viele SAP-Administratoren immer noch behaupten.
Zwar kommt auch unser Benchmark zum Ergebnis, dass lediglich 0,3 Prozent der Abap-Eigenentwicklungen in einem Unternehmen über das Internet ansteuerbar sind. Doch wurden schon einige Fälle bekannt, in denen mit zugekauftem Abap-Code bestimmte Trojaner eingeschleust wurden, durch die geschäftskritische SAP-Daten nach draußen gelangten.
Zum Beispiel erhielt ein Unternehmen von einer Fremdfirma selbst geschriebenen Abap-Code, der am Ende jeden Monats die Ergebnisse der Buchungsläufe aggregierte und an eine externe E-Mail-Adresse versandte. Ein klassischer Fall von Computerkriminalität!
E-3: Wie können sich SAP-Kunden gegen die Risiken des eigenen Abap-Codes schützen?
Wiegenstein: Wie die Beispiele zeigen, reichen die herkömmlichen Vorkehrungen, wie Firewalls, Antiviren-Software und gute Passwörter, keinesfalls aus, um potenzielle Einfallstore beim Abap-Kundencode zu schließen.
Auch genügt es nicht, dass Unternehmen für eine fehlerfreie Konfiguration der Rollen und Berechtigungen ihrer Mitarbeiter sorgen. Vielmehr bedarf es gezielter Strategien und Maßnahmen, um den Code von Fehlern zu bereinigen und künftige Gefahren zu vermeiden.
Zunächst empfiehlt es sich für Kunden, die Abap-Eigenentwicklungen gründlichen Scans zu unterziehen. Dafür bietet sich der Einsatz spezieller Prüfsoftware an, die die vorhandenen Fehler und Risiken automatisch identifiziert und, soweit wie möglich, auch gleich korrigiert. Solche Scans nehmen in der Regel nur wenige Minuten in Anspruch.
E-3: Welche Maßnahmen sollten Unternehmen langfristig ergreifen?
Wiegenstein: Da müssen gleich mehrere Ansätze verfolgt werden, sowohl organisatorischer als auch technischer Art. Um Fehler schon bei der Programmierung zu verhindern, sollten die eigenen Entwickler spezielle Abap-Sicherheitsschulungen durchlaufen und besondere Richtlinien bei der Programmierung einhalten, wie zum Beispiel die des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Wird Code von außen zugekauft, müssen die Unternehmen strengstens darauf achten, entsprechende Qualitätsstandards in die Verträge mit den Zulieferern aufzunehmen, zu prüfen und auch einzufordern. Darüber hinaus sollten künftig keine SAP-Eigenentwicklungen mehr produktiv gehen, solange sie noch für das Unternehmen kritische Fehler enthalten.
Ins Pflichtenheft gehören ebenso ein zeitnahes Einspielen der SAP-Sicherheitspatches und ein laufendes Monitoring aller SAP-Systeme, um Angriffe möglichst schnell zu erkennen. Trotz aller Vorsichtsmaßnahmen sind geeignete Notfallpläne unverzichtbar, um Attacken möglichst schnell und wirksam entgegensteuern zu können.
E-3: Welchen Nutzen bietet in diesem Zusammenhang Ihr Abap Quality Benchmark?
Wiegenstein: Bei unserem Benchmark handelt es sich um eine fortlaufende Untersuchung. Sie aggregiert die Erkenntnisse aus einer Vielzahl von Scanergebnissen, die uns von SAP-Kunden anonymisiert zur Verfügung gestellt werden.
Da diese Zahlen statistischen Aufschluss über die Qualität von Abap-Kundencode geben, wird die Aussagekraft des Benchmarks umso höher, je mehr SAP-Anwender sich daran beteiligen. Wir freuen uns über jedes Unternehmen, das mitmacht. Den Unternehmen selbst bietet sich durch unsere Analyse die Möglichkeit, in kürzester Zeit Einblick in den Zustand ihres selbst geschriebenen Codes zu gewinnen.
Dazu wird der Kundencode eines ausgewählten SAP-Systems komplett gescannt. Im Ergebnis erhält das Unternehmen einen Prüfbericht, der pro Fehlertyp exemplarisch fünf Fundstellen aufzeigt.
Oft treten dabei Schwachstellen zutage, die nicht nur die Sicherheit, sondern auch die Leistung eines SAP-Systems beeinträchtigen. So zeigt unsere Erfahrung, dass viele Systeme nach der Korrektur des Kundencodes nicht nur sicherer, sondern auch viel stabiler und schneller laufen.
E-3: Herr Wiegenstein, vielen Dank für das Gespräch.
DE
EN
ES
FR
