Wie Sie SAP-Sicherheitslücken verhindern können

SAP stellt einige der weltweit beliebtesten Produkte für die Verwaltung von Informationen her, mit mehr als 400 Millionen Anwendern weltweit. Aber die SAP-Konnektivität stellt eines der größten Sicherheitsrisiken für Ihr Unternehmen dar.

In diesem Beitrag besprechen wir, welche Schritte Sie unternehmen können, um Ihre SAP-Systeme zu sichern. Wir werden auch untersuchen, wie SAP-Systeme kompromittiert werden können, sowie einige der Möglichkeiten, dies zu verhindern.

Warum ist es wichtig?

Wenn Sie die Überschrift gelesen haben, war Ihre erste Reaktion wahrscheinlich so etwas wie "das sollte Thema einer Schulung für Leute sein, die SAP-Anwendungen entwickeln". Und ja, wir alle finden es am besten, wenn Schwachstellen während der Softwareentwicklung und beim Testen entdeckt werden, bevor der Code beim Kunden landet. Aber existiert eine Schwachstelle schon, weil sie im Code ist, oder wird sie erst lebendig, wenn die Software in einer bestimmten Umgebung läuft?

Wie auch immer die Antwort ausfällt, es ist Ihr Unternehmen, das gefährdet ist. Und selbst wenn Sie einen Fehler in SAP NetWeaver nicht selbst beheben können, gibt es eine Menge, was Sie tun können, um dieses Risiko zu mindern. Und damit zu verhindern, dass SAP-Sicherheitslücken aktiv ausgenutzt werden.

Wenn Sie die Nachrichten rund um die SAP-Sicherheit verfolgen, fragen Sie sich vielleicht: Ist das nur ein Hype wegen des einen ziemlich prominenten Vorfalls, der 2020 von Onapsis Research Labs entdeckt wurde? Die berüchtigte CVE-2020-6287, besser bekannt als SAP RECON-Schwachstelle (Remotely Exploitable Code On NetWeaver), markiert die erste mit einem CVSS-Score von 10. Aber es ist bei weitem nicht die einzige Schwachstelle, und nicht einmal die einzige mit einem hohen Exploitability-Score. Wenn Sie eine kurze Erinnerung benötigen, lesen Sie Tylers Blogbeitrag dazu.

Wenn man sich die Common Vulnerabilities and Exposures (CVE) für SAP über die letzten zwanzig Jahre ansieht, sieht das Bild so aus:

Die Daten stammen von der CVE Details-Website, und wir haben eine kleine Trendlinie hinzugefügt. Natürlich gibt es einen großen Unterschied zwischen den Schweregraden dieser Sicherheitslücken. Sie reichen von geringer Auswirkung (z. B. keine oder nur eine geringe Menge an sensiblen Daten betroffen) bis hin zu hoher Auswirkung in Kombination mit einer geringen Angriffskomplexität. Aber es gibt einen klaren Aufwärtstrend. Es ist keine Frage, ob der nächste RECON passieren wird, sondern nur, wann er passieren wird.

Ganzheitlicher Ansatz

Auch nach 20 Jahren in diesem Beruf habe ich immer noch den Eindruck, dass SAP-Landschaften oder sogar das gesamte SAP-Ökosystem eine Welt für sich sind. Wenn es um Sicherheit geht, kommen diese "eigenen Welten" meist nicht gut weg. Wie es im Untertitel zu diesem Beitrag bereits heißt, ist die Unternehmenssicherheit nur so stark wie ihr schwächstes Glied, was allerdings impliziert, dass sie überhaupt erst einmal vernetzt werden muss. Also muss nicht nur der CIO von seiner ERP Insel herunter, sondern auch alle anderen an der IT-Sicherheit Beteiligten. 

Ein unsicherer Netzwerkzugriff ermöglicht von vornherein Verbindungen von nicht vertrauenswürdigen Quellen, wodurch ein nicht authentifizierter Angreifer auf sensible Daten zugreifen kann.

Immer wenn ich über die möglichen Auswirkungen einer kritischen Sicherheitslücke lese, frage ich mich, wie viele NetWeaver-Applikationsserver offenbar Netzwerkzugriffe aus dem Internet erlauben. Hoffen wir, dass es wenigstens nicht der SAP Solution Manager ist, der auf diese Weise gefährdet ist. Ein unsicherer Netzwerkzugriff erlaubt überhaupt erst eine Verbindung von nicht vertrauenswürdigen Quellen, was einem nicht authentifizierten Angreifer den Zugriff auf sensible Daten ermöglichen könnte. Es mag notwendige Anwendungsfälle für diese Offenheit geben, aber die Zahlen lassen mich vermuten, dass in einigen Unternehmen die SAP-Sicherheit nicht gut in die Sicherheitsstrategie des Unternehmens integriert ist. 

System-Hardening

Die gute Nachricht ist, dass ab S/4HANA Security-by-Default in den SAP-Landschaften ankommt. Für alle älteren Systeme ist Hardening jedoch der erste Schritt, um Ihre Sicherheit in all denjenigen Bereichen zu verbessern, in denen die sicherste Variante nicht der Standard ist. Aber System-Hardening kann noch viel weiter gehen: Wenn Ihr Unternehmen in regulierten Umgebungen wie GxP oder SOX tätig ist, müssen Sie weit mehr berücksichtigen, um diese Standards zu erfüllen.

Glücklicherweise ist dies ein Bereich, in dem Avantra eine große Hilfe sein kann. Avantra hilft Ihnen, Ihre Systeme abzuschotten und gibt Ihnen die Gewissheit, dass Ihre SAP-Systeme sicher sind. Sie können die Sicherheitsrichtlinien für Ihre Profile definieren, während Avantra überprüft, ob diese alle  mit der Realität übereinstimmen. Und ab diesem Herbst können Sie sogar veranlassen, dass Profilparameter automatisch angepasst werden, wenn sie von Ihren Richtlinien abweichen - ohne Benutzerinteraktion.

SAP Security und Ruhe haben >>

SAP HotNews und SAP Security Notes

Wenn es um Schwachstellen- oder Patch-Management geht, sind die SAP Security Notes und SAP HotNews die Homebase für SAP-Kunden. Sie sind auch Teil des SAP Product Security Response Space, in dem SAP ihre Antworten auf CVEs darlegt. Wenn Sie sich nicht nur auf die Antworten von SAP verlassen wollen, können Sie die CVE-Details für den Hersteller SAP abfragen oder zum Beispiel diesen RSS-Feed-Link verwenden. SAP HotNews enthält alle SAP-Sicherheitshinweise mit einem CVSS-Score von 9 oder höher.

Der schwierige Teil ist immer zu überprüfen, wo die in den SAP-Hinweisen beschriebenen Korrekturen angewendet werden müssen. Einige SAP-Systeme sind vielleicht gar nicht betroffen, bei anderen ist der Hinweis bereits angewendet. Diese Aufgabe ist natürlich umso schwieriger, je komplexer Ihre Landschaft ist.

Aber es gibt spannende Neuigkeiten für Sie:

Ab diesem Herbst wird Avantra automatisch die verfügbaren SAP HotNews ermitteln und diese mit den bereits implementierten Hinweisen auf jedem verwalteten SAP-System vergleichen. Und es wird  Ihnen automatisch vorschlagen, die fehlenden auf einer pro-System Basis zu implementieren. 

Auditing und Änderungsmanagement

Eine weitere wichtige Säule in Ihrer Unternehmens-Sicherheitsstrategie ist die Überprüfung, ob die Kontrollmaßnahme richtig implementiert sind. Oder einfacher ausgedrückt: regelmäßige Sicherheits-Audits. Der Grundgedanke einer Sicherheitsstrategie ist die Erkennung und Bewertung von Risiken sowie die Einrichtung von Kontrollen, um diese Risiken zu mindern. Dies geschieht in der Regel durch Richtlinien, die eben diese Kontrollmaßnahmen vorschreiben. Der Zweck eines Audits besteht im Wesentlichen darin, zu verifizieren, dass die Richtlinien vorhanden sind und den Nachweis zu erbringen, dass die Richtlinien befolgt werden. Und da gibt es keine Ausnahme für SAP-Anwendungen.

Ein wesentlicher Teil, wenn nicht sogar der wichtigste, ist die Verfolgung von Änderungen. Die häufigste Ursache für Sicherheitsvorfälle ist menschliches Versagen. Solange wir Menschen es sind, die Systemänderungen durchführen, ist das Planen, Verfolgen, Genehmigen und Überprüfen dieser Änderungen von größter Bedeutung, um Fehler zu vermeiden. 

Mit Avantra verfolgen und protokollieren wir Änderungen an SAP-Systemen und Datenbanken automatisch, auch wenn sie nicht geplant und genehmigt wurden. Die eingebauten Reporting-Funktionen vereinfachen es ungemein, alle Änderungen über einen bestimmten Zeitraum hinweg darzustellen. Damals, als Avantra noch ein MSP war, konnten wir den Nachweis bei Sicherheitsaudits mehr oder weniger ausschließlich durch die Erstellung von Service Level Reports erbringen.

Mehr über Avantra erfahren >>

Überwachung

Alle Sicherheitsmaßnahmen sowie die wichtigsten potenziellen Bedrohungen sollten permanent überwacht werden. Daher ist eine zuverlässige und robuste Überwachungslösung das Herzstück jeder Sicherheitsstrategie in allen Unternehmen. Allerdings ist in den letzten Jahren ein Trend zu beobachten, bei dem sich die Überwachung mehr und mehr darauf verlagert, primär die Anwendungsperformance zu betrachten. 

Wenn es um die Sicherheit geht, wird Ihnen die Überwachung der Performance wahrscheinlich nicht viel helfen. Fragen wie: sind Standardpasswörter für Systembenutzer konfiguriert, werden Systemänderungen in produktiven ABAP-Clients verhindert, ist das Audit-Log richtig konfiguriert, laufen Zertifikate bald ab - sie werden nur von einer auf den SAP-Betrieb zugeschnittenen Lösung wie Avantra beantwortet. 

Und obwohl diese Überprüfungen Schwachstellen nicht verhindern können, die höchstwahrscheinlich irgendwo tief unten im Code existieren, können sie Ihnen potenziell helfen, die Ausnutzung dieser Schwachstellen zu verhindern. Oder zumindest ihre Auswirkungen zu begrenzen.