Software und Strategien für den erfolgreichen Mittelstand

Regelmäßige Audits schützen SAP-Anwendungen

Risiken minimieren

Quelle: TÜV Rheinland

Geschäftsführer und Unternehmensvorstände sind gesetzlich verpflichtet, Risiken in ihrer Organisation rechtzeitig zu erkennen und ihnen vorzubeugen. Das bedeutet: Sie müssen Risiken proaktiv monitoren und mit geeigneten Maßnahmen gegensteuern. Angesichts der zunehmenden Abhängigkeit der Business-Prozesse von der IT gilt dies vor allem für die Cyber-Sicherheit. Dabei ist gerade der Schutzbedarf von SAP-Anwendungen potenziell sehr hoch. Mit einem SAP-Audit lassen sich Sicherheitslücken aufdecken, bevor Angreifer sie ausnutzen können. Security Analyst Otto von Natzmer von TÜV Rheinland erläutert, was ein solches Audit beinhaltet.

Imageschaden

Nicht nur der immense Imageschaden und der Verlust von Know-how, sondern auch die konkrete Störung von SAP-Modulen – zum Beispiel in der Materialwirtschaft oder im Einkauf – durch Hacker-Angriffe kann massive Auswirkungen auf andere Funktionen innerhalb einer Organisation haben, etwa auf die Produktionssteuerung oder die Logistik. Und von möglichen Kollateralschäden ist unter Umständen nicht nur das Unternehmen selbst betroffen, sondern es können auch Partner in der Wertschöpfungskette in Mitleidenschaft gezogen werden.

Die regelmäßige Überprüfung des internen und externen Sicherheitsniveaus, beispielsweise durch ein SAP-Audit, das eine ausgedehnte Analysephase durch Angreifer in einem überschaubaren Zeitraum simuliert, gehört zum möglichen Instrumentarium. Ein solches internes Audit macht für alle Organisationen Sinn, die SAP-Module im Einsatz haben. Aber auch ein externes Audit der SAP-Systeme mit Schnittstellen zum Internet, die zum Beispiel durch das Betreiben eines externen Service bestehen, der auf SAP-Daten beruht, ist wichtig für den Erhalt eines hohen IT-Sicherheitsniveaus. Ein weiterer guter Grund für ein SAP-Audit ist die Einbindung externer Partner – Stichwort Industrie 4.0 –, die technisch möglicherweise kritisch sein kann für die SAP-Landschaft. 

Mit einem SAP-Audit lassen sich Risiken weitestgehend minimieren, die zum Beispiel durch eine kritische Kombination von ausnutzbaren Einzelschwachstellen entstehen, die oft jahrelang unbemerkt bleiben und eine offene Flanke als Spionageziel darstellen. Im Fokus stehen dabei – anders als bei Audits der Wirtschaftsprüfer – konkrete Angriffsszenarien, bei denen Prozesse manipuliert, die Unternehmensabläufe gestört, kritische Unternehmensdaten abfließen und Dritte die komplette Kontrolle erlangen könnten (Sabotage).

Durchgeführt werden SAP-Audits von Security Analysts: Für die Simulation eines Angriffs nutzen sie dabei die gleichen Strategien, Taktiken und Tools wie „echte“ Hacker. Durch den internen Zugriff, der vom Auftraggeber autorisiert sein muss, gewinnen sie Informationen über Schwachstellen allerdings im Zeitraffer, benötigen also nicht Wochen oder Monate wie externe Angreifer.  Der Prozess verläuft in der Regel zweistufig, bei Bedarf wird er auch mehrfach wiederholt, um neu gewonnene Kenntnisse in den anderen Phasen berücksichtigen zu können:

1.    Security Analysts identifizieren Sicherheitslücken und werten die ermittelten Sicherheitslücken aus. Dies wird über authentifizierte Scans der SAP-Systeme sowie der darunterliegenden Systeme stark vereinfacht. (White Box)

2.    Die Security Analysts nutzen die detaillierten Informationen, um mit minimalen oder gar ohne Berechtigungen innerhalb des Netzwerks die SAP-Systeme zu übernehmen. Dazu werden dem Pentester alle zuvor zugeteilten Berechtigungen entzogen. Ab diesem Zeitpunkt greift er das System unter realen Bedingungen an. Ziel ist es letztendlich, Zugriff auf mindestens einen User mit SAP_ALL-Berechtigungsprofilen auf den Systemen zu erlangen.

Insbesondere in Punkt 2 besteht der eigentliche Mehrwert eines SAP-Audits: Denn er ermöglicht im Anschluss die Ableitung realistischer Gegenmaßnahmen mit dem Ziel, Sicherheitslücken zu eliminieren oder auf ein für die Organisation akzeptables Maß zu reduzieren – bevor ein echter Angreifer sie ausnutzen kann.

Durchführung

Im SAP-Audit stehen Aspekte wie die Aktualität der verwendeten Software – zum Beispiel Betriebssysteme und Server-Dienste – der Schutz vor Schadsoftware, die Passwort- und Benutzersicherheit oder Konfigurations- und Administrationsfehler im Vordergrund. Die Zielsysteme werden auf Schwachstellen geprüft, die sich durch unsichere Architekturentscheidungen, unsichere Konfigurationen und unsichere Codes ergeben.

Um mögliche sicherheitsrelevante Schwachstellen zu ermitteln, wird in der Regel zunächst bei den Diensten der Server-Plattform ein authentifizierter Schwachstellen-Scan mit möglichst hohen Berechtigungen vorgenommen. Eine weitere Maßnahme ist der authentifizierte Schwachstellen-Scan des SAP-Applikationsservers über RFC. Die Analyse erfolgt auf den Ebenen der Systemhärtung, Anmeldesicherheit, SAP-Basisberechtigungen, Patch-Level, Sicherheit der RFC-Schnittstellen, Betriebssystemsicherheit, Log-Analyse und des Quellcodes im Kundennamensbereich.

Den eigentlichen Penetrationstest der Systeme führen Security Analysts manuell durch – das ist der eigentliche Mehrwert, denn nur menschliche Security Analysts (im Gegensatz zu automatisierten Tools) können die im Rahmen von Vulnerability Scans ermittelten Informationen im Kontext des Kundensystems und auf Basis der bisherigen Projekterfahrung wirklich bewerten. Gleiches gilt für den ABAP Code Review: Hier liegt der Fokus auf der manuellen Analyse und Bewertung auffälliger Codestellen.

Penetrationstest

Der Penetrationstest sowie die authentifizierten Schwachstellen-Scans werden meist ohne gültige Benutzerkennung ausgehend vom internen Büronetzwerk durchgeführt. Zur Durchführung werden virtuelle Systeme genutzt, die auf Standard-Client-Systeme kopiert und dort gestartet werden. Dieses Vorgehen hat den Vorteil, dass so nur auf Kundenrechnern gearbeitet wird und während des Tests anfallende Daten nicht das Unternehmensnetzwerk bzw. Unternehmenssysteme verlassen. Technische Voraussetzung dafür ist genügend Arbeitsspeicher, ausreichender Plattenplatz und BIOS-Einstellungen, die die Virtualisierung erlauben. Jedoch werden die virtuellen Systeme durch den Auftragnehmer bereitgestellt und vor ihrem Einsatz nochmals auf Malware gescannt.

Die Ergebnisse werden zuvor definierten Risikoklassen zugeordnet und ihre Bewertung erfolgt ausschließlich aus der Perspektive der IT-Sicherheit – mit Blick auf Systeme und Daten im Geltungsbereich. Risiken bezogen auf Geschäftsprozesse des Unternehmens sind daraus nicht direkt ableitbar. Angesichts der Abhängigkeit der Geschäftsprozesse von der IT sollte hier allerdings eine enge Abstimmung zwischen den Abteilungen Risikomanagement und Interne IT erfolgen.

Die Bewertung der Kritikalität orientiert sich daran, welche Auswirkungen die ermittelten Schwachstellen auf die IT-Sicherheit der Systeme oder Daten haben können, inwieweit die Findings von Best Practices der IT-Sicherheit abweichen und inwiefern es sich um Vorbedingungen für eine Cyber-Attacke handeln könnte.

Das SAP-Audit legt offen, inwieweit Angreifer in die Infrastruktur vordringen und in welchem Ausmaß sie die Organisation schädigen können. Es ist auch das Mittel der Wahl, wenn es darum geht, das Sicherheitsbewusstsein innerhalb der Organisation zu steigern oder dem Management einen tieferen Einblick in die tatsächlichen Risiken des Unternehmens zu geben. Das SAP-Audit bildet somit den aktuellen Zustand der SAP-Systeme ab und ist eine gute Grundlage, um die SAP-Security mit dem Risikomanagement zu vereinen.

Die Ergebnisse werden von den Security Analysts in einem Bericht zusammengefasst, der kritische Gefährdungen durch Berechtigungen, Kommunikationsschnittstellen, Custom-ABAP-Code, bekannte SAP-Softwarefehler oder Fehlkonfigurationen enthält. Daneben beinhaltet er „Proofs of Concept“ für die Ausnutzbarkeit der kritischen Gefährdungen und empfiehlt Maßnahmen zur Schließung der relevanten Sicherheitslücken.

Der eigentliche Mehrwert der Analyse besteht also darin, aus den Ergebnissen wirksame Gegenmaßnahmen ableiten zu können, um die Sicherheit der Organisation dauerhaft zu steigern. Dabei stehen kritische Risiken und Quick Wins im Vordergrund. Auftraggeber sollten sich daher nicht mit einer Auflistung rein technischer Findings zufriedengeben, sondern Wert darauf legen, dass der Tester mögliche strukturelle Ursachen aufzeigt, wie etwa fehlende oder inkonsistente Prozesse und Verantwortlichkeiten, und darüber hinaus Empfehlungen abgibt, wie sich die Sicherheitsprobleme lösen lassen.

Es hat sich bewährt, die Ergebnisse im Rahmen eines Workshops zu besprechen. Hier lassen sich Fragen zu Kritikalität, Risikobewertung und zur Priorisierung klären und Empfehlungen des Dienstleisters für wirksame Gegenmaßnahmen eingehend erörtern. Externe Anbieter können wertvolle Unterstützung leisten, wenn es darum geht, Maßnahmen und Risiken auf Basis der Findings detailliert zu begründen und diese in einen größeren Bedrohungszusammenhang einzuordnen.

Wichtig: Sicherheitsprüfungen wie SAP-Audits sind immer eine Momentaufnahme. Sowohl die Angriffe als auch die getestete Infrastruktur oder Anwendung entwickeln sich weiter, so dass die Ergebnisse eines Audits mit der Zeit an Wert verlieren. Daher sollten solche Tests regelmäßig durchgeführt werden, wobei nicht immer alle Aspekte getestet werden müssen, sondern man sich eventuell auf die Änderungen fokussieren kann. Nach spätestens zwei Jahren sollte aber in der Regel ein kompletter Retest durchgeführt werden.

Otto von Natzmer

arbeitet beim TÜV Rheinland.

Hier gibt es mehr Infos