Traditionell waren SAP-Systeme nur im Intranet eines Unternehmens erreichbar, und mangels Sicherheitsforschung und korrespondierender Veröffentlichungen waren praktisch keine Angriffsvektoren bekannt, außer dem Offensichtlichen: Wenn ein Anwender zu viele Rechte hatte, konnte er Dinge tun, die dem Unternehmen schaden. Daher hat man sich bei der Absicherung von SAP-Systemen auf die korrekte Vergabe von Rollen und Berechtigungen konzentriert. Leider werben sogar manche SAP-Sicherheitsunternehmen heute noch damit, SAP-Cyber-Sicherheit zu leisten, obwohl sie nur Rollen und Berechtigungen im Portfolio haben. Doch wer sich nur auf diesen Bereich konzentriert, riskiert, viel gefährlichere Lücken zu übersehen.
Es ist unbestritten schädlich für ein Unternehmen, wenn z. B. eine Mitarbeiterin sowohl Lieferanten anlegen als auch deren Rechnungen freigeben oder überweisen kann. Sie könnte sich als Lieferantin anlegen und dann sich selbst Geld überweisen – ein klassischer Betrug. Dabei handelt es sich aus Sicherheitssicht jedoch um den Missbrauch der zugewiesenen Rechte. Die Mitarbeiterin benötigt für ihr Vorgehen keinerlei technisches Wissen über SAP-Systeme, Programmiersprachen, Protokolle oder Anwendungssicherheit. Sie muss die vorhandenen Programme einfach nur bedienen.
Ganz anders verhält es sich im folgenden Szenario: Ein Mitarbeiter des Putzdienstes, der abends die Räumlichkeiten eines Unternehmens reinigt, schließt seinen Rechner an eine Netzwerkdose an. Er führt einen Portscan durch, um zu ermitteln, ob im Netzwerk SAP-Installationen vorhanden sind. Mehrere SAP-Systeme werden identifiziert. Als Nächstes testet er, ob der SAP-Gateway auf diesen Systemen unzureichend abgesichert ist. Auf einem System ist das der Fall. Sodann nutzt der Angreifer diesen Umstand, um mittels Betriebssystemkommandos einen Transport auf diesen Rechner zu kopieren und anschließend in das SAP-System einzuspielen. Da sein Transport ein Benutzerkonto samt Passwort und einer passenden Rolle enthält, hat er nun vollen Zugriff auf das SAP-System. Er stellt fest, dass es sich um ein Testsystem handelt, das keine echten Daten enthält. Aber er findet schnell heraus, dass dieses Testsystem eine RFC-Verbindung zu einem Produktivsystem hat, für die ein Benutzer mit hohen Rechten hinterlegt ist. Nun kann er mit vorhandenen SAP-Funktionsmodulen sämtliche Daten des Produktivsystems herunterladen und im Darknet zum Verkauf anbieten. Selbstverständlich könnte er auch zumindest das gekaperte Testsystem vollständig zerstören.
Das ist ein Cyberangriff. Und er hat viel fatalere Folgen als die betrügerische Überweisung im ersten Beispiel. Zudem erfolgt der Angriff auch noch anonym, sodass der Täter extrem viel schwerer auszumachen ist als im Betrugsfall. Vor allem erkennt man an diesem Cyberangriff gut, dass ganz spezielles Wissen sowie verschiedene Schwachstellen involviert waren. Diese Schwachstellen haben unterschiedliche Ursachen: unzureichende Systemhärtung und mangelhafte RFC-Topologie/Absicherung. Beides sind Bereiche der SAP-Cyber-Sicherheit, aber noch längst nicht alle.
Unser Fazit
Rollen und Berechtigungen sind zweifellos ein wichtiger Aspekt der SAP-Sicherheit. Aber wenn man eine SAP-Landschaft absichern will, muss man alle Aspekte abdecken. Der Angreifer hat den Luxus, das schwächste Glied in der Verteidigung anzugreifen. Daher sollte man zumindest in allen relevanten Bereichen eine Grundabsicherung durchführen, um die gefährlichsten Angriffsvektoren zu blockieren. Es empfiehlt sich eine Vorgehensweise, die sich an Risiken orientiert und nicht an Themen. Auf diese Weise kann man das vorhandene Budget optimal auf die relevanten Risiken verteilen. Wenn Unternehmen sich nur auf Rollen und Berechtigungen konzentrieren, riskieren sie, viel gefährlichere Einfallstore zu übersehen.
Traditionell waren SAP-Systeme nur im Intranet eines Unternehmens erreichbar, und mangels Sicherheitsforschung und korrespondierender Veröffentlichungen waren praktisch keine Angriffsvektoren bekannt, außer dem Offensichtlichen: Wenn ein Anwender zu viele Rechte hatte, konnte er Dinge tun, die dem Unternehmen schaden. Daher hat man sich bei der Absicherung von SAP-Systemen auf die korrekte Vergabe von Rollen und Berechtigungen konzentriert. Leider werben sogar manche SAP-Sicherheitsunternehmen heute noch damit, SAP-Cyber-Sicherheit zu leisten, obwohl sie nur Rollen und Berechtigungen im Portfolio haben. Doch wer sich nur auf diesen Bereich konzentriert, riskiert, viel gefährlichere Lücken zu übersehen.
Es ist unbestritten schädlich für ein Unternehmen, wenn z. B. eine Mitarbeiterin sowohl Lieferanten anlegen als auch deren Rechnungen freigeben oder überweisen kann. Sie könnte sich als Lieferantin anlegen und dann sich selbst Geld überweisen – ein klassischer Betrug. Dabei handelt es sich aus Sicherheitssicht jedoch um den Missbrauch der zugewiesenen Rechte. Die Mitarbeiterin benötigt für ihr Vorgehen keinerlei technisches Wissen über SAP-Systeme, Programmiersprachen, Protokolle oder Anwendungssicherheit. Sie muss die vorhandenen Programme einfach nur bedienen.
Ganz anders verhält es sich im folgenden Szenario: Ein Mitarbeiter des Putzdienstes, der abends die Räumlichkeiten eines Unternehmens reinigt, schließt seinen Rechner an eine Netzwerkdose an. Er führt einen Portscan durch, um zu ermitteln, ob im Netzwerk SAP-Installationen vorhanden sind. Mehrere SAP-Systeme werden identifiziert. Als Nächstes testet er, ob der SAP-Gateway auf diesen Systemen unzureichend abgesichert ist. Auf einem System ist das der Fall. Sodann nutzt der Angreifer diesen Umstand, um mittels Betriebssystemkommandos einen Transport auf diesen Rechner zu kopieren und anschließend in das SAP-System einzuspielen. Da sein Transport ein Benutzerkonto samt Passwort und einer passenden Rolle enthält, hat er nun vollen Zugriff auf das SAP-System. Er stellt fest, dass es sich um ein Testsystem handelt, das keine echten Daten enthält. Aber er findet schnell heraus, dass dieses Testsystem eine RFC-Verbindung zu einem Produktivsystem hat, für die ein Benutzer mit hohen Rechten hinterlegt ist. Nun kann er mit vorhandenen SAP-Funktionsmodulen sämtliche Daten des Produktivsystems herunterladen und im Darknet zum Verkauf anbieten. Selbstverständlich könnte er auch zumindest das gekaperte Testsystem vollständig zerstören.
Das ist ein Cyberangriff. Und er hat viel fatalere Folgen als die betrügerische Überweisung im ersten Beispiel. Zudem erfolgt der Angriff auch noch anonym, sodass der Täter extrem viel schwerer auszumachen ist als im Betrugsfall. Vor allem erkennt man an diesem Cyberangriff gut, dass ganz spezielles Wissen sowie verschiedene Schwachstellen involviert waren. Diese Schwachstellen haben unterschiedliche Ursachen: unzureichende Systemhärtung und mangelhafte RFC-Topologie/Absicherung. Beides sind Bereiche der SAP-Cyber-Sicherheit, aber noch längst nicht alle.
Unser Fazit
Rollen und Berechtigungen sind zweifellos ein wichtiger Aspekt der SAP-Sicherheit. Aber wenn man eine SAP-Landschaft absichern will, muss man alle Aspekte abdecken. Der Angreifer hat den Luxus, das schwächste Glied in der Verteidigung anzugreifen. Daher sollte man zumindest in allen relevanten Bereichen eine Grundabsicherung durchführen, um die gefährlichsten Angriffsvektoren zu blockieren. Es empfiehlt sich eine Vorgehensweise, die sich an Risiken orientiert und nicht an Themen. Auf diese Weise kann man das vorhandene Budget optimal auf die relevanten Risiken verteilen. Wenn Unternehmen sich nur auf Rollen und Berechtigungen konzentrieren, riskieren sie, viel gefährlichere Einfallstore zu übersehen.
