SAP-Sicherheit ist ein hochkomplexes Gebiet und erfordert breit gefächertes Spezialwissen. Dieses Wissen ist allerdings nicht in allen Unternehmen vorhanden, insbesondere wenn man auf mittelständische Unternehmen schaut. Historisch gesehen waren SAP-Systeme nach außen weitestgehend abgeschottet und daher nicht im besonderen Fokus von Hackern und dem organisierten Verbrechen. Folglich waren sie auch nicht auf dem Radar der IT-Sicherheit in den Unternehmen.
Mit NetWeaver wurde der Grundstein für SAP-Webanwendungen und externe Schnittstellen gelegt. Durch SAPs Bestrebungen, die Anwendungen Zug um Zug in die Cloud zu verschieben, erhöht sich die Angriffsoberfläche immer weiter. Viele Unternehmen scheinen während dieser Transformation den Punkt verpasst zu haben, ihre SAP-Landschaft hinreichend auf Sicherheit zu untersuchen bzw. eine Grundabsicherung durchzuführen.
Darum ist eine holistische Betrachtungsweise wichtig
Wir sprechen häufig mit Firmen, die zumindest einen Teil ihrer SAP-Systeme durch Penetrationstests haben untersuchen lassen. Hier sind allerdings einige Aspekte zu beachten: SAP-Produkte basieren auf einer Vielzahl proprietärer Technologien, die man mit gängigen Pentesting-Techniken, -Wissen und -Werkzeugen nicht vollständig untersuchen kann. Man sollte außerdem bedenken, dass ein Penetrationstest Sicherheitsmaßnahmen nur stichprobenartig untersucht und keinesfalls ein Gesamtbild der Risiken liefern kann. Außerdem werden Penetrationstests fast immer punktuell auf bestimmten Systemen oder Anwendungen durchgeführt und liefern damit keine Erkenntnisse zum tatsächlich schwächsten Glied in der Verteidigungskette.
Leider kann ein Angreifer genau dieses schwächste Glied angreifen. Das kann ein schlecht gesichertes Entwicklungssystem sein, das über eine hoch privilegierte RFC-Verbindung zu einem Produktivsystem verfügt. Das kann eine BSP-Anwendung oder ein OData-Service sein, der eine Hintertür enthält. Das kann eine Anwendung eines Drittanbieters sein, die Sicherheitslücken im Code hat. Das kann ein zum Internet exponierter Server oder Dienst sein, der nicht hinreichend gepatcht ist. Das kann eine Schnittstelle zu einem Zulieferer sein, die sensible interne Daten exponiert. Und ganz aktuell kann das auch eine unzureichend abgesicherte Cloud-Anbindung sein – diese Aufzählung ist bei weitem nicht vollständig.
Wenn man nun bedenkt, dass in vielen Unternehmen sprichwörtlich das Chaos ausbricht, wenn ein wichtiges SAP-System stillsteht, erscheint es angeraten, turnusmäßig flächendeckende Sicherheitsanalysen durchzuführen, die alle schwachen Glieder in der Verteidigung ermitteln. Diese können aber nur dann belastbare Ergebnisse liefern, wenn tatsächlich alle SAP-Systeme untersucht werden. Denn Risiken von System-zu-System-Verbindungen kann man nur ermitteln, wenn man beide Seiten solcher Verbindungen untersucht.
Fazit
Cyberkriminalität ist inzwischen ein erfolgreiches Geschäftsmodell. Ransomware und Datendiebstahl sind gängige Mittel für Erpressung geworden. Unzureichend abgesicherte SAP-Systeme sind daher ein extrem lukratives Ziel für Angreifer. Unternehmen, die ihre SAP-Systeme noch nicht (vollständig) durch Experten auf Sicherheit geprüft haben, sind einem zunehmend wachsenden Risiko ausgesetzt, die Kontrolle über einen Teil dieser SAP-Systeme oder die darin gespeicherten Daten zu verlieren.
SAP-Sicherheit ist ein hochkomplexes Gebiet und erfordert breit gefächertes Spezialwissen. Dieses Wissen ist allerdings nicht in allen Unternehmen vorhanden, insbesondere wenn man auf mittelständische Unternehmen schaut. Historisch gesehen waren SAP-Systeme nach außen weitestgehend abgeschottet und daher nicht im besonderen Fokus von Hackern und dem organisierten Verbrechen. Folglich waren sie auch nicht auf dem Radar der IT-Sicherheit in den Unternehmen.
Mit NetWeaver wurde der Grundstein für SAP-Webanwendungen und externe Schnittstellen gelegt. Durch SAPs Bestrebungen, die Anwendungen Zug um Zug in die Cloud zu verschieben, erhöht sich die Angriffsoberfläche immer weiter. Viele Unternehmen scheinen während dieser Transformation den Punkt verpasst zu haben, ihre SAP-Landschaft hinreichend auf Sicherheit zu untersuchen bzw. eine Grundabsicherung durchzuführen.
Darum ist eine holistische Betrachtungsweise wichtig
Wir sprechen häufig mit Firmen, die zumindest einen Teil ihrer SAP-Systeme durch Penetrationstests haben untersuchen lassen. Hier sind allerdings einige Aspekte zu beachten: SAP-Produkte basieren auf einer Vielzahl proprietärer Technologien, die man mit gängigen Pentesting-Techniken, -Wissen und -Werkzeugen nicht vollständig untersuchen kann. Man sollte außerdem bedenken, dass ein Penetrationstest Sicherheitsmaßnahmen nur stichprobenartig untersucht und keinesfalls ein Gesamtbild der Risiken liefern kann. Außerdem werden Penetrationstests fast immer punktuell auf bestimmten Systemen oder Anwendungen durchgeführt und liefern damit keine Erkenntnisse zum tatsächlich schwächsten Glied in der Verteidigungskette.
Leider kann ein Angreifer genau dieses schwächste Glied angreifen. Das kann ein schlecht gesichertes Entwicklungssystem sein, das über eine hoch privilegierte RFC-Verbindung zu einem Produktivsystem verfügt. Das kann eine BSP-Anwendung oder ein OData-Service sein, der eine Hintertür enthält. Das kann eine Anwendung eines Drittanbieters sein, die Sicherheitslücken im Code hat. Das kann ein zum Internet exponierter Server oder Dienst sein, der nicht hinreichend gepatcht ist. Das kann eine Schnittstelle zu einem Zulieferer sein, die sensible interne Daten exponiert. Und ganz aktuell kann das auch eine unzureichend abgesicherte Cloud-Anbindung sein – diese Aufzählung ist bei weitem nicht vollständig.
Wenn man nun bedenkt, dass in vielen Unternehmen sprichwörtlich das Chaos ausbricht, wenn ein wichtiges SAP-System stillsteht, erscheint es angeraten, turnusmäßig flächendeckende Sicherheitsanalysen durchzuführen, die alle schwachen Glieder in der Verteidigung ermitteln. Diese können aber nur dann belastbare Ergebnisse liefern, wenn tatsächlich alle SAP-Systeme untersucht werden. Denn Risiken von System-zu-System-Verbindungen kann man nur ermitteln, wenn man beide Seiten solcher Verbindungen untersucht.
Fazit
Cyberkriminalität ist inzwischen ein erfolgreiches Geschäftsmodell. Ransomware und Datendiebstahl sind gängige Mittel für Erpressung geworden. Unzureichend abgesicherte SAP-Systeme sind daher ein extrem lukratives Ziel für Angreifer. Unternehmen, die ihre SAP-Systeme noch nicht (vollständig) durch Experten auf Sicherheit geprüft haben, sind einem zunehmend wachsenden Risiko ausgesetzt, die Kontrolle über einen Teil dieser SAP-Systeme oder die darin gespeicherten Daten zu verlieren.
