Nach vielen Jahren in der SAP-Sicherheit erstaunt es mich immer wieder, wie viel Hollywood doch zu den Diskussionen um Cybersicherheit beigetragen hat. Das Bild vom Hacker, der in seinem Kellerloch mit mehreren Monitoren sitzt und sich mithilfe kryptischer Befehle in Netze von Unternehmen hackt, dominiert weiterhin die Wahrnehmung. Dabei zeigt der kürzlich erschienene „Insider Threat 2018 Report“, dass Insider-Attacken das weitaus größere Problem darstellen. Für die Sicherheit von SAP-Systemen gilt das übrigens doppelt und dreifach. Warum das so ist und welche Gefahren die größte Rolle dabei spielen, erläutern wir in diesem Beitrag.
Vermutlich kommt Ihnen beim Gedanken an einen Insider erneut ein weiteres, von Hollywood inspiriertes Bild in den Kopf: Ein Mitarbeiter, der schweißgebadet vor einem Rechner sitzt – der Statusbalken, der partout die 100% nicht erreichen will – und der Chef im Anmarsch. Tatsache ist aber, dass auch dieses Bild nicht unbedingt repräsentativ ist, wenn es um Insider-Angriffe geht.
Unstrukturierte Berechtigungskonzepte und komplexe Systemlandschaften begünstigen Sicherheitsvorfälle
Der „Insider Threat 2018 Report“ des Marktforschungsunternehmens Crowd Research Partners geht davon aus, dass über die Hälfte der Insider-Attacken (51%) auf das Konto von Mitarbeitern, die aus Versehen oder ungewollt Probleme verursachen, geht. Die Gründe dafür sind dann auch eine direkte Spiegelung der Probleme, von denen SAP-Systeme hauptsächlich betroffen sind.
So wird als wichtigster Grund (37%) für ungewollte Sicherheitsvorfälle die Tatsache genannt, dass Berechtigungen zu großzügig vergeben werden. In SAP-Systemen, in denen Rollen und Berechtigungen fast schon eher hysterisch als historisch gewachsen sind, tritt das Problem besonders deutlich zutage. Kein Wunder, werden doch viele Kernprozesse in SAP abgewickelt. Und durch die Komplexität eines ERP-Systems ist es für Administratoren – die nicht unbedingt über die notwendigen Fachkenntnisse verfügen, um Berechtigungen entsprechend einzuschränken – einfacher, Berechtigungen über allgemeine Rollenbeschreibungen zuzuweisen.
Apropos Komplexität: Auf Platz drei der Gründe für Sicherheitsprobleme landet eine zunehmende Komplexität der entsprechenden Systeme, was 35% der Befragen als kritisch einschätzen. Auch hier ist SAP besonders betroffen: S/4 HANA, C/4 HANA, die SAP-Cloud – neue Produkte, die in den meisten Fällen der bestehenden Systemlandschaft hinzugefügt werden. Und das bei einem Produkt, das mit 320 Millionen Zeilen Code schon wesentlich komplexer ist als andere Softwareprodukte.
90% der Studienteilnehmer fühlen sich verwundbar durch Insider-Attacken
Der zweite Platz geht übrigens an einen Umstand, der sich thematisch genau in der Mitte zwischen den großzügigen Berechtigungen und der zunehmend komplexeren Technologie platziert: Immer mehr Geräte haben Zugriff auf sensible Informationen. 36% der befragten Personen schätzen dies als Problem ein. Noch eben schnell den Urlaub des Mitarbeiters auf dem Weg ins Auto genehmigt, im Stau ein kurzer Blick auf die letzten Quartalszahlen: SAP UI5 bzw. Fiori ermöglicht genau diese Szenarien. SAP Leonardo mit der Integration des „Internets der Dinge“ sei dabei noch nicht einmal erwähnt!
Kein Wunder also, dass zwei Drittel (66%) der befragten Unternehmen sich mehr Sorgen um Angriffe von innen machen als um Attacken von außen. Wobei fairerweise gesagt sein sollte, dass Sicherheitsvorfälle „aus Versehen“ vor allem durch Phishing-Attacken erfolgen. 67% der Studienteilnehmer heben dieses Problem speziell hervor. Damit kommt der Report zu einem eindeutigen Fazit: 90% fühlen sich verwundbar durch Insider-Attacken.
Die beste Vorsorge: eine grundlegende Absicherung aller SAP-Systeme
SAP-Verantwortliche stellen sich natürlich die Frage, wie sie Insider-Attacken am Besten begegnen können. Die Antwort ist so einfach wie logisch: die SAP-Systemlandschaft so weit wie möglich abzusichern. Auf drei Bereiche sollte dabei besonders Acht gegeben werden:
- Berechtigungen: Das Rollenkonzept hat das Potential, gleich an zwei Stellen für sicherheitsrelevante Probleme zu sorgen:
- Zum einen sind da die kritischen Berechtigungen, die es einem Nutzer ermöglichen mehr zu dürfen, als seine Arbeitsplatzbeschreibung es vorsieht.
- Zum anderen sind die Berechtigungen zu nennen, die das Funktionstrennungsprinzip (Segregation of Duties, SoD) verletzen. Hier gilt es darauf zu achten, dass es weder zu SoD-Konflikten kommt, noch dass Berechtigungen zu großzügig vergeben werden.
Der Klassiker ist der sogenannte Trainee-Effekt. Ein Trainee, der alle Abteilungen einmal durchläuft, hat schließlich Berechtigungen, die einem Admin gleichkommen – weil für jede Abteilung neue Berechtigungen hinzukommen, die alten aber in der Rolle verbleiben.
- Generelle Absicherung der SAP-Basis: Ein Thema, das bei den meisten Kunden längst abgehakt sein sollte. Leider zeigt unsere Erfahrung, dass ein Großteil der überprüften SAP-Systeme immer noch anfällig für relativ einfache Angriffe ist. Dazu gehören Standard-User, deren voreingestellten Passwörter nicht geändert wurden, oder auch ein nicht abgesicherter SAP-Gateway, der buchstäblich offensteht wie ein Scheunentor.
- Schnittstellenabsicherung: Wachsende Komplexität und eine zunehmende Anzahl von Cloud-Lösungen wie On-Premise-Systemen müssen irgendwie miteinander verbunden werden. In den wenigsten Unternehmen gibt es allerdings eine zentrale Instanz, die eine Übersicht aller verwendeten Schnittstellen bereithält. Das SAP-System bietet dafür nicht nur aufgrund seiner zentralen Bedeutung eine hervorragende Ausgangsbasis. Entsprechende Lösungen erleichtern eine solche Übersicht zusätzlich.
Umfassende SAP-Sicherheit mit der SAST SUITE
Mit der SAST SUITE von AKQUINET bieten wir eine All-in-One Lösung, die neben den oben genannten Punkten noch weitere Sicherheitsprobleme angeht. Die Lösungen der SAST SUITE bieten dabei den Vorteil, dass der operative Betrieb selbst bei komplexen Sicherheitsprojekten nicht beeinträchtigt wird. Selbst bei einer kompletten Neugestaltung aller Rollen und Berechtigungen oder bei einer Bereinigung des kundeneigenen Codes sorgen unsere Werkzeuge dafür, dass Ihre Nutzer unterbrechungsfrei arbeiten können. So werden Angriffe von innen wie von außen effektiv unterbunden.
Sie interessieren sich für weitere Informationen zu unserer SAST SUITE oder wollen mehr über die umfassende Absicherung Ihrer SAP-Systeme erfahren? Dann informieren Sie sich auf unserer SAST SOLUTIONS Website oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de
Der „Insider Threat 2018 Report“ des Marktforschungsunternehmens Crowd Research Partners wurde gemeinsam von der Online-Plattform Cybersecurity Insiders und der Information Security Community auf LinkedIn mit Unterstützung von Quest Software beauftragt. (Quelle: Security Insider)
Patrick Boch, Produktmanager SAST SOLUTIONS
Verwandte Beiträge im SAST BLOG
C/4HANA: Und wie geht das mit der Sicherheit? Eine Einschätzung.
SAP Security 2018: Zwischen Plattformsicherheit, Berechtigungsmanagement und S/4 HANA-Migration
Hängen Sie an Ihren ABAP-Sicherheitslücken oder können die weg?