Haben Sie einen Überblick über die RFC-Schnittstellen in Ihren SAP-Systemen? Je größer das Unternehmen ist, desto mehr Schnittstellen ergeben sich. Leider werden diese bei der Absicherung von IT-Systemen oftmals nicht berücksichtigt und bieten Hackern so ungeschützt Zugriff auf die sensiblen Daten. Für SAP-Verantwortliche gilt daher die Devise: Aufräumen und Prüfen.
SAP Systeme kommunizieren so gut wie immer mit anderen SAP- oder Fremdsystemen, um Produktions-, Finanz-, Personal-, Kunden- und viele andere Daten auszutauschen. Die dafür genutzte SAP-Standardschnittstelle „Remote Function Call“, kurz RFC, erlaubt eine Vielzahl von Einstellungen für diese Art der Kommunikation. Dabei ist es dem Betreiber des SAP-Systems überlassen, ob und welche Einstellungen er vornimmt. Somit sind verschlüsselte und unverschlüsselte Verbindungen erlaubt, aber auch Schnittstellen, welche über keine Beschränkung der Berechtigung oder Zuordnung zu einem technischen User oder einer Fachabteilung verfügen.
Potenzielle Einfallstore für Angreifer von Innen und Außen ergeben sich durch unzureichend konfigurierte und gewartete RFC-Schnittstellen. Ein dabei häufig unterschätzter Themenbereich ist die dauerhafte und nachhaltige Pflege sowie Wartung der RFC-Verbindungen. Umso wichtiger ist ein umfassendes Wissensmanagement über die eingerichteten Verbindungen, die hinterlegten Benutzer, die verwendeten Passwörter und den erteilten Berechtigungen in SAP-Systemen, um die die IT-Sicherheit im Unternehmen sicher zu stellen. Leider schaffen es nur sehr wenige Unternehmen, diesen Prozess zu erfassen und sich darüber hinaus personell gut aufzustellen.
Trusted-RFC-Verbindungen: Spionage, Datenmissbrauch und Hackerangriffe leicht gemacht
Haben Sie sich schon einmal Gedanken über die Auswirkung von Vertrauensbeziehungen zwischen SAP-Systemen (Trusted-RFC-Verbindungen) gemacht? Bei einer solchen Verbindung vertraut das empfangende System dem sendenden SAP-System blind und akzeptiert dessen Benutzerberechtigungen. So ist es dann leider auch möglich, sich über ein anderes System, welches nicht in derselben Schutzzone steht, auf einem vermeintlich sicheren SAP-System anzumelden und mit den Berechtigungen und Programmen in diesem Umfeld zu arbeiten. Bestehen in einer Systemlandschaft mehrere solcher Verbindungen, so kann dies auch über mehre Systeme hinweg als Einfallstor genutzt werden. Dies schließt einen ungehinderten Zugriff auf kritische Funktionsbausteine ein.
RFC-Poolschnittstellen: Probleme mit großzügig vergebenen Berechtigungen
Ein spannendes und auch sehr komplexes Themengebiet sind die RFC-Poolschnittstellen. In diesem Sonderfall, der leider häufiger zu finden ist, wird eine Schnittstelle für mehrere Arbeits- und Themengebiete genutzt. Die damit vorhandenen Berechtigungen erlauben oft deutlich mehr als gewünscht: Erlaubte Kombinationen aus Berechtigungen von über zehn Fachabteilungen oder gar Vollberechtigungen (SAP_ALL oder S_RFC) sind nicht selten. Wehe dem, der meint, eine solche Schnittstelle zu schließen, wenn eine einzelne Fachabteilung diese für obsolet hält.
RFC-Schnittstellen immer im Blick: Altlasten loswerden und SAP-Sicherheit prüfen
Bei unseren RFC-Analysen mit dem SAST Interface Management-Modul stoßen wir erstaunlicherweise nahezu in jedem SAP-System auf RFC-Schnittstellen zu unbekannten oder ungewollten Dritten – wie sie zum Beispiel durch die Erstinstallation des Systems entstehen. Oft wurden diese einfach vergessen und nicht aus dem SAP-System entfernt. Zu den Relikten aus der Vergangenheit gehören leider auch Schnittstellen der SAP-Installation oder auch Test- und Demo-RFC-Verbindungen von Server-Umstellungen.
Wird ein Unternehmen größer, so wächst auch seine SAP-Systemlandschaft. Dabei nimmt die Anzahl der Kommunikationswege allerdings überproportional zu und es gibt immer mehr RFC-Schnittstellen zu noch mehr Quellen und Empfängern. Geht es um das Thema IT-Sicherheit, so stehen dann oft nur die wichtigsten Systeme im Fokus. Mehr Sinn macht hingegen eine Analyse der gesamten Systemlandschaft, da sich bei einer Bereinigung Synergieeffekte nutzen lassen. Änderungen an RFC-Schnittstellen setzen nämlich sehr oft ein Handeln und Prüfen auf beiden Seiten des Kommunikationswegs voraus. Nicht zuletzt sind RFC Gateway und Firewall-Konfigurationen zu prüfen. So lässt sich sicherstellen, dass die Einstellungen gleich für mehrere Systeme angepasst werden und eben nicht nur eine einzelne Schnittstelle, z.B. im ERP Produktiv-System, abgesichert ist.
Mit einer RFC-Schnittstellenanalyse prüfen Sie die Schnittstellenkonfiguration der gesamten SAP-Landschaft, und können Schwachstellen in Ihren Systemen ausfindig machen und beheben.
Sie haben Fragen zu unserem SAST Interface Management oder wollen mehr über die umfassende Absicherung Ihrer SAP-Systeme erfahren? Dann informieren Sie sich auf unserer SAST SOLUTIONS Website oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de
Martin Manns, Senior SAP & IT Security Consultant
(SAST SOLUTIONS der akquinet AG)
Diese Beiträge im SAST BLOG könnten Sie auch interessieren
Schritt für Schritt: So sichern und härten Sie Ihr SAP Gateway
Kritische SAP-Berechtigungen ohne Betriebsstörungen reduzieren