SAP-Sicherheit: 5 Wege, wie Sie garantiert Opfer eines Hackerangriffs werden

Hackerangriffe bedrohen SAP-Sicherheit: Alles Panikmache?(Eine nicht ganz ernst gemeinte Handlungsanweisung.)
Seien wir doch mal ehrlich: IT-Sicherheit im Allgemeinen und SAP-Sicherheit im Speziellen ist gerade ein ziemlicher Medienhype. Aber ist da wirklich was dran? Schlagzeilen, die von Millionen verlorener Datensätze sprechen, betreffen doch immer die anderen – ob nun Equifax im fernen Amerika oder chinesische Hacker, die sich organisiert in große Technologie-Firmen hacken. Alles Panikmache.

Hackerangriffe: Keine Gefahr für Ihre SAP-Sicherheit – oder doch?

Sie glauben mir nicht? Natürlich gibt es einzelne Hacker. Das sind aber doch meistens Kids, die nichts mit ihrer Zeit anfangen können. Auf SAP-Systeme sind die gar nicht aus, denen geht es doch nur um den Spaß. Maßnahmen, um SAP-Systeme zu schützen, kosten nur unnötig Aufwand und Nerven und bringt im Endeffekt gar nichts. Lesen Sie selbst:

1. SAP Gateway absichern

Gateway absichern? Warum? Natürlich kann theoretisch und unter bestimmten Voraussetzungen jeder in meine SAP-Systeme eindringen, und das sogar ohne Passwort und Username. Aber die Wahrscheinlichkeit ist doch ziemlich gering. Externe Berater sind im SAP-Umfeld ja sowieso selten. Und auf Ihre Mitarbeiter ist doch Verlass. Insider-Angriffe – noch so ein unbewiesener Hype. Was soll denn bitte passieren? Wenn mein Produktionssystem stillsteht und alle Geschäftsprozesse manuell erledigt werden müssten, wie es vor 50 Jahren der Fall war – was soll‘s? Damals hat es schließlich auch funktioniert.

2. SAP-Systeme und Applikationen absichern

Die Hersteller werden sich schon etwas dabei gedacht haben, als sie ihre Systeme programmiert haben. Egal ob Betriebssystem, Netzwerk oder Datenbank – Sie können sich darauf verlassen, dass in zig Millionen Zeilen Code garantiert kein Fehler steckt. Ihre eigenen Entwickler sind selbstverständlich über jeden Verdacht erhaben – die wissen, wie man korrekt und sicher programmiert. Die Administratoren, die ja sowieso nur kaputte Drucker reparieren müssen, haben sogar einen noch einfacheren Job. Wozu gibt es Handbücher und Wizards, die bei den Einstellungen helfen? Da kann man nicht viel falsch machen, eine extra Absicherung bindet nur Ressourcen, bringt aber nichts.

3. SAP-Berechtigungen korrekt setzen

Nicht nur, dass die Medien und Fachleute auf dem Thema Sicherheit herumreiten. Das Thema Compliance ist noch so ein Modewort ohne Substanz. Was ist schon dabei, wenn ein Sachbearbeiter einen Lieferanten anlegen und gleichzeitig Rechnungen überweisen kann – ohne Limitprüfung. Im Gegenteil spart es ja eine Menge Aufwand, gleich allen Mitarbeitern volle Berechtigungen zu geben. Wer kann denn schon mit SAP_ALL ein SAP-System komplett lahmlegen? Doch nur echte Experten. Und ein Angriffsziel sind ihre Systeme nicht – wer will schon die sensiblen Daten eines kleinen Mittelständers abgreifen? Böse Insider, die bei einem Jobwechsel Daten klauen? Alles Märchen! Wobei Sie sich schon wundern, wie Ihr direkter Konkurrent so schnell auf Ihre Preisänderungen reagiert – und das fast zeitgleich mit dem Wechsel ihres Vertriebschefs zu ebendiesem Konkurrenten…

4. Echtzeitüberwachung zur SAP-Sicherheit etablieren

Natürlich haben Sie ein e-Recruiting Portal, das täglich von tausenden Nutzern besucht wird. Und ja, das Portal hat eine direkte Verbindung zu Ihrem SAP-System, in dem Ihre wichtigsten Daten liegen. Aber Bots, die automatisiert gängige Schwachstellen durchsuchen oder Nutzer und Passwörter im Millisekunden-Takt durchprobieren? Das erscheint Ihnen doch arg unwahrscheinlich. Warum also Geld in ein SIEM-System investieren, das nur unglaublich viele Daten erzeugt, durch die sich niemand auch nur annähernd durchwühlen kann. Filter, Korrelationen von ungewöhnlichen Aktivitäten, Hinweise auf gezielte Angriffe – alles Buzzwords, die von den Herstellern in die Welt gesetzt werden, um Panik zu schüren. Und dann muss jemand auch noch ständig in Alarmbereitschaft sein. Für den unwahrscheinlichen Fall, dass ein Angreifer die IT-Infrastruktur mal überwindet, muss er  dann zusätzlich noch eine Sicherheitslücke im SAP-System oder anderen Applikationen finden. Das fällt den Administratoren sicherlich sofort auf. Die wiederum haben ja genügend Zeit, und ein kaputter Drucker kann auch mal ein paar Minuten warten.

5. Sicherheitsupdates installieren

Vielleicht sind nicht alle Softwarehersteller unfehlbar, aber wenn mal eine Sicherheitslücke auftritt – lassen Sie sich Zeit mit dem Einspielen des Fixes. So schnell ist kein Hacker, dass er zwei Wochen nach Veröffentlichung des Patches schon ein Werkzeug zur Ausnutzung bereit hielte. Für SAP-Systeme gilt das doppelt – schließlich wird auch der bösartigste Hacker dafür Verständnis zeigen, dass Ihr SAP-System Ihre Produktion steuert und sie es deswegen nicht einfach mal eben durchstarten können. Außerdem kosten die vielen manuellen Tätigkeiten beim Einspielen der Patches richtig viel Zeit – und Zeit ist Geld. Dagegen ist die Gefahr, bei stillstehender Produktion nur ein paar Milliönchen zu verlieren, ein akzeptables Risiko.

SAP-Sicherheit & Compliance: Systeme vollumfänglich absichern und vor Hackerangriffen schützen

Die fünf Argumente haben Sie nicht überzeugt? Sehr gut, denn wie Sie sich sicher schon gedacht haben, sollten sie das auch nicht. Ganz im Gegenteil: In Zeiten, in denen fast wöchentlich ein neuer Hackangriff oder Datenverlust öffentlich wird, spielt IT-Sicherheit eine immer wichtigere Rolle. Die oben genannten Punkte spiegeln dabei nur einige der Themen wider, auf die Sie, sollten Sie sie noch nicht in Ihrer Strategie berücksichtigen, ab jetzt gesteigerten Wert legen sollten. Gerade SAP-Systeme – in denen bei den meisten Firmen die wichtigsten und sensibelsten Daten lagern – sollten umfänglich abgesichert werden. Die SAST SUITE und das SAST-Berater-Team bieten Ihnen genau dies: eine umfängliche Absicherung Ihrer SAP-Systemlandschaft in Echtzeit sowie Expertenwissen für Ihre individuellen Anforderungen.

Sie wollen wissen, wie das gelingt? Dann informieren Sie sich gerne auf unserer SAST SOLUTIONS Website oder nehmen Sie direkt Kontakt zu uns auf: sast@akquinet.de

Patrick Boch (Produktmanager SAST SOLUTIONS)
Patrick Boch, Produktmanager SAST SOLUTIONS

 

Weitere Artikel für Ihre SAP-Sicherheit und -Compliance:

SAP Security & Compliance: „Kunden brauchen Lösungsanbieter.“

SAP-Sicherheit und Hosting: 40 SAP-Systeme auf einen Streich hacken