SAP-Sicherheit durch Virenschutz: Praktische Bedeutung für den Betrieb von SAP-Systemen

SAST Blog: SAP-Sicherheit durch Virenschutz: Bedeutung für den praktischen Betrieb von SAP-SystemenEs ist hinlänglich bekannt, dass SAP-Systeme ein attraktives Ziel für Hacker und Manipulationen darstellen. Denn hier versammeln sich alle sensiblen Unternehmensdaten an einem Ort. Umso wichtiger ist es, sie vor unbefugten Zugriffen zu schützen. Dazu gehört neben den klassischen Maßnahmen zur Verbesserung der SAP-Sicherheit und -Compliance auch ein umfangreicher Virenschutz, der speziell an die Anforderungen von SAP-Systemen angepasst ist.

In gängigen Portalanwendungen, wie SAP eRecruiting, SAP Supplier Relationship Management (SRM) oder SAP Knowledge Management and Collaboration (KMC) laden Benutzer Dateien in ihre Portalanwendung hoch, welche dann von der SAP NetWeaver-Plattform in der Datenbank gespeichert werden. Diese Uploads können jedoch nicht durch Standard-Virenscan-Produkte gesichert werden. Es besteht das Risiko, dass mit Malware infizierte Inhalte aus dem SAP-System gespeichert und an interne und externe Benutzer weitergegeben werden. So können diese möglicherweise Schaden erleiden.

Erweiterter Virenschutz dank SAP Viren-Scan-Schnittstelle (VSI)

Um der Gefahr, dass durch einen Upload kompromittierter Content in SAP-Systeme gelangt, entgegen zu wirken, wurde die SAP Viren-Scan-Schnittstelle (VSI) in der Spezifikation 2.0 entwickelt. Sie ermöglicht die Verwendung externer Antivirenlösungen (AV) zur Überprüfung verschiedener Attachments zwischen SAP-Systemkomponenten (z.B. zwischen Anwendungsservern und Frontend-Clients).

SAP verwendet VSI nicht nur für klassischen Antivirenschutz, sondern auch für das Analysieren und Filtern von Inhalten. Zu unterscheiden sind demnach:

  • Klassische Virenprüfung anhand von Signaturdateien.
  • Sperren aktiver Inhalte in Dokumenten, z.B. Javascript.
  • Erkennen und Filtern von Dokumenten auf Basis des Dokumententyps.
  • Datei-Scan, um nur lokal gespeicherte Dateien zu scannen.
  • Speicher-Scan zum Scannen von Binärobjekten, die sich im Speicher befinden.
  • SAR-Scan: SAR (SAP Archive Repository) ist das SAP-eigene Archivformat zur Bereitstellung von Softwareinhalten.

Damit offenbart sich, dass eine potenzielle Gefahr nicht ausschließlich von klassisch mit Viren verseuchten Dokumenten, die in der Regel bei Aufruf am Clientsystem im Unternehmen von implementierten Virenschutzlösungen entdeckt werden würde, ausgeht. Ebenso können Dokumente, die schadhaften aktiven Content beinhalten und beispielsweise Cross-Site-Scripting (XSS) Angriffe ermöglichen würden, gefährlich sein. XSS-Angriffe finden sich nach aktueller Auswertung der OpenWebApplicationSecurityProject (OWASP) weiterhin auf der Liste der Top-10-Gefahrenquellen wieder und bilden damit weiterhin eine signifikante Gefahr für die Systemsicherheit.

SAP-Sicherheit durch Virenschutz: Zunächst Schutzbedarfe ermitteln.

Ob ein zusätzlicher Schutz gegen Viren und sonstige Malware für die betreffende SAP-Systemlandschaft notwendig ist oder nicht, kann durch eine Analyse der Einsatzszenarien und möglicher Upload-Kanäle ermittelt werden. Dabei werden auch mögliche Gefahrenpotentiale aufgedeckt. Neben typischen http-Uploads von Dateien, z.B. im HCM E-Recruiting-Umfeld über browserbasierte Frontends, können Uploads auch über SAP-FIORI-Apps erfolgen. Hochgeladene Dokumente werden unter anderem in SAP-Fiori-Apps ohne weitere sicherheitsbezogene Prüfungen angezeigt. Handelt es sich um ein Dokument mit schadhaftem Inhalt, kann ein Download oder bereits die Anzeige unbeabsichtigte Vorgänge im Frontend auslösen. Das führt schlussendlich zu siteübergreifenden Schwachstellen im Scripting. Aktuell bieten verschiedene SAP-Fiori-Apps die Möglichkeit, Dokumente hochzuladen oder anzuzeigen.

Virenschutz für SAP-Systeme: so aktuell wie nie.

Die Notwendigkeit des Einsatzes zusätzlicher Abwehrmechanismen unter Nutzung der SAP VSI Schnittstelle ist weiterhin aktuell. Eine genaue Aussage, ob und welche Systeme hierbei relevant und schützenswert sind, sollte eine Analyse der Einsatzszenarien unter Berücksichtigung von Eintrittswahrscheinlichkeit und Schutzbedarfskategorisierung der jeweiligen Systeme ergeben.

Die Prüfung, inwieweit die SAP-Viren-Scan-Schnittstelle aktiviert und verwendet wird, ist unter anderem ein fester Bestandteil der technischen Prüfung von SAP-Systemen mit Hilfe der SAST SUITE. Gerne beraten wir Sie bei der Beurteilung und Auswahl geeigneter Maßnahmen zum Schutz gegen Viren und zur Abwehr von Gefahren unter Nutzung der SAP-VSI-Schnittstelle und in diesem Zusammenhang zur Verfügung stehende Lösungen. Melden Sie sich bei uns oder informieren Sie sich auf unserer SAST SOLUTIONS Website.

Axel Giese (SAST SOLUTIONS)
Axel Giese (SAP Security Consulting, SAST SOLUTIONS)

 

Diese Beiträge könnten Sie auch interessieren:

RFC-Schnittstellen in SAP-Landschaften: ein Überblick

Schritt für Schritt: So sichern und härten Sie Ihr SAP Gateway