{"id":1453,"date":"2019-01-07T10:31:34","date_gmt":"2019-01-07T09:31:34","guid":{"rendered":"https:\/\/securityblog.akquinet.de\/?p=1453"},"modified":"2021-05-10T14:02:23","modified_gmt":"2021-05-10T12:02:23","slug":"sap-systeme-insider-attacken","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2019\/01\/07\/sap-systeme-insider-attacken\/","title":{"rendered":"SAP-Systeme laut Studie besonders anf\u00e4llig f\u00fcr Insider-Attacken"},"content":{"rendered":"

\"SASTNach vielen Jahren in der SAP-Sicherheit erstaunt es mich immer wieder, wie viel Hollywood doch zu den Diskussionen um Cybersicherheit beigetragen hat. Das Bild vom Hacker, der in seinem Kellerloch mit mehreren Monitoren sitzt und sich mithilfe kryptischer Befehle in Netze von Unternehmen hackt, dominiert weiterhin die Wahrnehmung. Dabei zeigt der k\u00fcrzlich erschienene \u201eInsider Threat 2018 Report<\/a>\u201c, dass Insider-Attacken das weitaus gr\u00f6\u00dfere Problem darstellen. F\u00fcr die Sicherheit von SAP-Systemen gilt das \u00fcbrigens doppelt und dreifach. Warum das so ist und welche Gefahren die gr\u00f6\u00dfte Rolle dabei spielen, erl\u00e4utern wir in diesem Beitrag.<\/p>\n

<\/p>\n

Vermutlich kommt Ihnen beim Gedanken an einen Insider erneut ein weiteres, von Hollywood inspiriertes Bild in den Kopf: Ein Mitarbeiter, der schwei\u00dfgebadet vor einem Rechner sitzt \u2013 der Statusbalken, der partout die 100% nicht erreichen will \u2013 und der Chef im Anmarsch. Tatsache ist aber, dass auch dieses Bild nicht unbedingt repr\u00e4sentativ ist, wenn es um Insider-Angriffe geht.<\/p>\n

Unstrukturierte Berechtigungskonzepte und komplexe Systemlandschaften beg\u00fcnstigen Sicherheitsvorf\u00e4lle<\/h2>\n

Der \u201eInsider Threat 2018 Report<\/a>\u201c des Marktforschungsunternehmens Crowd Research Partners geht davon aus, dass \u00fcber die H\u00e4lfte der Insider-Attacken (51%) auf das Konto von Mitarbeitern, die aus Versehen oder ungewollt Probleme verursachen, geht. Die Gr\u00fcnde daf\u00fcr sind dann auch eine direkte Spiegelung der Probleme, von denen SAP-Systeme haupts\u00e4chlich betroffen sind.<\/p>\n

So wird als wichtigster Grund<\/strong> (37%) f\u00fcr ungewollte Sicherheitsvorf\u00e4lle die Tatsache genannt, dass Berechtigungen zu gro\u00dfz\u00fcgig vergeben<\/strong> werden. In SAP-Systemen, in denen Rollen und Berechtigungen fast schon eher hysterisch als historisch gewachsen sind, tritt das Problem besonders deutlich zutage. Kein Wunder, werden doch viele Kernprozesse in SAP abgewickelt. Und durch die Komplexit\u00e4t eines ERP-Systems ist es f\u00fcr Administratoren \u2013 die nicht unbedingt \u00fcber die notwendigen Fachkenntnisse verf\u00fcgen, um Berechtigungen entsprechend einzuschr\u00e4nken \u2013 einfacher, Berechtigungen \u00fcber allgemeine Rollenbeschreibungen zuzuweisen.<\/p>\n

Apropos Komplexit\u00e4t: Auf Platz drei<\/strong> der Gr\u00fcnde f\u00fcr Sicherheitsprobleme landet eine zunehmende Komplexit\u00e4t<\/strong> der entsprechenden Systeme, was 35% der Befragen als kritisch einsch\u00e4tzen. Auch hier ist SAP besonders betroffen: S\/4 HANA, C\/4 HANA, die SAP-Cloud \u2013 neue Produkte, die in den meisten F\u00e4llen der bestehenden Systemlandschaft hinzugef\u00fcgt werden. Und das bei einem Produkt, das mit 320 Millionen Zeilen Code schon wesentlich komplexer ist als andere Softwareprodukte.<\/p>\n

90% der Studienteilnehmer f\u00fchlen sich verwundbar durch Insider-Attacken<\/h2>\n

Der zweite Platz<\/strong> geht \u00fcbrigens an einen Umstand, der sich thematisch genau in der Mitte zwischen den gro\u00dfz\u00fcgigen Berechtigungen und der zunehmend komplexeren Technologie platziert: Immer mehr Ger\u00e4te haben Zugriff auf sensible Informationen.<\/strong> 36% der befragten Personen sch\u00e4tzen dies als Problem ein. Noch eben schnell den Urlaub des Mitarbeiters auf dem Weg ins Auto genehmigt, im Stau ein kurzer Blick auf die letzten Quartalszahlen: SAP UI5 bzw. Fiori erm\u00f6glicht genau diese Szenarien. SAP Leonardo mit der Integration des \u201eInternets der Dinge\u201c sei dabei noch nicht einmal erw\u00e4hnt!<\/p>\n

Kein Wunder also, dass zwei Drittel (66%) der befragten Unternehmen sich mehr Sorgen um Angriffe von innen machen als um Attacken von au\u00dfen. Wobei fairerweise gesagt sein sollte, dass Sicherheitsvorf\u00e4lle \u201eaus Versehen\u201c vor allem durch Phishing-Attacken erfolgen. 67% der Studienteilnehmer heben dieses Problem speziell hervor. Damit kommt der Report zu einem eindeutigen Fazit: 90% f\u00fchlen sich verwundbar durch Insider-Attacken.<\/p>\n

Die beste Vorsorge: eine grundlegende Absicherung aller SAP-Systeme<\/h2>\n

SAP-Verantwortliche stellen sich nat\u00fcrlich die Frage, wie sie Insider-Attacken am Besten begegnen k\u00f6nnen. Die Antwort ist so einfach wie logisch: die SAP-Systemlandschaft so weit wie m\u00f6glich abzusichern. Auf drei Bereiche sollte dabei besonders Acht gegeben werden:<\/p>\n

    \n
  1. Berechtigungen<\/strong>: Das Rollenkonzept hat das Potential, gleich an zwei Stellen f\u00fcr sicherheitsrelevante Probleme zu sorgen:\n