{"id":2967,"date":"2021-07-06T13:49:25","date_gmt":"2021-07-06T11:49:25","guid":{"rendered":"https:\/\/sast-solutions.de\/blog-de\/?p=2967"},"modified":"2021-07-06T14:36:59","modified_gmt":"2021-07-06T12:36:59","slug":"sap-security-siem-taube-ohren-wie-sap-incidents-gehoer-verschaffen","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2021\/07\/06\/sap-security-siem-taube-ohren-wie-sap-incidents-gehoer-verschaffen\/","title":{"rendered":"SAP Security: Warum SIEM auf diesem Ohr taub ist und wie man SAP-Incidents dennoch Geh\u00f6r verschafft"},"content":{"rendered":"

\"SASTF\u00fcr die SAP-Sicherheit greift die \u00fcbliche SIEM-\u00dcberwachung oft zu kurz, da die speziellen SAP-Protokolle und -Auswertungen nicht verstanden und folglich keine Angriffsmuster ausgemacht und erkannt werden k\u00f6nnen. Warum dies so ist, was Unternehmen tun k\u00f6nnen, um SAP dennoch in ihr Monitoring zu integrieren und warum diese ganzheitliche Absicherung sogar zus\u00e4tzliche Vorteile mit sich bringen kann, erkl\u00e4rt unser CTO Ralf Kempf dem IT Management Magazin<\/strong> in der Juli\/August Ausgabe.<\/p>\n

<\/p>\n

 <\/p>\n

SIEM (Security Information and Event Management) dient der Sicherheit der IT-Umgebungen von Unternehmen und Organisationen und kombiniert Security Information Management (SIM) und Security Event Management (SEM), um Echtzeitanalysen von Sicherheitsalarmen zu erstellen. Durch das Sammeln, Korrelieren und Auswerten von Logdaten, Meldungen, Alarmen und Logfiles werden Angriffe, au\u00dfergew\u00f6hnliche Muster oder gef\u00e4hrliche Trends erkannt. Damit bietet SIEM einen \u00dcberblick \u00fcber sicherheitsrelevante Ereignisse in IT-Umgebungen und hilft, gesetzliche Vorgaben, Richtlinien und Compliance-Regularien der IT-Sicherheit zu erf\u00fcllen. Die wesentlichen Aufgaben: Berichte \u00fcber sicherheitsrelevante Vorf\u00e4lle wie erfolgreiche oder fehlgeschlagene Anmeldungen, aber auch Malware- und andere m\u00f6gliche sch\u00e4digende Aktivit\u00e4ten bereitzustellen und Benachrichtigungen zu senden, wenn die Analyse ergibt, dass eine Aktivit\u00e4t gegen vorgegebene Regels\u00e4tze verst\u00f6\u00dft und somit auf ein m\u00f6gliches Sicherheitsproblem hinweist.<\/p>\n

Die Funktionsweise von SIEM<\/strong><\/h2>\n

Kritische Aktivit\u00e4ten k\u00f6nnen durch die B\u00fcndelung von Daten an einer zentralen Stelle, durch Analysemuster und Trends fr\u00fchzeitig erkannt werden. Das Sammeln und die Interpretation der Daten erfolgen in Echtzeit und die gewonnenen Informationen werden unver\u00e4nderbar gespeichert. G\u00e4ngige Quellen f\u00fcr SIEM sind etwa Server, Firewalls, Router, IPS und IDS. Deren Daten werden an eine zentrale Station weitergeleitet, die sie f\u00fcr die Speicherung sichert, normalisiert, strukturiert und auswertet. Die Analysen nutzen Regeln, Korrelationsmodelle, maschinelles Lernen und k\u00fcnstliche Intelligenz, um Beziehungen zwischen den Eintr\u00e4gen zu generieren und Auff\u00e4lligkeiten zu erkennen. Ein Angriff wird im Gegensatz zu anderen Security-Ma\u00dfnahmen also nicht im Vorfeld abgewehrt, dessen Auswirkungen und Ausweitung k\u00f6nnen aber zum Beispiel durch Alarmierungen reduziert werden. Zudem erlauben diese und auch automatisierte Berichte Reaktionen auf unterschiedliche Bedrohungen in Echtzeit und nachtr\u00e4gliche Nachweise von Sicherheitsereignissen. Leider funktioniert dieses Prinzip kaum bei SAP-Systemen.<\/p>\n

Parallelwelten: SAP und SIEM<\/strong><\/h2>\n

Dass SIEM und SAP sich sozusagen auf Anhieb missverstehen hat eine ganze Reihe von Gr\u00fcnden: So hat das SIEM seinen Ursprung in der klassischen Netzwerktechnik, aus Zeiten unter DOS und Ethernet mit gro\u00dfen eigenst\u00e4ndigen Mainframe Applikationen f\u00fcr Rechnungswesen, Controlling, Finanzwirtschaft, alle voneinander abgekoppelt. Als dann der IT-Kosmos immer vernetzter wurde, begann man mit SIEM zu \u00fcberwachen, was auf dem Netzwerk-Layer passiert, mit den Fragestellungen, woher eigentlich eine Information stammt, wer darauf zugreift, was man bereits kennt oder was eben aus der Reihe f\u00e4llt. Wichtig sind also Rule Sets, mit denen man pr\u00fcft, was auf dem Netzwerk passiert, und daraus Schl\u00fcsse f\u00fcr die Sicherheit zieht. Klassische SIEM-Tools betrachten daher nicht einzelne Applikationen, sondern IT-Infrastrukturen. In den letzten Jahren wurde jedoch immer deutlicher, dass man auch Applikationen einbeziehen muss, ob Microsoft Dynamics, ein Produktplanungstool oder ein SPS in der Produktion. Bez\u00fcglich SAP folgt nun jedoch das gro\u00dfe Aber: Es unterscheidet sich gravierend von anderen Applikationen und ist quasi ein Netzwerk f\u00fcr sich, mit SAP kann ich sehr viele verschiedene Dinge tun, sowohl mit Rollen und Berechtigungen als auch hinsichtlich Security. Viele Mechanismen sind zwar der IT sehr \u00e4hnlich, aber SAP differiert bereits hinsichtlich Nomenklatur und Rule Sets. F\u00fcr die Netzwerktechnik und den Rest der IT ist SAP also quasi eine fremde Welt mit einer anderen Sprache und eigener Diktion. Deswegen findet sich in den Firmen auch noch oft die Trennung SAP und Rest der IT.<\/p>\n

SAP st\u00f6\u00dft bei SIEM auf taube Ohren \u2013 m\u00fcsste es aber nicht<\/strong><\/h2>\n

Klassische SIEM-Tools konzentrieren sich also auf die Erkennung ungew\u00f6hnlichen Verhaltens innerhalb von Infrastrukturen. SAP-Systeme werden dabei jedoch oft nicht geh\u00f6rt. Schafft man keinen Zugang zu SAP, erkennt SIEM wenig mehr als ein Art Grundrauschen von Logs mit Millionen Eintr\u00e4gen, die am Ende kaum jemand deuten kann oder will. Anders gesagt: F\u00fcr SIEM-Tools liegen SAP-Systeme im toten Winkel, denn sie haben keine speziellen SAP-Pr\u00fcfregeln. Aufgrund fehlender Angriffsmuster werden Bedrohungen und auch Pr\u00fcf-Attacken von Security-Teams daher meist nicht identifiziert. Exceptions in SAP k\u00f6nnen auf Netzwerkebene unauff\u00e4llig scheinen und sind nur erkennbar, wenn man die Applikation selbst betrachtet. Diese Verst\u00e4ndnisprobleme f\u00fchren dazu, dass viele das Thema SAP gar nicht oder als Letztes anfassen, weil man ja lieber das angeht, was man versteht. Darum wird SAP oft stiefm\u00fctterlich behandelt und daher geschieht es h\u00e4ufig, dass selbst Unternehmen, die hochprofessionell IT-Security betreiben, die SIEM im Einsatz haben und alle Non-SAP-Bereiche par excellence beherrschen, SAP unwissentlich oder gar wissentlich ausblenden. Weil sie etwa hoffen, dass ihre SAP-Mitarbeiter dies irgendwie selbst kontrollieren, dass das unvollst\u00e4ndige SIEM schon ausreichen wird oder weil man vielleicht nicht einmal wei\u00df, dass es die M\u00f6glichkeit gibt, diese L\u00fccke zu schlie\u00dfen. Hier muss sich wohl so mancher CISO von Unternehmen, die SIEM bereits im Einsatz haben, fragen lassen: Seid Ihr sicher, dass Ihr SAP auch ausreichend betrachtet? Falls nicht \u2013 f\u00fchrt beide Welten zusammen, denn dies macht einfach Sinn.<\/p>\n

Das Beste aus beiden Welten<\/strong><\/h2>\n

Da die Netzwerker effiziente Tools zur \u00dcbersicht geschaffen, dabei aber h\u00e4ufig vergessen haben, dass es um sie herum noch andere Welten gibt, gilt es im Rahmen ganzheitlicher Absicherung nun, beide Welten zum Vorteil des Unternehmens zusammenzuf\u00fchren. Und hier kommt Software wie die SAST SUITE<\/a>\u00a0ins Spiel, die Events aus dem Applikationslayer herauszieht und so transportiert und \u00fcbersetzt, dass die SIEM-Netzwerker damit etwas anfangen k\u00f6nnen. Die Erkennung von Angriffen auf Basis von Log-Dateien und die Auswertung von Netzwerkverkehr erfordert tiefe Kenntnisse \u00fcber Angriffswege und -muster. Um diese Security-Daten auswerten zu k\u00f6nnen, ist ein intelligentes Management aller Informationen notwendig. Die sicherheitsrelevanten Events m\u00fcssen aus der F\u00fclle der Daten herausgefiltert und in den richtigen Kontext gestellt werden.<\/p>\n

\"SAST<\/p>\n

Der SAST Security Radar<\/a>\u00a0analysiert zur Gefahrenerkennung daher nicht nur SAP-Protokolle, sondern integriert auch Konfigurations- und Rollenanalysen. Die SAST SUITE speist diese Informationen aus SAP praktisch \u201eout of the box\u201c in bestehende SIEM-Systeme aller Couleur ein und macht sie auswertbar. Das funktioniert vom kleinen bis zu den weltgr\u00f6\u00dften SAP-Systemen unserer Kunden, teilweise f\u00fcr \u00fcber 1.000 Systeme. Ein weiterer Vorteil ist das Security Dashboard: Durch die Integration mit einem \u00fcbergreifenden SIEM-Tool k\u00f6nnen alle sicherheitsrelevanten Vorf\u00e4lle von SAP ERP- und S\/4HANA Systemen mit anderen relevanten IT-Systemen konsolidiert werden. So findet SAP im SIEM Geh\u00f6r und Unternehmen erhalten auf Knopfdruck eine bewertete Dashboard-basierte Darstellung ihres gesamten Sicherheitsstatus.<\/p>\n

\"Ralf
\nRalf Kempf (CTO SAST SOLUTIONS)<\/strong><\/p>\n

Dieser Artikel ist im IT Management Magazin Juli\/August 2021<\/strong> erschienen und steht als kostenloser online Leser-Service auf it-daily.net<\/a> zur Verf\u00fcgung: https:\/\/www.it-daily.net\/leser-service<\/a><\/p>\n

 <\/p>\n

Das k\u00f6nnte Sie auch interessieren:<\/h2>\n

Warum es wichtig ist, Transaktionen in SAP-Systemen zuverl\u00e4ssig zu \u00fcberwachen<\/a><\/p><\/blockquote>\n