07.07.2021

SAP-Security: Warum SIEM nicht alles erkennt und auf einem Ohr taub ist.

Wie man SAP-Incidents dennoch Gehör verschafft, schildert Ihnen unser CTO Ralf Kempf in der aktuellen Ausgabe des it management Magazins, online auf it-daily.net.

Für die SAP-Sicherheit greift die übliche SIEM-Überwachung oft zu kurz, da die speziellen SAP-Protokolle und -Auswertungen nicht verstanden und folglich keine Angriffsmuster ausgemacht und erkannt werden können.

Warum dies so ist, was Unternehmen tun können, um SAP dennoch in ihr Monitoring zu integrieren, und warum diese ganzheitliche Absicherung sogar zusätzliche Vorteile mit sich bringen kann, lesen Sie im folgenden Beitrag

SIEM (Security Information and Event Management) dient der Sicherheit der IT-Umgebungen von Unternehmen und Organisationen und kombiniert Security Information Management (SIM) und Security Event Management (SEM), um Echtzeitanalysen von Sicherheitsalarmen zu erstellen. Durch das Sammeln, Korrelieren und Auswerten von Logdaten, Meldungen, Alarmen und Logfiles werden Angriffe, außergewöhnliche Muster oder gefährliche Trends erkannt. Damit bietet SIEM einen Überblick über sicherheitsrelevante Ereignisse in IT-Umgebungen und hilft, gesetzliche Vorgaben, Richtlinien und Compliance-Regularien der IT-Sicherheit zu erfüllen. Die wesentlichen Aufgaben: Berichte über sicherheitsrelevante Vorfälle wie erfolgreiche oder fehlgeschlagene Anmeldungen, aber auch Malwareund andere mögliche schädigende Aktivitäten bereitzustellen und Benachrichtigungen zu senden, wenn die Analyse ergibt, dass eine Aktivität gegen vorgegebene Regelsätze verstößt und somit auf ein mögliches Sicherheitsproblem hinweist.

Die Funktionsweise von SIEM

Kritische Aktivitäten können durch die Bündelung von Daten an einer zentralen Stelle, durch Analysemuster und Trends frühzeitig erkannt werden. Das Sammeln und die Interpretation der Daten erfolgen in Echtzeit und die gewonnenen Informationen werden unveränderbar gespeichert. Gängige Quellen für SIEM sind etwa Server, Firewalls, Router, IPS und IDS. Deren Daten werden an eine zentrale Station weitergeleitet, die sie für die Speicherung sichert, normalisiert, strukturiert und auswertet. Die Analysen nutzen Regeln, Korrelationsmodelle, maschinelles Lernen und künstliche Intelligenz, um Beziehungen zwischen den Einträgen zu generieren und Auffälligkeiten zu erkennen. Ein Angriff wird im Gegensatz zu anderen Security-Maßnahmen also nicht im Vorfeld abgewehrt, dessen Auswirkungen und Ausweitung können aber zum Beispiel durch Alarmierungen reduziert werden. Zudem erlauben diese und auch automatisierte Berichte Reaktionen auf unterschiedliche Bedrohungen in Echtzeit und nachträgliche Nachweise von Sicherheitsereignissen. Leider funktioniert dieses Prinzip kaum bei SAP-Systemen.

Parallelwelten: SAP und SIEM

Dass SIEM und SAP sich sozusagen auf Anhieb missverstehen, hat eine ganze Reihe von Gründen: So hat das SIEM seinen Ursprung in der klassischen Netzwerktechnik, aus Zeiten unter DOS und Ethernet mit großen eigenständigen Mainframe-Applikationen für Rechnungswesen, Controlling, Finanzwirtschaft, alle voneinander abgekoppelt. Als dann der IT-Kosmos immer vernetzter wurde, begann man mit SIEM zu überwachen, was auf dem Netzwerk-Layer passiert, mit den Fragestellungen, woher eigentlich eine Information stammt, wer darauf zugreift, was man bereits kennt oder was eben aus der Reihe fällt. Wichtig sind also Rule Sets, mit denen man prüft, was auf dem Netzwerk passiert, und daraus Schlüsse für die Sicherheit zieht. Klassische SIEM-Tools betrachten daher nicht einzelne Applikationen, sondern IT-Infrastrukturen. In den letzten Jahren wurde immer deutlicher, dass man auch Applikationen einbeziehen muss, ob Microsoft Dynamics, ein Produktplanungstool oder ein SPS in der Produktion. Bezüglich SAP folgt nun jedoch das große Aber: Es unterscheidet sich gravierend von anderen Applikationen und ist quasi ein Netzwerk für sich, mit SAP kann ich sehr viele verschiedene Dinge tun, sowohl mit Rollen und Berechtigungen als auch hinsichtlich Security. Viele Mechanismen sind zwar der IT sehr ähnlich, aber SAP differiert bereits hinsichtlich Nomenklatur und Rule Sets. Für die Netzwerktechnik und den Rest der IT ist SAP also quasi eine fremde Welt mit einer anderen Sprache und eigener Diktion. Deswegen findet sich in den Firmen auch noch oft die Trennung SAP und Rest der IT.

SAP stößt bei SIEM auf taube Ohren – müsste es aber nicht

Klassische SIEM-Tools konzentrieren sich auf die Erkennung ungewöhnlichen Verhaltens innerhalb von Infrastrukturen. SAP-Systeme werden dabei oft nicht gehört. Schafft man keinen Zugang zu SAP, erkennt SIEM wenig mehr als ein Art Grundrauschen von Logs mit Millionen Einträgen, die am Ende kaum jemand deuten kann oder will. Anders gesagt: Für SIEM-Tools liegen SAP-Systeme im toten Winkel, denn sie haben keine speziellen SAP-Prüfregeln. Aufgrund fehlender Angriffsmuster werden Bedrohungen und auch Prüf-Attacken von Security-Teams daher meist nicht identifiziert...

 

[Lesen Sie den vollständigen Artikel kostenlos online auf it-daily.net / it management in der Ausgabe Juli/August 2021 oder alternativ im SAST Blog]

Beitrag teilen

Zurück

Datenschutzeinstellungen

Klicken Sie auf »Info«, um eine Übersicht über alle verwendeten Cookies zu erhalten. Sie können Ihre Zustimmung nur zu den erforderlichen Cookies oder auch zu den Cookies für Statistiken geben. Die Auswahl erfolgt freiwillig. Sie können diese Einstellungen jederzeit ändern bzw. die Cookies im Browser nachträglich jederzeit löschen. Wählen Sie die Option »Statistik« aus, so erstreckt sich Ihre Einwilligung auch auf die Verarbeitung in den USA, die vom Europäischen Gerichtshof als Land mit unzureichendem Datenschutzniveau eingeschätzt werden. Weiterführende Informationen finden Sie in unseren Datenschutzhinweisen und im Impressum.

In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Statistik
Name Leadfeeder
Technischer Name _lfa
Anbieter Leadfeeder
Ablauf in Tagen 730
Datenschutz https://www.leadfeeder.com/privacy/
Zweck Cookie von Leadfeeder für Website-Analysen. Erzeugt anonyme statistische Daten darüber, wie der Besucher die Website nutzt.
Erlaubt
Name Google Repcatcha
Technischer Name googleRepcatcha
Anbieter Google LLC
Ablauf in Tagen 0
Datenschutz https://policies.google.com/privacy
Zweck Anti-Spam Schutz.
Erlaubt
Gruppe Externe Medien
Name YEXT - Suchleiste
Technischer Name yext
Anbieter Yext GmbH
Ablauf in Tagen 0
Datenschutz https://www.yext.de/privacy-policy/
Zweck Ermöglicht die intelligente Suche über YEXT.
Erlaubt
Name Podigee
Technischer Name Podigee
Anbieter Podigee GmbH
Ablauf in Tagen 0
Datenschutz https://www.podigee.com/de/about/privacy
Zweck Ermöglicht die Nutzung des Podigee Podcast Players.
Erlaubt
Name Google Maps
Technischer Name googleMaps
Anbieter
Ablauf in Tagen 6491
Datenschutz
Zweck Ermöglicht die Nutzung von Google Maps.
Erlaubt
Name ClickDimensions
Technischer Name cuvid,cusid,cuvon,cd_optout_accountkey
Anbieter ClickDimensions
Ablauf in Tagen 730
Datenschutz https://clickdimensions.com/solutions-security-and-privacy/
Zweck Cookie von ClickDimensions für Website-Analysen. Erzeugt anonyme statistische Daten darüber, wie der Besucher die Website nutzt.
Erlaubt
Name YouTube
Technischer Name youTube
Anbieter Google LLC
Ablauf in Tagen 0
Datenschutz https://policies.google.com/privacy
Zweck Ermöglicht die Nutzung des Youtube Videoplayers.
Erlaubt
Name Google Analytics
Technischer Name _gid,_ga,1P_JAR,ANID,NID,CONSENT,_ga_JT5V6CR8ZH,_gat_gtag_UA_133169400_1,_gat_gtag_UA_141664271_1,_gat_gtag_UA_127185455_1,_gat_gtag_UA_127561508_1,_gat_gtag_UA_194226577_1
Anbieter Google LLC
Ablauf in Tagen 730
Datenschutz https://policies.google.com/privacy
Zweck Cookie von Google für Website-Analysen. Erzeugt anonyme statistische Daten darüber, wie der Besucher die Website nutzt.
Erlaubt
Gruppe Essenziell
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name Contao HTTPS CSRF Token
Technischer Name csrf_https-contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt
Copyright Pathlock Deutschland GmbH