Onapsis warnt vor vermeintlicher SAP-Sicherheit
Fünf typische Aussagen belegen eine noch zu große Sorglosigkeit bei den IT-Security-Verantwortlichen – Gefahr für unternehmenswichtige Anwendungen und Prozesse.
München/Boston, 27.08.2015 – Gefühlte Sicherheit ist häufig der erste Schritt in die reale Gefahr. Das gilt auch für das Feld der SAP-Sicherheit: Trotz permanenter Anstrengungen des Software-Herstellers besteht hier weiter Handlungsbedarf. Viele IT-Verantwortliche in Unternehmen übersehen neu entstehende Gefahren oder unterschätzen den Aufwand, ihre SAP-Landschaften und Geschäftsprozesse abzusichern. Häufig fehlen ihnen aber auch die nötigen Ressourcen. Zudem wiegen sich viele Beteiligte in vermeintlicher Sicherheit.
Die Experten von Onapsis, dem global agierenden Experten für die Sicherheit geschäftswichtiger Anwendungen, warnen daher vor den fünf am weitesten verbreiteten Mythen und Schutzbehauptungen rund um die Sicherheit von SAP-Umgebungen, die sie in Gesprächen mit IT-Verantwortlichen in Unternehmen häufig hören:
Mythos 1: „Wir patchen regelmäßig unsere SAP-Systeme“
IT-Abteilungen in Unternehmen sind einen großen Teil ihrer Zeit damit beschäftigt, neue SAP-Patches zu implementieren. Viele kommen dieser Aufgabe kaum nach, weil die Installation sehr vieler Updates mit hohem Aufwand verbunden ist. Die meisten dieser Aktualisierungen sind allerdings nicht sicherheitsrelevant, sondern verbessern die Funktionalität des Systems und beseitigen technische Probleme. Wer sicherheitsrelevante Patches ohne eine vorherige Analyse der bestehenden Infrastruktur und der eigenen Geschäftsabläufe einspielt, schafft oft neue Risiken für den Ablauf der Geschäftsprozesse. Vielen IT-Verantwortlichen ist nicht bewusst, dass zwischen dem Auftreten einer neuen SAP-spezifischen Bedrohung und der Implementierung eines dafür entwickelten Patches im Schnitt rund 18 Monate vergehen – ein enorm langes Zeitfenster, in dem das Unternehmensnetzwerk potenziell gefährdet ist. Das haben Analysen von Onapsis ergeben.
Mythos 2: „Auf unsere SAP-Plattform kann man nur intern zugreifen.“
Es gibt kein rein internes Netzwerk mehr. Fast jede IT-Infrastruktur verfügt mittlerweile über Zugänge, über die externe Anwender auf die Plattformen und Geschäftsprozesse zugreifen können. Viele SAP-Systeme sind beispielsweise über Web-Anwendungen, SAP HANA oder SAP Mobile, aber auch über SAP-Umgebungen, die in der Cloud eingerichtet werden, an das Internet angebunden. Dass ein Zugang über eine App auch den Zugang zu allen SAP-Instanzen bedeuten kann, ist vielen Anwendern und IT-Verantwortlichen nicht bewusst. Über gezielte Spear-Phishing-Attacken auf einzelne Mitarbeiter verschaffen sich Hacker die dafür notwendigen Zugangsdaten. Auch Zulieferer haben Zugang auf die SAP-Plattform. Diese können sie missbrauchen oder sie können durch Dritte für Angriffe missbraucht werden. Nicht zu vergessen sind auch die eigenen Mitarbeiter, die mobile Anbindungen etwa für ihre eigenen Zwecke nutzen können. Auch Kundenportale eignen sich als Einfallstor.
Mythos 3: „Unser SAP-Sicherheits-Team kümmert sich um die Gefahren.“
Viele Teams fokussieren sich in Sachen Sicherheit vor allem auf den klassischen Segregation-of-Duties-Ansatz. Dieser regelt vermeintlich alle Aspekte der Sicherheit durch die Kontrolle von Nutzerrollen und Autorisierungen. Das ist sinnvoll, sorgt aber nicht für vollständige Sicherheit. Denn viele Angriffe zielen auf den Transaktions-Layer ab und hebeln den SoD-Ansatz aus. Vielen Verantwortlichen in den Fachabteilungen fehlen die Fähigkeiten, Hilfsmittel und Ressourcen, um Sicherheitslücken auf dem Transaktions-Layer zu beheben und Angriffe auf dieser Ebene abzuwehren.
Zudem sind die Zuständigkeiten in Sachen SAP-Sicherheit oft schlecht verteilt. Nicht wenige CISOs beauftragen hierfür IT-Sicherheitsadministratoren, die keinen Überblick und Einblick in die SAP-Plattform haben. Bisweilen weisen sich Fachabteilungen, IT-Administratoren und CISOs die Verantwortungen gegenseitig zu. Fortschrittliche Unternehmen haben die Kompetenzen hingegen mittlerweile klar geregelt und technische Ressourcen bereitgestellt, damit jeder seine Aufgaben auch erledigen kann. Hier haben viele Organisationen noch Handlungsbedarf.
Mythos 4: „Das können nur hochkompetente Angreifer!“
Diese Aussage greift zu kurz, denn es gibt diese Angreifer durchaus. Die technischen Fähigkeiten unlauterer Wettbewerber, verärgerter Mitarbeiter, Hacktivisten oder fremder Staaten dürfen Unternehmen in ihrer technischen Kompetenz nicht unterschätzen. Und selbst talentierte Skript-Skiddies finden mittlerweile im Internet genug Informationen und Anleitungen für Angriffe auf SAP-Systeme.
Mythos 5: „Wir werden auf SAP HANA migrieren, und damit sind wir sicher.“
SAP HANA wird nicht alle Probleme lösen. Je weiter sich die Plattform verbreitert, umso attraktiver wird sie für Angreifer. Der Softwarehersteller ist sich der Problematik bewusst und reagiert. 2014 nahm die Zahl der Sicherheitspatches für SAP HANA gegenüber dem Vorjahr um 450 Prozent zu. 82 Prozent der Patches wurden als „high priority“ eingeschätzt.
„Die Ergebnisse unserer Penetration-Tests zur Überprüfung der SAP-Sicherheit, die wir im Auftrag unserer Kunden durchführen, sprechen eine deutliche Sprache: Die Mehrzahl der Systeme weist enorme Sicherheitslücken auf“, erklärt Gerhard Unger, Vice President EMEA/APAC bei Onapsis. „Auch HANA wird diese Problematik nicht lösen. Das kann man auch von keiner Plattform verlangen. Wichtig ist neben der umfassenden Unterstützung durch den Software-Hersteller und klassischen Sicherheitsansätzen wie SOD und GRC vor allem die grundlegende Überprüfung der Risiken auf der Transaktionsebene – sei es SAP Netweaver oder SAP HANA. Lösungen, die automatisch und schnell SAP-Instanzen auf ihre Schwachstellen überprüfen, in Echtzeit Angriffe entdecken und automatisch IT-Abteilungen zu Abwehrmaßnahmen anhalten sowie auffälliges Anwenderverhalten überwachen, bleiben weiter unentbehrlich.“