SAP Security: Schliesse die Lücken
Laut DSAG-Investitionsreport 2024 steht bei den SAP-Bestandskunden IT-Sicherheit mit 88 Prozent mittlerer und hoher Relevanz klar an erster Stelle der übergreifenden IT-Themen. Das ist gut so. Immer mehr kommt zu Bewusstsein, dass SAP-Landschaften nicht nur durch Bedrohungen von aussen gefährdet sind, sondern auch von innen.
So könnte ein neu eingestellter Mitarbeiter wissen wollen, wie viel seine neuen Kolleginnen und Kollegen verdienen. Um Gehaltslisten einsehen zu können, bräuchte er entweder eine SAP_All-Berechtigung oder Zugriffsrechte auf Transaktionen und Leserechte für Tabellen in SAP HCM. Die hat er zwar nicht, er verfügt jedoch aufgrund seiner Rolle über eine Debugging-Berechtigung, die es ihm ermöglicht, Änderungen sowohl im SAP Entwicklungs- als auch im SAP Produktivsystem vorzunehmen. Und genau hier tut sich eine Sicherheitslücke auf. Im Rahmen eines Debuggings manipuliert er das Produktivsystem so, dass die Berechtigungsprüfung umgangen wird und er – unbefugt – auf Gehaltsdaten zugreifen kann. In einem solchen Fall bieten selbst sauber gepflegte Berechtigungen keinen ausreichenden Schutz.
Dabei handelt es sich noch um ein - vergleichsweise - harmloses Szenario. Was, wenn ein Angreifer über Social-Engineering-Methoden an die Zugangsdaten eines ehemaligen Administrators gelangt, dessen Konto und Berechtigungen noch nicht gelöscht wurden? Dann sind auch die wertvollsten Informationen eines Unternehmens wie seine Produktions- und Entwicklungsdaten nicht mehr sicher. Und das auch dann nicht, wenn das Security-Team seine Hausaufgaben gemacht und klassische Sicherheitslösungen wie Antivirensoftware, Ransomware-Schutz, Firewall etc. sauber implementiert und konfiguriert hat.
Die Preisfrage lautet daher: Was können und sollten SAP-Bestandskunden tun, um die Lücken im Bereich SAP-Sicherheit zu schliessen?
Trau, schau, wem: Die 10 Grundsätze
Der Volksmund wusste es schon immer: Vertrauen kann gefährlich sein. In die IT-Sprache übersetzt heisst das: Der richtige Ausgangspunkt, um das Sicherheitsniveau in SAP-Landschaften zu erhöhen, ist der Zero-Trust-Ansatz. Wenn der Angreifer immer schon im System ist, darf man niemandem und nichts vertrauen und muss jeden und alles verifizieren. Dies gilt selbst dann, wenn Benutzer und Geräte über ein vertrauenswürdiges Netz wie einem Unternehmens-LAN auf SAP zugreifen und selbst wenn sie zuvor überprüft wurden.
Um ein wirksames Security-Konzept auf Basis des Zero-Trust-Ansatzes zu entwickeln, sollten sich SAP-Bestandskunden von 10 Grundsätzen leiten lassen:
1. Authenticity
Eine sichere Authentifizierung sollte stets und überall erzwungen werden.
2. Secrecy
Jegliche Kommunikation sollte abgesichert erfolgen.
3. Least privilege access
Berechtigungen sollten nur soweit gewährt werden, wie User sie benötigen, um genau das tun zu können, was sie tun sollen, aber auf keinen Fall mehr.
4. Safety
Unbekannten Geräten und Nutzern wird der Zugriff auf das Firmennetzwerk prinzipiell verwehrt.
5. Responsibility
Es muss jederzeit klar und überprüfbar sein, wer Änderungen an den Einstellungen vornimmt und welche; all das muss entsprechend protokolliert werden.
6. Actuality
Der gesamte IT-Stack von der Hardware über das Betriebssystem bis zu Datenbanken und SAP-Anwendungen ist stets auf dem aktuellen Stand zu halten; dementsprechend sollten SAP-Bestandskunden Sicherheits-Updates nach Bekanntgabe regelmässig bewertet und eingespielt werden.
7. Suspicion
Zero-Trust bedeutet permanentes Misstrauen, weshalb User-Rechte und ihre Rollen, Transaktionen, Dienste etc. regelmässig überprüft werden.
8. Consistency
Das Sicherheitsniveau muss bei jeder Änderung mindestens gleich hoch bleiben, Sicherheitsmassnahmen sind deshalb Pflichtbestandteil jeder Veränderung an der SAP-Landschaft.
9. Risk Aversion
Risiken werden nicht nur einmal erfasst und bewertet, sondern kontinuierlich, ebenso die Fehler, die unweigerlich passieren, um daraus zu lernen und mit geeigneten Gegenmassnahmen einzudämmen.
10. Resiliency
Die IT-Landschaft sollte Teilausfälle kompensieren können, etwa indem das Netzwerk segmentiert und mit je eigenen Richtlinien und Massnahmen abgesichert wird oder die Wiederherstellung von Services regelmässig geübt wird.
Diese Grundsätze bilden die Basis jeder effektiven Zero-Trust-Architektur, die SAP-Bestandskunden mithilfe geeigneter Tools und Prozesse, aber auch Partner implementieren können.
Laut DSAG-Investitionsreport 2024 steht bei den SAP-Bestandskunden IT-Sicherheit mit 88 Prozent mittlerer und hoher Relevanz klar an erster Stelle der übergreifenden IT-Themen. Das ist gut so. Immer mehr kommt zu Bewusstsein, dass SAP-Landschaften nicht nur durch Bedrohungen von aussen gefährdet sind, sondern auch von innen.
So könnte ein neu eingestellter Mitarbeiter wissen wollen, wie viel seine neuen Kolleginnen und Kollegen verdienen. Um Gehaltslisten einsehen zu können, bräuchte er entweder eine SAP_All-Berechtigung oder Zugriffsrechte auf Transaktionen und Leserechte für Tabellen in SAP HCM. Die hat er zwar nicht, er verfügt jedoch aufgrund seiner Rolle über eine Debugging-Berechtigung, die es ihm ermöglicht, Änderungen sowohl im SAP Entwicklungs- als auch im SAP Produktivsystem vorzunehmen. Und genau hier tut sich eine Sicherheitslücke auf. Im Rahmen eines Debuggings manipuliert er das Produktivsystem so, dass die Berechtigungsprüfung umgangen wird und er – unbefugt – auf Gehaltsdaten zugreifen kann. In einem solchen Fall bieten selbst sauber gepflegte Berechtigungen keinen ausreichenden Schutz.
Dabei handelt es sich noch um ein - vergleichsweise - harmloses Szenario. Was, wenn ein Angreifer über Social-Engineering-Methoden an die Zugangsdaten eines ehemaligen Administrators gelangt, dessen Konto und Berechtigungen noch nicht gelöscht wurden? Dann sind auch die wertvollsten Informationen eines Unternehmens wie seine Produktions- und Entwicklungsdaten nicht mehr sicher. Und das auch dann nicht, wenn das Security-Team seine Hausaufgaben gemacht und klassische Sicherheitslösungen wie Antivirensoftware, Ransomware-Schutz, Firewall etc. sauber implementiert und konfiguriert hat.
Die Preisfrage lautet daher: Was können und sollten SAP-Bestandskunden tun, um die Lücken im Bereich SAP-Sicherheit zu schliessen?
Trau, schau, wem: Die 10 Grundsätze
Der Volksmund wusste es schon immer: Vertrauen kann gefährlich sein. In die IT-Sprache übersetzt heisst das: Der richtige Ausgangspunkt, um das Sicherheitsniveau in SAP-Landschaften zu erhöhen, ist der Zero-Trust-Ansatz. Wenn der Angreifer immer schon im System ist, darf man niemandem und nichts vertrauen und muss jeden und alles verifizieren. Dies gilt selbst dann, wenn Benutzer und Geräte über ein vertrauenswürdiges Netz wie einem Unternehmens-LAN auf SAP zugreifen und selbst wenn sie zuvor überprüft wurden.
Um ein wirksames Security-Konzept auf Basis des Zero-Trust-Ansatzes zu entwickeln, sollten sich SAP-Bestandskunden von 10 Grundsätzen leiten lassen:
1. Authenticity
Eine sichere Authentifizierung sollte stets und überall erzwungen werden.
2. Secrecy
Jegliche Kommunikation sollte abgesichert erfolgen.
3. Least privilege access
Berechtigungen sollten nur soweit gewährt werden, wie User sie benötigen, um genau das tun zu können, was sie tun sollen, aber auf keinen Fall mehr.
4. Safety
Unbekannten Geräten und Nutzern wird der Zugriff auf das Firmennetzwerk prinzipiell verwehrt.
5. Responsibility
Es muss jederzeit klar und überprüfbar sein, wer Änderungen an den Einstellungen vornimmt und welche; all das muss entsprechend protokolliert werden.
6. Actuality
Der gesamte IT-Stack von der Hardware über das Betriebssystem bis zu Datenbanken und SAP-Anwendungen ist stets auf dem aktuellen Stand zu halten; dementsprechend sollten SAP-Bestandskunden Sicherheits-Updates nach Bekanntgabe regelmässig bewertet und eingespielt werden.
7. Suspicion
Zero-Trust bedeutet permanentes Misstrauen, weshalb User-Rechte und ihre Rollen, Transaktionen, Dienste etc. regelmässig überprüft werden.
8. Consistency
Das Sicherheitsniveau muss bei jeder Änderung mindestens gleich hoch bleiben, Sicherheitsmassnahmen sind deshalb Pflichtbestandteil jeder Veränderung an der SAP-Landschaft.
9. Risk Aversion
Risiken werden nicht nur einmal erfasst und bewertet, sondern kontinuierlich, ebenso die Fehler, die unweigerlich passieren, um daraus zu lernen und mit geeigneten Gegenmassnahmen einzudämmen.
10. Resiliency
Die IT-Landschaft sollte Teilausfälle kompensieren können, etwa indem das Netzwerk segmentiert und mit je eigenen Richtlinien und Massnahmen abgesichert wird oder die Wiederherstellung von Services regelmässig geübt wird.
Diese Grundsätze bilden die Basis jeder effektiven Zero-Trust-Architektur, die SAP-Bestandskunden mithilfe geeigneter Tools und Prozesse, aber auch Partner implementieren können.
