Tipps von Deloitte: 5 Sicherheits-Schwachstellen in SAP-Systemen

Das SAP-System ist die digitale Schatzkammer vieler Unternehmen. Hier liegen sämtliche Daten und Angaben zu Unternehmensstruktur und Prozessen. Angriffe können nicht nur finanziellen Schaden, sondern auch enorme Einbußen an Reputation und Vertrauen aufseiten der Kunden und Anteilseigner zur Folge haben. [...]

Ein typisches Sicherheitsrisiko im SAP-Umfeld ist der Zugriff auf das ERP-System von außerhalb des Firmennetzwerks über Remote-Function-Call-Verbindungen (RFC). Die RFC-Schnittstelle ermöglicht Funktionsaufrufe zwischen zwei SAP-Systemen oder zwischen einem SAP- und einem externen System. Hier weist Deloitte auf fünf Versäumnisse hin, die einen unerwünschten Zugriff über RFC-Verbindungen begünstigen.
 
1. Benutzerkonten unzureichend geschützt
Softwareanbieter liefern alle Installationen mit den sogenannten Standardbenutzern wie SAP oder DDIC aus. Alle Benutzer-IDs und die zugehörigen voreingestellten Passwörter sind bei jeder Auslieferung zunächst gleich und diese Angaben sind über Internetportale allgemein zugänglich. Die Kenntnis von Teilen von Benutzername und Passwort erleichtert unbefugte Zugriffe sehr, so Deloitte.
 
2. RFC-Schnittstelle schlecht konfiguriert
Mit den gerade genannten Kenntnissen können Mitarbeiter mithilfe einer frei im Web erhältlichen Software uneingeschränkt auf kritische Unternehmensdaten auf Tabellenebene zugreifen, wenn die RFC-Schnittstellen unzureichend geschützt sind. Das gilt auch, wenn sie nicht über die dafür notwendigen Transaktionsberechtigungen innerhalb des SAP-Systems verfügen.
 
3. Firmennetzwerk unzureichend gesichert
Das Risiko eines unerlaubten Zugriffs erhöhen auch unzureichende Sicherheitsmaßnahmen für das Firmennetzwerk. Hier nennt Deloitte insbesondere Lücken in der Firewall-Konfiguration (offene Ports) und eine mangelhafte Auswertung der Zugriffsprotokolle.
4. Zu geringe Komplexität der Passworteinstellungen
In der Systemkonfiguration bietet SAP die Möglichkeit, Eigenschaften und Umgang mit Passwörtern vorzugeben. Verlangen die Systemeinstellungen keine sonderlich komplexen Passwörter oder wird das Nutzerkonto nicht gesperrt, wenn das Passwort mehrfach falsch eingegeben wurde, können Passwörter mit geringem Aufwand geknackt werden.
 
5. Unsichere Konfiguration der RFC-Verbindungen

Ebenfalls in der Systemkonfiguration werden Parametereinstellungen für ein- und ausgehende RFC-Verbindungen festgelegt. Entsprechende Objekte innerhalb von Zugriffsberechtigungen ermöglichen es zugeordneten Benutzern dann, RFC-Verbindungen aufzubauen. Damit erlangt der Nutzer laut Deloitte nicht nur Zugriff auf Daten, sondern kann diese sogar aus dem System heraus übertragen.
 
MAßNAHMEN ZUR VERESSERUNG DER CYBER SECURITY IN SAP-SYSTEMEN

Um das Risiko unerlaubter Zugriffe zu senken, sind vier Bereiche im Auge zu behalten. Alle Maßnahmen aus diesen Bereichen müssen durch Sicherheitsrichtlinien etabliert werden. Diese Richtlinien umfassen verbindliche Vorgaben für die Bewertung von Nutzeranfragen und sie definieren exakt, wie Berechtigungsänderungen umzusetzen und kritische Zugriffsrechte zu überwachen sind.
 
1. SAP-Systemsicherheit optimieren
Hier gilt es, die Einstellung der Parameter für Passwörter, Anmeldeversuche, RFC-Verbindungen und Berechtigungsprüfungen zu optimieren. Zudem empfiehlt Deloitte, Schutzebenen für Standardbenutzer und Berechtigungen zu implementieren.
 
2. Rollenkonzept verfeinern
In diesem Bereich ist ein transparentes und aufgabenbezogenes Rollenkonzept wichtig. Die Rollen sollten nach dem Prinzip der minimalen Berechtigung ausgestaltet und Funktionen in der Basis-Administration nach Anforderungen getrennt werden. Besonders zu beachten ist die korrekte Ausprägung relevanter Berechtigungsobjekte innerhalb von Rollen und Profilen.
3. Notfallbenutzer-Konzept auswerten

Notfallkonzepte sollten ohne SAP-Standardberechtigungen auskommen. Nach der Verwendung von Notfall-Usern empfiehlt Deloitte in jedem Fall, die Protokollierung hinsichtlich kritischer Zugriffe auszuwerten. Liegen Abweichungen vor, sollten Gegenmaßnahmen eingeleitet werden.Sch
 
SAP-NETZWERK-VERINDUNGEN SICHERN

4. Prozesse überwachen
Überwachungsprozesse minimieren das Risiko, indem Schwachstellen entweder präventiv vermieden oder schnell identifiziert werden, um Gegenmaßnahmen einzuleiten. Speziell die Überwachung der Maßnahmen zu den vorangegangenen Punkten schafft ein stabiles Fundament und unterstützt ein etabliertes Risikoniveau nachhaltig.
 
Als weitere Maßnahmen können SAP-Netzwerkverbindungen über den SAP-Router gezielt und abgesichert aus dem eigenen Netzwerk in ein anderes weitergeleitet werden. Der SAP-Router arbeitet mit SNC (Secure Network Communications). Dabei werden die zu übermittelnden Daten zuverlässig authentifiziert und verschlüsselt und so sichere Netzwerkverbindungen hergestellt. Um Schwachstellen zu vermeiden, empfiehlt Deloitte ferner, auch für die Infrastruktur- und Middleware-Komponenten der SAP-Landschaft geeignete Sicherheitsmaßnahmen umzusetzen.
* Michael Kallus ist Redakteur der deutschen CIO.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*