Tipps von Deloitte: 5 Sicherheits-Schwachstellen in SAP-Systemen

Das SAP-System ist die digitale Schatzkammer vieler Unternehmen. Hier liegen sämtliche Daten und Angaben zu Unternehmensstruktur und Prozessen. Angriffe können nicht nur finanziellen Schaden, sondern auch enorme Einbußen an Reputation und Vertrauen aufseiten der Kunden und Anteilseigner zur Folge haben. [...]

Ein typisches Sicherheitsrisiko im SAP-Umfeld ist der Zugriff auf das ERP-System von außerhalb des Firmennetzwerks über Remote-Function-Call-Verbindungen (RFC). Die RFC-Schnittstelle ermöglicht Funktionsaufrufe zwischen zwei SAP-Systemen oder zwischen einem SAP- und einem externen System. Hier weist Deloitte auf fünf Versäumnisse hin, die einen unerwünschten Zugriff über RFC-Verbindungen begünstigen.
 
1. Benutzerkonten unzureichend geschützt
Softwareanbieter liefern alle Installationen mit den sogenannten Standardbenutzern wie SAP oder DDIC aus. Alle Benutzer-IDs und die zugehörigen voreingestellten Passwörter sind bei jeder Auslieferung zunächst gleich und diese Angaben sind über Internetportale allgemein zugänglich. Die Kenntnis von Teilen von Benutzername und Passwort erleichtert unbefugte Zugriffe sehr, so Deloitte.
 
2. RFC-Schnittstelle schlecht konfiguriert
Mit den gerade genannten Kenntnissen können Mitarbeiter mithilfe einer frei im Web erhältlichen Software uneingeschränkt auf kritische Unternehmensdaten auf Tabellenebene zugreifen, wenn die RFC-Schnittstellen unzureichend geschützt sind. Das gilt auch, wenn sie nicht über die dafür notwendigen Transaktionsberechtigungen innerhalb des SAP-Systems verfügen.
 
3. Firmennetzwerk unzureichend gesichert
Das Risiko eines unerlaubten Zugriffs erhöhen auch unzureichende Sicherheitsmaßnahmen für das Firmennetzwerk. Hier nennt Deloitte insbesondere Lücken in der Firewall-Konfiguration (offene Ports) und eine mangelhafte Auswertung der Zugriffsprotokolle.
4. Zu geringe Komplexität der Passworteinstellungen
In der Systemkonfiguration bietet SAP die Möglichkeit, Eigenschaften und Umgang mit Passwörtern vorzugeben. Verlangen die Systemeinstellungen keine sonderlich komplexen Passwörter oder wird das Nutzerkonto nicht gesperrt, wenn das Passwort mehrfach falsch eingegeben wurde, können Passwörter mit geringem Aufwand geknackt werden.
 
5. Unsichere Konfiguration der RFC-Verbindungen

Ebenfalls in der Systemkonfiguration werden Parametereinstellungen für ein- und ausgehende RFC-Verbindungen festgelegt. Entsprechende Objekte innerhalb von Zugriffsberechtigungen ermöglichen es zugeordneten Benutzern dann, RFC-Verbindungen aufzubauen. Damit erlangt der Nutzer laut Deloitte nicht nur Zugriff auf Daten, sondern kann diese sogar aus dem System heraus übertragen.
 
MAßNAHMEN ZUR VERESSERUNG DER CYBER SECURITY IN SAP-SYSTEMEN

Um das Risiko unerlaubter Zugriffe zu senken, sind vier Bereiche im Auge zu behalten. Alle Maßnahmen aus diesen Bereichen müssen durch Sicherheitsrichtlinien etabliert werden. Diese Richtlinien umfassen verbindliche Vorgaben für die Bewertung von Nutzeranfragen und sie definieren exakt, wie Berechtigungsänderungen umzusetzen und kritische Zugriffsrechte zu überwachen sind.
 
1. SAP-Systemsicherheit optimieren
Hier gilt es, die Einstellung der Parameter für Passwörter, Anmeldeversuche, RFC-Verbindungen und Berechtigungsprüfungen zu optimieren. Zudem empfiehlt Deloitte, Schutzebenen für Standardbenutzer und Berechtigungen zu implementieren.
 
2. Rollenkonzept verfeinern
In diesem Bereich ist ein transparentes und aufgabenbezogenes Rollenkonzept wichtig. Die Rollen sollten nach dem Prinzip der minimalen Berechtigung ausgestaltet und Funktionen in der Basis-Administration nach Anforderungen getrennt werden. Besonders zu beachten ist die korrekte Ausprägung relevanter Berechtigungsobjekte innerhalb von Rollen und Profilen.
3. Notfallbenutzer-Konzept auswerten

Notfallkonzepte sollten ohne SAP-Standardberechtigungen auskommen. Nach der Verwendung von Notfall-Usern empfiehlt Deloitte in jedem Fall, die Protokollierung hinsichtlich kritischer Zugriffe auszuwerten. Liegen Abweichungen vor, sollten Gegenmaßnahmen eingeleitet werden.Sch
 
SAP-NETZWERK-VERINDUNGEN SICHERN

4. Prozesse überwachen
Überwachungsprozesse minimieren das Risiko, indem Schwachstellen entweder präventiv vermieden oder schnell identifiziert werden, um Gegenmaßnahmen einzuleiten. Speziell die Überwachung der Maßnahmen zu den vorangegangenen Punkten schafft ein stabiles Fundament und unterstützt ein etabliertes Risikoniveau nachhaltig.
 
Als weitere Maßnahmen können SAP-Netzwerkverbindungen über den SAP-Router gezielt und abgesichert aus dem eigenen Netzwerk in ein anderes weitergeleitet werden. Der SAP-Router arbeitet mit SNC (Secure Network Communications). Dabei werden die zu übermittelnden Daten zuverlässig authentifiziert und verschlüsselt und so sichere Netzwerkverbindungen hergestellt. Um Schwachstellen zu vermeiden, empfiehlt Deloitte ferner, auch für die Infrastruktur- und Middleware-Komponenten der SAP-Landschaft geeignete Sicherheitsmaßnahmen umzusetzen.
* Michael Kallus ist Redakteur der deutschen CIO.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*