Wissen Sie zu jeder Zeit wer auf die sensiblen Daten Ihrer SAP-Archivserver zugreift? In unseren Penetrationstests erleben wir es immer wieder: die Angriffe auf SAP-Archivsysteme waren nicht nur erfolgreich, sondern wurden nicht einmal bemerkt.
Checkliste zur Absicherung Ihrer SAP-Archivsysteme
Woran liegt das? Archiv- und Contentsysteme sind häufig nicht in Prüfungen oder Datensicherheitskonzepten eingebunden. Es fehlt eine Härtung der Infrastruktur ebenso wie ein Administrations- und Zugriffskonzept. Wenn außerdem auch noch ein zuverlässiges Security Monitoring fehlt und keine Integration in die SIEM-Überwachung stattfindet, sind die Archivsysteme vollkommen ungeschützt vor Manipulationen oder Cyber-Attacken.
Vom Gesetzgeber gibt es keine besonderen Anforderungen für archivierte Daten. Somit werden Schutzbedarfseinstufungen und Hardening-Maßnahmen für Archivsysteme oftmals nicht definiert und umgesetzt, da diese bei der Wirtschaftsprüfung oder Internal Audits nicht im Fokus stehen. Demzufolge liegen sensible Daten vielfach ungeschützt in den Archivsystemen und erlauben Unbefugten den Zugriff.
Tipp 1: Sichern Sie Ihr SAP-Archivsystem ab
– Machen Sie eine Schutzbedarfseinstufung für das System als Ganzes und für jedes Archivobjekt. Konfigurieren Sie auf dieser Grundlage die Berechtigungen und das Monitoring.
– Schützen Sie Ihr Netzwerk, die Betriebssysteme und Datenbanken.
– Nutzen Sie fälschungssichere URLs und SecKeys in Kombination mit SSL/TLS.
– Verschlüsseln Sie die Datenübertragung zwischen Ihren Produktiv- und Archivsystemen.
Tipp 2: Optimieren Sie Ihre SAP-Berechtigungen
– Minimieren Sie die Zugriffsmöglichkeiten auf Ihre Archivsysteme und beschränken Sie die CSADMIN-Zugriffe.
– Verwenden Sie die Standard-Berechtigungsobjekte S_ARCHIVE und S_BDS_**.
– Erlauben Sie keine Lesezugriffe auf Tabelle TOA**.
– Vergeben Sie das Objekt S_GUI für Downloads nicht generell.
– Sperren Sie die Reports RSCMSEC, RSCMSIM und SRCMSPWS bzw. zugehörige Transaktionen.
Tipp 3: Absicherung Ihrer temporären Dateien und Ihrer Dateiablage
– Gewähren Sie nur einem SIDADM-User Zugriff auf Archivdateien.
– Transaktionen über SAP-Tools wie AL11 darf nur für Archivadmins möglich sein.
– Löschen Sie temporäre Dateien nach Abschluss des Archivlaufs.
– Überwachen Sie Downloads von Archivdateien.
Tipp 4: Erkennen Sie Zugriffe und Missbrauch mit SIEM-Tools
– Auswertung des Netzwerks und Operation Systems sowie der DB-, Security Audit und Archiv Server Logs.
– Dokumentieren Sie administrative Zugriffsversuche sowie unüblicher Zugriffe und verfolgen Sie diese.
– Erfassen Sie Änderungen an Benutzern und Berechtigungen.
– Analysieren Sie kritische und auch massenhafte Downloads.
– Halten Sie Änderungen an eingecheckten Dokumenten fest.
Mit diesen Empfehlungen für einmalige Konfigurationen und auch permanente Überwachungen verbessern Sie die Sicherheit Ihrer SAP-Archivsysteme deutlich.
Security-Tools, wie das SAST SECURITY RADAR der AKQUINET GRC-Software SAST SUITE, sind eine perfekte Ergänzung. Im Gegensatz zu normalen SIEM-Tools ist das SAST-Modul umfangreicher, spezialisiert auf die Absicherung von SAP-Systemen und sichert zudem mehr als nur den allgemeinen Teil von Komponenten.
Haben Sie Fragen oder wünschen Sie sich weitere Informationen? Dann kommen Sie gerne auf uns zu: sast@akquinet.de
Ralf Kempf (CTO SAST SOLUTIONS)