Quasi jedes Unternehmen individualisiert seine SAP-Systeme mit Eigenentwicklungen und schafft damit nicht selten versehentlich auch enorme Sicherheitslücken. Insbesondere vergessenes Coding, obsolet geworden durch Weiterentwicklungen der SAP oder nach nur kurzzeitigem Bedarf nicht gelöscht, liefert zusätzliche Angriffsflächen.

Analysen von AKQUINET zeigen, dass bis zu 90 % des ABAP-Codes nicht mehr genutzt werden. Denn diese wurden oft nur für einmalige Situationen geschrieben, seit dem nie angepasst und bieten so perfekte Hintertüren für Hacker oder Manipulationen.

Massive Sicherheitslücken durch ABAP-Eigenentwicklungen

Sicherlich kennen Sie diese Argumente, wenn es um Code Security geht:

• Der SAP-Standard sorgt für einen sicheren APAB-Code.
• Wir sichern unsere Infrastruktur und Berechtigungen – das reicht.
• Wir haben interne Code-Reviews nach dem 4-Augen-Prinzip.
• Das wird ja ein Riesenprojekt und bringt keinen messbaren Gegenwert.

Keine Sorge: Sie sind nicht allein. Viele Unternehmen zögerten bisher bei der Prüfung Ihrer Eigenentwicklungen und 3rd-Party Addons. Oder sie sind aufgrund der nahezu unüberschaubaren-Anzahl der Findings unzufrieden. Entwickler konzentrieren sich zudem bei der Programmierung in der Regel vollends auf Funktionalität und achten weniger auf Sicherheit. Dabei können Eigenentwicklungen, speziell im SAP-Bereich, erhebliche Sicherheitslücken bedeuten. Diese Schwachstellen werden schnell übersehen und ermöglichen so missbräuchliche Zugriffe auf SAP- und auch angeschlossene IT-Systeme.

Doch wie lässt sich nun die Vielzahl vermeintlich kritischer Sicherheitslücken zuverlässig bewerten und wo startet man mit einer Bereinigung?

Zusätzliche Angriffsflächen durch ungenutzte ABAP-Codes

Zunächst einmal müssen wir mit den Mythen zum Thema Code Security, wie oben beschrieben, aufräumen. Security ist wie eine Versicherung – sie kostet weniger Geld als ein erfolgreicher Angriff. Datensicherheit ist kein Luxus, sondern kann schnell existenzbedrohend werden.

Wer sich zum Beispiel ausschließlich auf den SAP-Standard verlässt, vernachlässigt, dass dieser insbesondere nicht für Eigenentwicklungen und Addons gilt. Zudem unterstützt der kostenlose SAP Code Inspector nur sehr simple line-by-line-Prüfungen. Das bietet keinen Schutz vor „Insider“-Manipulationen, die noch immer die häufigste Angriffsmethode darstellen.

Manuelle Prüfungen sind zudem unnötig aufwendig und bündeln andernorts benötigte Ressourcen in Unternehmen. Im Gegensatz dazu steht die Unterstützung durch ein Tool, das Unternehmen innerhalb kürzester Zeit entlastet.

Sicherheitslücken im ABAP-Coding zuverlässig schließen mit SAST

Der SAST Code Security Advisor (SAST CSA) identifiziert obsolete Codes und schafft einen Sicherheitsvorsprung, indem er auch gleich bei Neuentwicklungen eingesetzt wird. Das automatisch arbeitende Tool liefert priorisierte Findings und schont so erheblich die Ressourcen in Unternehmen. ABAP-Codes werden auf potentiell ausnutzbare Punkte geprüft und komplexe Schwachstellen einzeln unkritischer Findings identifiziert. Das schützt sowohl vor Datenverlust als auch vor Betrug. Zusätzlich kann obsoleter Code mit dem neuen Tool ganz einfach stillgelegt werden. SAP-Systeme sind historisch gewachsen, was man immer wieder am Umfang ungenutzten Codings sieht. Deswegen sollten Entscheider zuallererst aufräumen und nicht verwendete Programme schnellstmöglich deaktivieren.

Für die Identifizierung der schwerwiegendsten Sicherheitslücken bietet der Code Security Advisor eine Risikobewertung, angereichert mit Kennzahlen (z.B. Nutzerstatistiken) und erleichtert so erheblich die Priorisierung bei der Bereinigung. Statt wie so häufig hunderttausender Findings bekommen IT-Entscheider bei uns vor allem die wirklich kritischen Fälle angezeigt, zusätzlich versehen mit individuellen Handlungsempfehlungen aus einem vordefinierten Regelwerk. SAP-Verantwortliche, die bereits einen Code-Scanner im Einsatz haben, können das Modul on top als SAST CSA Cleansing einsetzen. Damit grenzen Sie die Anzahl der False-Positives signifikant ein und schonen die Ressourcen im Team für die Bereinigung.

Wichtig: die ganzheitlich geplante Absicherung

Unternehmen, die ihre Schwachstellen im ABAP-Code angehen, sollten auch die Entwickler mit einbinden und entsprechend schulen. Durch den Austausch werden Lernprozesse angestoßen, die für die Zukunft richtungsweisend sind. Neuentwicklungen auf Schwachstellen zu prüfen, spart viel Geld. Denn die Behebung von Fehlern ist am Anfang erheblich preiswerter als erst während der Produktion oder gar nach einem Systemausfall.

Die Vorteile des SAST Code Security Advisors

• Der Quellcode verlässt zu keinem Zeitpunkt das Unternehmen, denn der SAST CSA wird direkt in Ihr SAP-System eingespielt.
• Werthaltige Risikobewertung für Sie zur Priorisierung bei der Bereinigung.
• Konzentration auf die relevanten Schwachstellen durch signifikant weniger False-Positive-Findings.
• Identifizierung komplexer Schwachstellen einzeln unkritischer Findings.
• Automatische Silllegung Ihres obsoleten ABAP-Codes und damit Schutz vor versteckten Backdoors.
• Unterstützung bei der Behebung der Findings durch aussagekräftige Hinweistexte und Lösungsvorschläge.
• Als Lizenzmodell oder Managed Service verfügbar.

Sie wollen mehr über die Absicherung Ihrer SAP-Systeme und den Code Security Advisor erfahren? Dann informieren Sie sich auf unserer SAST SOLUTIONS Website oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de

 

 

 

 

 

Patrick Boch, Produktmanager SAST SOLUTIONS