SAP-Sicherheit und Hosting: 40 SAP-Systeme auf einen Streich hacken

| @securityblog

SAP-Sicherheit und HostingDas „On-Premise“-Modell der SAP, bei dem der Kunde die Software aus Walldorf eigenverantwortlich betreibt, ist trotz des Cloud-Hypes noch immer die Norm. Das heißt nicht, dass nicht ein Dienstleister einen Teil des Betriebes übernimmt – Hosting ist ein weit verbreitetes Modell, besonders im Mittelstand. In einem solchen Hosting-Modell sind die Rollen normalerweise klar verteilt. Leider trifft das für die Sicherheit der SAP-Systeme nicht immer zu.

Warum Ihr Hosting-Anbieter nicht so sicher ist, wie Sie vielleicht denken

Ein von AKQUINET durchgeführter Penetrationstest verdeutlicht die Problematik. Von einem Kunden wurden wir gebeten, in deren SAP-System einzubrechen. Nach einer guten Stunde konnten wir bereits einen Erfolg vermelden, denn wir hatten vollen Zugriff auf den SolutionManager. Etwas überraschend informierte der Kunde uns jedoch dann darüber, dass er diesen SolutionManager selbst gar nicht betreibt. Dies fiel in den Aufgabenbereich seines Hosting Providers. Wir erweiterten daraufhin unseren Pentest – und konnten auf einmal auf die SAP-Systeme von gut 40 Kunden zugreifen!

Zugegeben, diese Episode liegt schon einige Zeit zurück und ist nicht repräsentativ für die meist sehr gute Infrastruktur, die Hosting Provider bieten. Sie verdeutlicht aber, dass die Verträge zwischen Kunde und Dienstleister, die sogenannten Service Level Agreements (SLAs), das Thema Sicherheit oft ungenügend oder nur sehr dürftig behandeln. Um das zu verstehen, ist ein kleiner Ausflug in die unterschiedlichen Modelle nötig, die Hosting Provider bieten. Grob gesagt spielen zwei Varianten die größte Rolle in diesem Umfeld: Entweder betreibt der Hoster lediglich die Hardware, oder aber der Dienstleister übernimmt zusätzlich den Betrieb der SAP Basis.

Viele Unklarheiten zwischen Kunde und Hosting Provider bei der Absicherung von SAP-Systemen

Beide Varianten haben ein hohes Potential für Unwägbarkeiten, die Absicherung der Systeme betreffend. Im ersten Fall liegt die Sicherheit von Server, Netzwerk und Betriebssystem eindeutig beim Provider. Aber was ist mit den Einstellungen im SAP-System, die auf eine dieser Komponenten zugreifen? Liegt der SAP Gateway, um ein Beispiel zu nehmen, in der Verantwortung des Kunden, obwohl hier ja – rein physisch gesehen – eine Datei auf dem Betriebssystem direkt liegt? Was ist mit der Absicherung der Datenbank bzw. des Datenbank-Users für das SAP-System?

Wenn der Provider zusätzlich das SAP-System betreibt, wird es noch komplexer. Rollen und Berechtigungen sollten dann beispielsweise vom Kunden definiert und umgesetzt werden. Und wie sieht es mit kritischen Berechtigungskombinationen aus, die theoretisch einen umfassenden Zugriff auf die SAP-Basis ermöglichen? Fallen diese in den Verantwortungsbereich des Kunden oder des Hosting Providers? Was ist mit vom Kunden entwickelten Anwendungen, die Zugriff auf das Dateisystem oder die Webservices erfordern? In Zeiten von UI5 und Browser-Access eine hochaktuelle Fragestellung.

Mehr SAP-Sicherheit durch klare Verantwortlichkeiten

Um durch unklare Verantwortlichkeiten Sicherheitsrisiken zu vermeiden, sollten Kunde und Hoster im Vorfeld das Thema Sicherheit unbedingt mit einbeziehen. Ein guter Ansatzpunkt, um die Abgrenzung klar vornehmen zu können, sind immer die verfügbaren Standards und Leitlinien, entweder von der SAP selbst oder auch der Prüfleitfaden der DSAG. Ein weiterer Baustein sollte eine kontinuierliche Absicherung sein, die nicht nur die üblichen Infrastrukturkomponenten, sondern auch das SAP-System berücksichtigt.

Wir bieten mit unserem Security Radar innerhalb der SAST SUITE nicht nur eine solche Überwachung, sondern über die weiteren Module der SAST SUITE zusätzlich eine Analyse des aktuellen Sicherheitsstatus, die regelmäßig abgerufen werden kann. So können Unstimmigkeiten zwischen Provider und Kunde zeitnah geklärt werden.

Sie interessieren sich für weitere Informationen zu  unserer SAST SUITE oder wollen mehr über die umfassende Absicherung Ihrer SAP-Systeme erfahren? Dann informieren Sie sich auf unserer SAST SOLUTIONS Website oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de

Ein Webinar zu diesem Thema finden Sie auch bei uns im SAST Webinar-Archiv. Den Link zu den Aufzeichnungen können Sie hier anfordern: SAST Webinars on Demand.

Patrick Boch (Produktmanager SAST SOLUTIONS)
Patrick Boch, Produktmanager SAST SOLUTIONS

 

Diese Beiträge im SAST BLOG könnten Sie auch interessieren:

10KBLAZE und SAP-Sicherheit: Im Westen Nichts Neues

Schritt für Schritt: So sichern und härten Sie Ihr SAP Gateway