Dass SAP-Systeme einer erhöhten Aufmerksamkeit bedürfen, wenn es um die Absicherung geht, hat sich inzwischen herumgesprochen. Schließlich lagern dort in den allermeisten Fällen die wichtigsten und sensibelsten Daten jeder Firma. Aber wie geht man am besten vor, um eine optimale Absicherung zu erreichen? Durch ein Security Audit zum Beispiel.
Viele setzen auf einen gezielten Einbruchsversuch, auch Penetrationstest genannt, um mögliche Sicherheitslücken zu Projektbeginn aufzudecken. Und tatsächlich spielen Pentests in jedem Sicherheitskonzept eine tragende Rolle. Der erste Schritt sollte jedoch ein anderer sein.
SAP Security Audit: Risikopotenzial beurteilen und Angriffen vorbeugen
Ein Penetrationstest als gezielter Einbruchsversuch in ein SAP-System ist seiner Natur nach immer unvollständig: Entweder ist der Auftrag des Penetrationstesters in dem Moment erledigt, in dem er eine Sicherheitslücke findet und diese ausnutzen kann. Oder der Versuch ist von vorneherein auf eine bestimmte Applikation – beispielsweise den Webshop – ausgerichtet und deckt somit nicht alle möglichen Einfallstore ab.
Allem voran sollte bei der Absicherung von SAP-Systemen daher ein Audit stehen. In einem Sicherheitsaudit werden ein oder mehrere SAP-Systeme auf bekannte Schwachstellen und falsche Einstellungen geprüft. Ein solches Audit kann manuell erfolgen, aufgrund der vielen möglichen Fehleinstellungen in einem SAP-System – es gibt eine vierstellige Anzahl von Parametern und Settings, die in einem SAP-System sicherheitsrelevant sein können – wird ein Security-Audit jedoch zu einem Großteil automatisiert durchgeführt. Das Ergebnis ist ein Bericht, der alle gefundenen Schwachstellen auflistet, erläutert und Handlungsempfehlungen zur Behebung aufführt.
Überprüfung der RFC-Schnittstellen nicht vergessen!
Immer zu bedenken ist, dass solch ein Audit lediglich die Einstellungen innerhalb des Systems überprüft. Die Aussagekraft eines Audits lässt sich jedoch deutlich erhöhen, wenn auch die Schnittstellen zu anderen Systemen ebenfalls auf Sicherheitslücken überprüft werden. Deswegen sollten – besonders bei produktiven SAP-Systemen – auch die RFC-Schnittstellen Bestandteil einer Sicherheitsprüfung sein. Wichtig ist, auf die typischen Fallstricke zu achten. Dazu zählen beispielsweise RFC-Nutzer, die zu großzügige Berechtigungen erhalten haben oder deren Passwort seit Jahren nicht geändert wurde und dadurch leicht zu knacken sind. Für Angreifer stellen solche Sicherheitslücken ein Einfallstor dar, da sie sich von dort ganz leicht aus in weitere Systeme hangeln können.
Schwachstellen in SAP-Systemen beseitigen und sicher bleiben
Nach einem solchen Security-Audit unter Einbeziehung der RFC-Schnittstellen sollten dann zunächst die gefundenen Schwachstellen korrigiert werden. Erst dann ist es sinnvoll, mit Hilfe eines Penetrationstests weitere Lücken aufzudecken und ebenfalls zu korrigieren. Der Pentest hat dabei eine besondere Bedeutung. Denn im Unterschied zum Security Audit wird versucht, eine Sicherheitslücke nicht nur zu finden, sondern diese auch auszunutzen. Nur so können mögliche Angriffsvektoren im Vorfeld erkannt und abgewehrt werden. Ein Security Audit unterstützt währenddessen die Basis-Sicherheit eines jeden Systems.
Die SAST SUITE bietet mit den beiden Modulen System Security Validation und Interface Management eine automatisierte Lösung für die Durchführung von Security Audits. Der besondere Vorteil: Die Module können dauerhaft installiert werden und zyklische Prüfungen des Sicherheitsstatus eines SAP-Systems vornehmen. So wirken Sie einer Verschlechterung des Sicherheitslevels durch kleinere Änderungen entgegen, die ansonsten zwangsläufig jedes System betreffen würde. Selbstverständlich lassen sich auch Security Audits als wiederkehrende Dienstleistung einsetzen. Gerade im Rahmen einer anstehenden Migration auf SAP HANA oder S/4HANA sind solche Audits die ideale Lösung, um SAP-Systeme bereits im Vorwege abzusichern und alle notwendigen Sicherheitsvorkehrungen zu treffen.
Sie interessieren sich für weitere Informationen zu unserer SAST SUITE oder wollen mehr über die umfassende Absicherung Ihrer SAP-Systeme erfahren? Dann informieren Sie sich auf unserer SAST SOLUTIONS Website oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de
Patrick Boch, Produktmanager SAST SOLUTIONS