Vulnerability Scan, Audit oder Penetrationstest: Finden Sie die für sich passende Methode zum Aufzeigen von Schwachstellen.

SAST Blog: Schwachstellenscan, Security Audit oder Penetrationstest: Die passende Methode zum Aufzeigen von Schwachstellen finden.Um das Gefährdungspotenzial von SAP-Landschaften beurteilen zu können und potenzielle Angriffspunkte zu ermitteln, gibt es unterschiedliche Maßnahmen. Dabei den Überblick zu behalten, ist gar nicht so einfach. Das Angebot reicht von Schwachstellenscans über Audits bis hin zu Penetrationstests. Welcher Ansatz jedoch der passende ist, um Schwachstellen aufzuzeigen, hängt ganz von Ihren individuellen Anforderungen ab.

 

Vulnerability Scan: Umfassender Überblick über bestehende Schwachstellen.

Um eine Aussage über das Sicherheitslevel eines SAP-Systems oder Ihrer SAP-Systemlandschaft zu treffen, können Sie verschiedene Ansätze mit unterschiedlichen Schwerpunkten verwenden.

Dies kann zum Beispiel mit der Durchführung von Schwachstellenscans – auch eingeordnet unter dem Begriff Vulnerability Scans oder Vulnerability Assessments – erfolgen. Dabei durchsucht der Scan die betroffenen SAP-Systeme automatisiert oder teilautomatisiert nach bekannten Schwachstellen und listet die Ergebnisse in einem tabellarischen Bericht auf. Im einfachsten Fall kann dies eine Liste sicherheitsrelevanter Parameter eines SAP Application Servers sein, ohne sie einer Bewertung zu unterziehen. Es findet also kein Versuch der Verifizierung statt, ob die Schwachstellen ausgenutzt werden könnten, wie es in einem Penetrationstest ablaufen würde (dazu im Folgenden mehr).

Weiterhin sind einige der ermittelten Schwachstellen möglicherweise sogenannte „false positives“ – also Schwachstellen die zwar gelistet, aber im aktuellen Systemkontext keine Gefahr darstellen oder eine systemtechnische Begründung haben.

Regelmäßige Schwachstellenscans sind jedoch erforderlich, um die Informationssicherheit generell zu gewährleisten und sollten in periodisch geregelten Abständen wiederholt werden. Ein Schwachstellenscan erkennt z.B. neben fehlerhafter Parametrisierung von SAP Application Servern Probleme wie fehlende Patches und veraltete Protokolle, Zertifikate und Dienste.

Security & Compliance Audit: Umfassende und gründliche Überprüfung

Ein Security & Compliance Audit ist ein umfassender und formeller Überblick über die Sicherheit von Systemen und sicherheitsbegleitende Prozesse eines Unternehmens. Damit stellt ein SAP-Audit eine umfangreiche und gründliche Überprüfung dar. Nicht nur der physischen Attribute, wie die Sicherheit der Betriebsplattform, des Application Servers sowie der Architektur des Netzwerks, sondern auch der Sichtung und Prüfung vorliegender Sicherheitskonzepte, beispielsweise zu Themen wie SAP-Berechtigungen oder der Umgang mit Notfallusern.

Methodisch gesehen beinhaltet das Audit auch die Durchführung eines Schwachstellenscans. Zudem erfolgt eine Bewertung der Ergebnisse im Kontext der jeweiligen Systemumgebung und eine Bereinigung um „false positives“. Hieraus resultierende Handlungsempfehlungen zur weiteren Absicherung von SAP-Systemen sind wesentlich ausführlicher und tiefgehender, als diese im Report eines Schwachstellenscans erfolgen können. Die Aussagekraft eines Security & Compliance Audits hinsichtlich der Absicherung von SAP-Systemen geht daher deutlich über die eines einfachen Schwachstellenscans hinaus, da die Ergebnisse zusätzlich eine Bewertung erfahren und im Kontext der Systemumgebung des jeweiligen Unternehmens betrachtet und in einem ausführlichen Bericht zusammengefasst werden.

Wir empfehlen Ihnen Audits als initiale Vorbereitung und nach Abschluss von Härtungsmaßnahmen sowie im Rahmen einer System- oder Plattformmigration.

Penetrationstest: Aufzeigen von Schwachstellen durch gezielten Einbruch.

Ein Penetrationstest hingegen versucht, Schwachstellen aktiv auszunutzen. Dem nahezu automatisch verlaufenden Schwachstellenscan steht hier ein Test gegenüber, für den sowohl tiefe Fachkenntnisse als auch Werkzeuge aus verschiedenen Bereichen erforderlich sind.

Ein Penetrationstest bedarf einer umfassenden Planung hinsichtlich dem zu erreichendem Ziel, der anzuwendenden Methode und der zu verwendenden Werkzeuge zur Durchführung. Als zentrale Zielsetzung versucht ein Pentest unsichere Geschäftsprozesse, fehlerhafte Sicherheitseinstellungen oder andere Schwachstellen zu identifizieren, die ein Eindringling ausnutzen könnte. Beispiele für Probleme, die bei einem Penetrationstest festgestellt werden können, sind die Übertragung unverschlüsselter Kennwörter, die Wiederverwendung von Standardkennwörtern und vergessene Datenbanken, in denen gültige Benutzeranmeldeinformationen gespeichert sind. Pentests müssen nicht so oft verrichtet werden wie Schwachstellenscans. Es ist aber zu empfehlen, diese in regelmäßigen Abständen zu wiederholen.

Penetrationstests sollten sinnvoll von einem Drittanbieter und nicht von internen Mitarbeitern durchgeführt werden, um einen objektiven Blick zu gewährleisten sowie um Interessenkonflikte zu vermeiden. Die Wirksamkeit dieses Test-Typs hängt stark vom Tester ab, welcher über eine breite und tiefgründige Erfahrung in der Informationstechnologie – vorzugsweise im Geschäftsbereich des Unternehmens – verfügen sollte. Die Fähigkeit, abstrakte Denkmuster anzuwenden und das Verhalten von Bedrohungsakteuren zu antizipieren sind neben dem Fokus auf Vollständigkeit und der Erkenntnis, wie und warum die Umgebung eines Unternehmens gefährdet sein könnte, wichtige Fähigkeiten zur Durchführung dieser Leistung.

Auf einen Blick: Vergleich von Schwachstellenscans, Audits und Penetrationstests.

SAST Blog: Vulnerability Scan, Audit oder Penetrationstest: Finden Sie die passende Methode zum Aufzeigen von Schwachstellen.

Tabelle 1. Vergleich von Schwachstellenscans mit Audits und Penetrationstests.

Schwachstellen finden, bevor sie weh tun!

Die Analyse des Security Levels Ihrer SAP-Systeme kann je nach Fokus durch mehrere Methoden vorgenommen werden – entscheidend für den Erfolg ist der jeweilige Fokus und die individuelle Zielsetzung. Denn alle Tests, angefangen vom Scannen der Sicherheitslücken bis hin zum Penetrationstests, sind für eine umfassende Sicherheitsstrategie von entscheidender Bedeutung.

Wir beraten Sie gerne bei der Planung und Umsetzung der für Ihre Anforderungen idealen SAP-Sicherheitsüberprüfung. Für die zuverlässige Analyse und Dokumentation nutzen wir die bewährte SAST SUITE. Für den Prüfungszeitraum ist hierfür keine Software-Lizenzierung erforderlich.

Interessiert? Dann informieren Sie sich gerne auf unserer SAST SOLUTIONS Website oder melden sich bei uns.

Vertiefende Einblicke in das Thema erhalten Sie zudem in unserem Webinar „SAP Security & Compliance Audits: Finden Sie Ihre Schwachstellen, bevor es weh tut“, die Aufzeichnung stellen wir Ihnen gerne zur Verfügung: https://t1p.de/owxb

 

Axel Giese (SAST SOLUTIONS)
Axel Giese (SAP Security Consulting, SAST SOLUTIONS)

 

Weitere Beiträge zum Thema:

Dank Security Audit und RFC-Schnittstellenprüfung Schwachstellen in SAP-Systemen erkennen und schließen

Wie Sie mit dem SAST Risk and Compliance Managment Ihr SAP-Systemaudit planen und ausführen