18
SONDERTEIL
SAP
MIDRANGE
MAGAZIN · 10/2017
SAP-Anwendungen besser schützen durch regelmäßige Audits
Risiken minimieren
Geschäftsführer und Unternehmensvorstände sind gesetzlich verpflichtet, Risiken in ihrer
Organisation rechtzeitig zu erkennen und ihnen vorzubeugen. Das bedeutet: Sie müssen
Risiken proaktiv monitoren und mit geeigneten Maßnahmen gegensteuern. Angesichts der
zunehmenden Abhängigkeit der Business-Prozesse von der IT gilt dies vor allem für die
Cyber-Sicherheit. Dabei ist gerade der Schutzbedarf von SAP-Anwendungen potenziell sehr
hoch. Mit einem SAP-Audit lassen sich Sicherheitslücken aufdecken, bevor Angreifer sie
ausnutzen können. Security Analyst Otto von Natzmer von TÜV Rheinland erläutert, was ein
solches Audit beinhaltet.
N
icht nur der immense Imagescha-
den und der Verlust von Know-
how, sondern auch die konkrete Störung
von SAP-Modulen – zum Beispiel in der
Materialwirtschaft oder im Einkauf –
durch Hacker-Angriffe kann massive
Auswirkungen auf andere Funktionen
innerhalb einer Organisation haben, et-
wa auf die Produktionssteuerung oder
die Logistik. Und von möglichen Kolla-
teralschäden ist unter Umständen nicht
nur das Unternehmen selbst betroffen,
sondern es können auch Partner in
der Wertschöpfungskette in Mitleiden-
schaft gezogen werden.
Die regelmäßige Überprüfung des
internen und externen Sicherheitsni-
veaus, beispielsweise durch ein SAP-
Audit, das eine ausgedehnte Analyse-
phase durch Angreifer in einem über-
schaubaren Zeitraum simuliert, gehört
zum möglichen Instrumentarium. Ein
solches internes Audit macht für alle
Organisationen Sinn, die SAP-Module
im Einsatz haben. Aber auch ein exter-
nes Audit der SAP-Systeme mit Schnitt-
stellen zum Internet, die zum Beispiel
durch das Betreiben eines externen
Service bestehen, der auf SAP-Daten
beruht, ist wichtig für den Erhalt eines
hohen IT-Sicherheitsniveaus. Ein wei-
terer guter Grund für ein SAP-Audit
ist die Einbindung externer Partner –
Stichwort Industrie 4.0 –, die technisch
möglicherweise kritisch sein kann für
die SAP-Landschaft.
Mit einem SAP-Audit lassen sich
Risiken weitestgehend minimieren,
die zum Beispiel durch eine kritische
Kombination von ausnutzbaren Einzel-
schwachstellen entstehen, die oft jahre-
lang unbemerkt bleiben und eine offene
Flanke als Spionageziel darstellen. Im
Fokus stehen dabei – anders als bei Au-
dits der Wirtschaftsprüfer – konkrete
Angriffsszenarien, bei denen Prozesse
manipuliert, die Unternehmensabläufe
gestört, kritische Unternehmensdaten
abfließen und Dritte die komplette Kon-
trolle erlangen könnten (Sabotage).
Durchgeführt werden SAP-Audits
von Security Analysts: Für die Simu-
lation eines Angriffs nutzen sie dabei
die gleichen Strategien, Taktiken und
Tools wie „echte“ Hacker. Durch den
internen Zugriff, der vom Auftragge-
ber autorisiert sein muss, gewinnen
sie Informationen über Schwachstellen
allerdings im Zeitraffer, benötigen also
nicht Wochen oder Monate wie externe
Angreifer.
Der Prozess verläuft in der Regel
zweistufig, bei Bedarf wird er auch
mehrfach wiederholt, um neu gewonne-
ne Kenntnisse in den anderen Phasen
berücksichtigen zu können:
Security Analysts identifizieren Si-
cherheitslücken und werten die ermit-
telten Sicherheitslücken aus. Dies wird
über authentifizierte Scans der SAP-
Systeme sowie der darunterliegenden
Systeme stark vereinfacht. (White Box)
Die Security Analysts nutzen die
detaillierten Informationen, um mit
minimalen oder gar ohne Berechtigun-
gen innerhalb des Netzwerks die SAP-
Systeme zu übernehmen. Dazu werden
dem Pentester alle zuvor zugeteilten
Berechtigungen entzogen. Ab diesem
Zeitpunkt greift er das System unter
realen Bedingungen an. Ziel ist es letzt-
endlich, Zugriff auf mindestens einen
User mit SAP_ALL-Berechtigungsprofi-
len auf den Systemen zu erlangen.
Insbesondere in Punkt 2 besteht der
eigentliche Mehrwert eines SAP-Au-
dits: Denn er ermöglicht im Anschluss
die Ableitung realistischer Gegenmaß-
nahmen mit dem Ziel, Sicherheitslü-
cken zu eliminieren oder auf ein für die
Organisation akzeptables Maß zu redu-
zieren – bevor ein echter Angreifer sie
ausnutzen kann.
Durchführung auf virtuellen
Systemen
Im SAP-Audit stehen Aspekte wie die
Aktualität der verwendeten Software –
zum Beispiel Betriebssysteme und
