SAP Cybersecurity: Grundlagen verstehen

SAP-Systeme sind das Rückgrat vieler großer Unternehmen und wickeln kritische Prozesse wie Finanzen, Treasury, Lieferkette und Personalwesen ab. Dadurch werden sie zu Hauptzielen für Cyberangriffe. Um die sensiblen Daten Ihres Unternehmens zu schützen und die Geschäftskontinuität zu gewährleisten, ist es unerlässlich, die Grundlagen der SAP-Cybersicherheit zu verstehen. In diesem Artikel werden wesentliche Konzepte erläutert, ohne dass Vorkenntnisse im Bereich Sicherheit vorausgesetzt werden.

Warum SAP-Systeme im Visier stehen

Stellen Sie sich einen Safe vor, in dem sich alle wertvollen Assets Ihres Unternehmens befinden. Im Wesentlichen ist ein SAP-System genau das. Es enthält Finanzdaten (Einnahmen, Ausgaben und sensible Finanzunterlagen), Kundeninformationen (persönliche Daten, Kaufhistorie), geistiges Eigentum (Geschäftsgeheimnisse, Formeln und geschützte Informationen) und Betriebsdaten (Details zur Lieferkette, Fertigungspläne und Logistik), um nur einige zu nennen.

Ein erfolgreicher Angriff auf ein SAP-System kann mehrere Folgen haben, die alle äußerst negativ für das Unternehmen sind:

• Finanzielle Verluste: durch Finanzbetrug und andere Angriffe, die zu erheblichen Verlusten führen können.
• Datenschutzverletzungen und behördliche Strafen: Aufgrund von Datenverlusten sind Unternehmen in den meisten Fällen gesetzlich verpflichtet, die in diesen Anwendungen gehosteten Daten zu schützen.
• Betriebsunterbrechungen: Dies könnte in den meisten Fällen der kritischste Angriff für Unternehmen sein, da es zu Geschäftsverlusten kommt.
• Reputationsschäden: Diese lassen sich zwar nur schwer quantifizieren, sind aber im Falle einer offengelegten und bekannt gewordenen Datenschutzverletzung von großer Bedeutung.

Daher ist die Sicherung dieser Systeme nicht nur eine technische Angelegenheit, sondern eine geschäftliche Notwendigkeit.

Grundlegende Konzepte der Cybersicherheit

Sehen wir uns einige Schlüsselkonzepte an, die für die SAP-Cybersicherheit unerlässlich sind:

Authentifizierung:

Hierbei handelt es sich um den Prozess der Überprüfung der Identität eines Anwendungsbenutzers. In SAP umfasst dies in der Regel Benutzernamen, Kundennummern und Passwörter.

Starke Passwörter und eine Multi-Faktor-Authentifizierung (MFA) sind unerlässlich, um einen unbefugten Zugriff zu verhindern, falls Passwörter kompromittiert werden. Die MFA fügt eine zusätzliche Sicherheitsebene hinzu, bei der Benutzer mehrere Formen der Identifizierung angeben müssen, z. B. einen Code aus einer mobilen App oder eine SMS-Nachricht.

Die Authentifizierung muss in SAP-Anwendungen über mehrere Ebenen hinweg durchgesetzt werden, da die Technologie und die Dienste, die den Betrieb unterstützen, sehr komplex sind.

Schlüsselaspekte der Authentifizierung in SAP

• Benutzerdaten: Besteht in der Regel aus einem Benutzernamen, einer Kundennummer und einem Passwort.
• Multi-Faktor-Authentifizierung (MFA): Erhöht die Sicherheit durch einen zusätzlichen Verifizierungsschritt.
• Mehrschichtige Durchsetzung: Authentifizierungskontrollen müssen auf verschiedene SAP-Anwendungen und -Dienste angewendet werden.

Warum eine starke Authentifizierung wichtig ist

• Verhindert den unbefugten Zugriff auf sensible Daten.
• Reduziert das Risiko von Angriffen auf Anmeldedaten.
• Gewährleistet die Einhaltung von Sicherheits- und Regulierungsstandards.

Autorisierung:

Sobald ein Benutzer authentifiziert ist, muss die Anwendung den Zugriff auf die Aktionen und Daten beschränken, auf die der Benutzer aufgrund seiner Tätigkeit zugreifen sollte.

Im Grunde genommen bestimmt die Autorisierung, was Benutzer tun dürfen. In SAP wird dies über Rollen und Berechtigungen verwaltet. Richtig konfigurierte Berechtigungen stellen sicher, dass Benutzer nur auf die Daten und Funktionen zugreifen können, die sie für ihre Arbeit benötigen. Dieses Prinzip, das als „Least Privilege“-Prinzip bekannt ist, ist für die Sicherheit von grundlegender Bedeutung.

Da es sich hierbei um eine äußerst komplexe Aufgabe handelt, erteilen Administratoren in manchen Fällen mehr Berechtigungen als die Benutzer tatsächlich benötigen, was letztendlich nicht nur aus Sicherheits-, sondern auch aus Compliance-Sicht zu einem großen Problem werden könnte.

Schlüsselaspekte der Autorisierung in SAP

• Rollen und Berechtigungen: Legen Sie fest, welche Aktionen ein Benutzer ausführen darf.
• Prinzip der geringsten Rechte: Stellt sicher, dass Benutzer nur über das erforderliche Mindestmaß an Zugriff verfügen.
• Komplexitätsherausforderungen: Administratoren statten Benutzer manchmal mit zu vielen Berechtigungen aus, was zu Sicherheitslücken führt.

Warum eine ordnungsgemäße Autorisierung wichtig ist

• Verhindert den unbefugten Zugriff auf sensible Geschäftsfunktionen.
• Reduziert Insider-Bedrohungen durch die Einschränkung unnötiger Berechtigungen.
• Gewährleistet die Einhaltung von Sicherheitsrichtlinien und Branchenvorschriften.

Segregation of Duties (SoD):

Dieses Prinzip ist sowohl mit dem Konzept der Benutzer als auch mit dem der Berechtigungen verbunden und in der Wirtschaftsprüfungsbranche gut bekannt. Dieses Prinzip stellt sicher, dass keine einzelne Person die vollständige Kontrolle über einen kritischen Geschäftsprozess hat. Es verhindert Betrug und Fehler, indem die Verantwortlichkeiten auf mehrere Personen verteilt werden.

In SAP können SoD-Konflikte entstehen, wenn Benutzer über widersprüchliche Berechtigungen verfügen. Regelmäßige SoD-Prüfungen sind unerlässlich.

Ein Beispiel für eine SoD-Verletzung ist ein Benutzer, der sowohl Zugriff auf die Lieferanten- als auch auf die Zahlungsabwicklung hat. Wenn ein Benutzer die Berechtigung hat,

• Lieferantenstammdaten zu erstellen oder zu ändern (z. B. Bankverbindungen zu ändern)
• Bestellungen zu erstellen und zu genehmigen
• Lieferantenzahlungen zu verarbeiten

dann könnte dieser Benutzer einen fiktiven Lieferanten erstellen, seine eigenen Bankkontodaten eingeben, eine Bestellung für diesen Lieferanten erstellen und dann die Zahlung verarbeiten – und so effektiv Unternehmensgelder stehlen.

Dies ist nur ein Beispiel für Hunderte möglicher SoD-Verstöße, die in einer SAP-Anwendung auftreten können.

Patch-Management:

SAP veröffentlicht, wie viele andere Softwareanbieter auch, regelmäßig Patches, um Sicherheitslücken zu schließen. Dies geschieht tatsächlich jeden zweiten Dienstag im Monat, wobei etwa 20 bis 40 Sicherheitspatches veröffentlicht werden.

Die umgehende Anwendung dieser Patches ist von entscheidender Bedeutung, um SAP-Systeme vor der aktiven Ausnutzung und dem Missbrauch dieser Sicherheitslücken zu schützen. Beispiele für diese Schwachstellen finden Sie in CVEs wie CVE-2020-6287 und CVE-2020-6207.

Bleiben Sie über SAP-Sicherheitspatches auf dem Laufenden – Onapsis bietet jeden Monat eine umfassende Analyse der neuesten SAP-Sicherheitshinweise und ihrer Auswirkungen. Besuchen Sie unser SAP Patch Day-Archiv, um Expertenwissen und umsetzbare Empfehlungen zu erhalten.

Protokollierung und Überwachung:

Es ist wichtig, einen angemessenen Überblick über die Vorgänge in SAP-Anwendungen zu haben, um potenziell riskante Szenarien wie die Ausnutzung von Sicherheitslücken oder den unbefugten Zugriff auf bestimmte Funktionen in SAP zu erkennen. Die Aktivierung und Überwachung von Protokollen ist unerlässlich, um verdächtiges Verhalten zu erkennen. In verschiedenen SAP-Protokollen wird aufgezeichnet, wer wann und von wo aus auf was zugegriffen hat. Überwachungswerkzeuge können Sie auf ungewöhnliche Muster hinweisen, wie z. B. mehrere fehlgeschlagene Anmeldeversuche oder unbefugten Zugriff auf sensible Daten. Angesichts der Komplexität von SAP-Anwendungen gibt es mehrere Protokolle, die wir überprüfen und überwachen müssen, um ein umfassenderes Verständnis der im System stattfindenden Aktionen zu erhalten. Einige Beispiele für diese Protokolle sind: Sicherheits-Audit-Protokoll, Änderungs-Dokumente und Gateway-Protokoll, um nur einige zu nennen.

Die Bedeutung grundlegender Maßnahmen zur Hygiene

Unabhängig davon, an welchem Punkt Sie sich bei der Sicherung von SAP-Anwendungen befinden, ist es wichtig, grundlegende Maßnahmen zur Cybersicherheit in Ihrer gesamten SAP-Landschaft zu berücksichtigen.

Starke Passwörter:

Ermutigen Sie Benutzer, sichere, eindeutige Passwörter zu erstellen und zu verwenden. Dies kann durch mehrere Konfigurationen in SAP oder außerhalb von SAP durchgesetzt werden, wenn Sie Single Sign-on verwenden. Wenn Passwörter lokal für Benutzer in mehreren SAP-Anwendungen konfiguriert werden, ist es wichtig, unterschiedliche Passwörter zu konfigurieren, damit ein kompromittiertes Benutzerpasswort (durch Cracken oder InfoStealers) nicht dazu verwendet werden kann, sich seitlich durch Ihre SAP-Landschaft zu bewegen und weitere Systeme zu kompromittieren.

Deaktivieren Sie Standardbenutzer:

Sperren oder ändern Sie Passwörter von Standardbenutzern mit bekannten Standardpasswörtern.

Sichere Konfigurationen durchsetzen:

Systemkonfigurationen gemäß bewährter Verfahren und Standards identifizieren und sichern. Angesichts der schieren Anzahl von Parametern und Konfigurationen, die in einer SAP-Anwendung festgelegt werden können, ist es wichtig, diese Änderungen entsprechend zu priorisieren.

Benutzerschulung:

Benutzer über Cybersicherheitsbedrohungen und bewährte Verfahren informieren. Eine Möglichkeit, wie Sie Ihren SAP-Benutzern helfen können, ihr Bewusstsein für Cybersicherheit in SAP zu schärfen, ist das kürzlich veröffentlichte „Cybersecurity for SAP | Book and E-Book – by SAP PRESS“.

Netzwerksicherheit:

Die Angriffsfläche von SAP-Anwendungen ist aufgrund der Technologie, die diesen Anwendungen zugrunde liegt, erheblich. Die Vernetzung der SAP-Geschäftsprozesse vergrößert die potenzielle Angriffsfläche zusätzlich. Um die Angriffsfläche zu verringern, konfigurieren Sie Firewalls und Netzwerksicherheitsgeräte ordnungsgemäß, um Ihre SAP-Systeme vor externen Bedrohungen zu schützen, und vermeiden Sie es, Dienste und Anwendungen für Benutzer und Netzwerke freizugeben, die keinen Zugriff darauf benötigen.

Schlussfolgerung

Die Sicherung von SAP-Anwendungen kann überwältigend erscheinen, aber wenn Sie die Grundlagen verstehen und grundlegende Sicherheitsmaßnahmen umsetzen, können Sie das Risiko für Ihr Unternehmen erheblich reduzieren. Die Priorisierung von Aufgaben wie sichere Authentifizierung, starke Autorisierung und gute Hygienepraktiken ist der erste Schritt zur Sicherung Ihrer kritischen SAP-Systeme.

Denken Sie daran, dass Cybersicherheit keine einmalige Angelegenheit, sondern ein kontinuierlicher Prozess ist. Wenn Sie Hilfe von Experten benötigen, steht Ihnen Onapsis zur Seite.

Source: Onapsis-Blog

---

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

Thomas Fritsch, Onapsis

---

Bild/Quelle: https://depositphotos.com/de/home.html