Information und Bildungsarbeit von und für die SAP-Community

(Un-)Sicherheit in der SAP-Landschaft

Die gute Nachricht: Die produktiven SAP-Systeme haben alle Checks der Wirtschaftsprüfer überstanden und die Penetrationstester zur Verzweiflung getrieben. Und dann: Ein Angreifer hat das hochsichere System gekapert.
Thomas Werth, Werth IT
4. Juli 2023
it security Header
avatar

Die Antwort findet sich in der SAP-Landschaft oder vielmehr in den Q- und Dev-Systemen, Solution-Managern und Legacy-Systemen sowie den Clients der Anwender, die die Prüfer nicht im Blick hatten. Unvollständige oder Fehlkonfigurationen innerhalb der SAP-Landschaft können letztlich zur Kompromittierung von als sicher eingestuften Systemen führen.

Zwei beispielhafte Szenarien veranschaulichen typische „Seitenangriffe“ auf scheinbar hochsichere und produktive Systeme. Über diese kann ein Angreifer umfassenden Zugriff erhalten, ohne eine Schwachstelle oder Fehlkonfiguration im Zielsystem zu nutzen.

Angriffe über den Arbeitsplatz

Das erste Szenario beschreibt den Weg über den PC eines Anwenders in das produktive und hochsichere SAP-System: Egal, ob Phishing, Ransomware, APT-Kampagnen oder die nächste Welle an Schadprogrammen wie WannaCry, in Unternehmen passiert es leider immer wieder, dass Client-PCs trotz aller Schutzmaßnahmen wie Antivirus-Programmen oder Firewall gekapert und ferngesteuert werden.

Haben Angreifer erst mal die Kontrolle über einen Client, wird der Zugriff schnell auf weitere Clients ausgedehnt (lateral movement). Dabei ist es nur eine Frage der Zeit, wann ein Angreifer den Client eines SAP-Basis- oder Benutzer-Admins kontrolliert. Denn über Angriffe auf Windows-Systeme und auf den User ist es wesentlich einfacher, Zugriff zu bekommen, als direkt das SAP-System anzugreifen.

Zudem nutzen viele Unternehmen Single-Sign-on (SSO) zur Authentifizierung, um Passwörter zu eliminieren. Solange keine 2-Faktor-Authentifizierung im Einsatz ist, eignet sich SSO für Angreifer sehr gut als Türöffner in das SAP-System – und das ganz ohne ein einziges Passwort! Denn solange sich der Angreifer im Kontext des SAP-Admins auf dessen PC bewegt, wickelt der SSO-Mechanismus im Hintergrund die Authentifizierung ab, und der Angreifer kann direkt und ohne weitere Mühen im Kontext des Admin-Users auf das SAP-System zugreifen. Für den Zugriff genügen dem Angreifer schon ein paar Powershell-Skripte und eine RFC-Verbindung zum SAP-System.

2-Faktor-Authentifizierung

Um sich gegen solche Angriffe wirksam zu schützen, ist unbedingt eine 2-Faktor Authentifizierung notwendig. Im zweiten Szenario spielen die RFC-Destinationen zwischen den SAP-Systemen eine entscheidende Rolle. Wann immer neue Features oder Releases zu testen sind, ist ein Sandbox-System nicht weit. Gerne wird hier das komplette Produktivsystem kopiert, um einen realitätsnahen Test zu ermöglichen. 

Die Entwickler oder Tester erhalten im Sandbox-System erhöhte Rechte, um Probleme schnell zu identifizieren und zu lösen. Doch dieses Sandbox-System kann schnell zum Sturz des als hochsicher bewerteten Produktivsystems führen. Dies kann passieren, sobald sich ein Remote-Funktionsbaustein zum Passwort-Reset und eine RFC-Destination zu einem produktiven System auswählen lassen. Daraufhin erhält ein ausgewählter Ziel-User ein neues Passwort – und der Angreifer kann ungehindert auf das produktive System zugreifen. Derartige Angriffe lassen sich unterbinden, indem man konsequent keine privilegierten Verbindungen von „niedrigen“ zu „höherklassigen“ Systemen zulässt. Zudem müssen alle kritischen RFC-Destinationen nach der Systemkopie aus der Sandbox entfernt werden.

Auch sehr sichere Systeme mit wenig Aufwand lassen sich kompromittieren. Zur Einschätzung der Systemsicherheit muss die gesamte SAP-Landschaft geprüft werden. Lediglich die produktiven Systeme oder nur die ERP-Linie zu checken, führt zu einer lückenhaften Bewertung. Wichtig ist eine Prüfsoftware, die diese ganzheitliche Arbeit leistet. Nur wer den Überblick über seine SAP-Landschaft besitzt, kann effektiv Seitenangriffe auf kritische Systeme identifizieren und unterbinden!

werth-it.de

avatar
Thomas Werth, Werth IT

Thomas Werth ist Geschäftsführer bei Werth IT


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.