Security: Wie sich SAP-Systeme effektiv schützen lassen

Laut DSAG-Investitionsreport 2024 steht bei den SAP-Bestandskunden IT-Sicherheit mit 88 Prozent mittlerer und hoher Relevanz klar an erster Stelle der übergreifenden IT-Themen, siehe Grafik. Das ist gut so. Immer mehr kommt zu Bewusstsein, dass SAP-Landschaften nicht nur durch Bedrohungen von außen gefährdet sind, sondern auch von innen.

So könnte ein neu eingestellter Mitarbeiter wissen wollen, wie viel seine Kolleginnen und Kollegen verdienen. Um Gehaltslisten einsehen zu können, bräuchte er entweder eine SAP_All-Berechtigung oder Zugriffsrechte auf Transaktionen und Leserechte für Tabellen in SAP HCM. Die hat er zwar nicht, er verfügt jedoch aufgrund seiner Rolle über eine Debugging-Berechtigung, die es ihm ermöglicht, Änderungen sowohl im SAP-Entwicklungs- als auch im SAP-Produktivsystem vorzunehmen. Und genau hier tut sich eine Sicherheitslücke auf. Im Rahmen eines Debuggings manipuliert er das Produktivsystem so, dass die Berechtigungsprüfung umgangen wird und
er – unbefugt – auf Gehaltsdaten zugreifen kann. In einem solchen Fall bieten selbst sauber gepflegte Berechtigungen keinen ausreichenden Schutz.

Dabei handelt es sich noch um ein vergleichsweise harmloses Szenario. Was, wenn ein Angreifer über Social-Engineering-Methoden an die Zugangsdaten eines ehemaligen Administrators gelangt, dessen Konto und Berechtigungen noch nicht gelöscht wurden? Dann sind auch die wertvollsten Informationen eines Unternehmens wie seine Produktions- und Entwicklungsdaten nicht mehr sicher. Und das auch dann nicht, wenn das Security-Team seine Hausaufgaben gemacht und klassische Sicherheitslösungen wie Antivirensoftware, Ransomware-Schutz, Firewall etc. sauber implementiert und konfiguriert hat.

Die Preisfrage lautet daher: Was können und sollten SAP-Bestandskunden tun, um die Lücken im Bereich SAP-Sicherheit zu schließen?

Trau, schau, wem!

Der Volksmund wusste es schon immer: Vertrauen kann gefährlich sein. In die IT-Sprache übersetzt heißt das: Der richtige Ausgangspunkt, um das Sicherheitsniveau in SAP-Landschaften zu erhöhen, ist der Zero-Trust-Ansatz. Wenn der Angreifer immer schon im System ist, darf man niemandem und nichts vertrauen und muss jeden und alles verifizieren. Dies gilt selbst dann, wenn Benutzer und Geräte über ein vertrauenswürdiges Netz wie ein Unternehmens-LAN auf SAP zugreifen und selbst wenn sie zuvor überprüft wurden.

Um ein wirksames Security-Konzept auf Basis des Zero-Trust-Ansatzes zu entwickeln, sollten sich SAP-Bestandskunden von mehreren Grundsätzen leiten lassen:

• Authenticity: Eine sichere Authentifizierung sollte stets und überall erzwungen werden.
• Secrecy: Jegliche Kommunikation sollte abgesichert erfolgen.
• Least privilege access: Berechtigungen sollten nur so weit gewährt werden, wie User sie benötigen, um genau das tun zu können, was sie tun sollen, aber auf keinen Fall mehr.
• Safety: Unbekannten Geräten und Nutzern wird der Zugriff auf das Firmennetzwerk prinzipiell verwehrt.
• Responsibility: Es muss jederzeit klar und überprüfbar sein, wer Änderungen an den Einstellungen vornimmt und welche; all das muss entsprechend protokolliert werden.
• Actuality: Der gesamte IT-Stack von der Hardware über das Betriebssystem bis zu Datenbanken und SAP-Anwendungen ist stets auf dem aktuellen Stand zu halten; dementsprechend sollten SAP-Bestandskunden Sicherheits-Updates nach Bekanntgabe regelmäßig bewerten und einspielen.
• Suspicion: Zero-Trust bedeutet permanentes Misstrauen, weshalb User-Rechte und ihre Rollen, Transaktionen, Dienste etc. regelmäßig überprüft werden.
• Consistency: Das Sicherheitsniveau muss bei jeder Änderung mindestens gleich hoch bleiben, Sicherheitsmaßnahmen sind deshalb Pflichtbestandteil jeder Veränderung an der SAP-Landschaft.
• Risk Aversion: Risiken werden nicht nur einmal erfasst und bewertet, sondern kontinuierlich, ebenso die Fehler, die unweigerlich passieren, um daraus zu lernen und mit geeigneten Gegenmaßnahmen einzudämmen.
• Resiliency: Die IT-Landschaft sollte Teilausfälle kompensieren können, etwa indem das Netzwerk segmentiert und mit je eigenen Richtlinien und Maßnahmen abgesichert wird oder die Wiederherstellung von Services regelmäßig geübt wird.

Diese Grundsätze bilden die Basis jeder effektiven Zero-Trust-Architektur, die SAP-Bestandskunden mithilfe von geeigneten Tools und Prozessen, aber auch Partnern implementieren können.

SAP-Tools ausreizen

Generell gilt: SAP-Bestandskunden sollten konsequent die Sicherheitswerkzeuge nutzen und in ihren Möglichkeiten ausreizen, die SAP bereitstellt. Mithilfe der Lösung SAP Identity Management (IdM) lassen sich sämtliche SAP-Benutzeridentitäten und deren Berechtigungen zentral und revisionssicher verwalten.

Ein regel- und rollenbasierter Genehmigungs-Workflow steuert das Erstellen der Benutzerkonten mit ihren Berechtigungen. Über den gesamten User Lifecycle ist gewährleistet, dass die Identitäten nur jene Systeme und Funktionen nutzen können, die sie auch wirklich benötigen. Allerdings sollte es einen umfassenden Zugriff nur im Notfall und auf keinen Fall länger als nötig geben. Ergänzend dazu empfiehlt es sich, mittels SAP Single Sign-On (SSO) einen zentralen Zugriff auf SAP einzurichten und zu managen, der die Authentifizierung der User verbessert. Gleichzeitig sorgt SAP SSO für eine durchgängig verschlüsselte Kommunikation zwischen den Clients und den SAP-Ressourcen, während SAP NetWeaver die Datenübertragung und Kommunikation zwischen SAP-Systemen und anderen Netzwerkkomponenten abhörsicher machen kann.

Neben Berechtigungen und Authentifizierung gelten die Einstellungen und Parameter der SAP-Systeme und der Datenbank als potenzielle Schwachpunkte. Ob sie tatsächlich bestehen, lässt sich mithilfe der Configuration Validation und dem Security Baseline Template aus dem beliebten und weitverbreiteten SAP Solution Manager (SolMan) prüfen, der zudem die Möglichkeit bietet, die monatlichen SAP Security Notes und Patches einzuspielen.

Auf technischer Ebene wiederum sind Netzwerk-Ports und die Clients, über die Endanwender auf SAP-Anwendungen zugreifen, sei es vom Desktop im Büro, aus dem Homeoffice oder von unterwegs aus per Tablet oder Smartphone, beliebte Angriffsziele. Neben regelmäßigen und notwendigen Schulungen der User können hier Systeme für Intrusion Detection und Prevention (IDS/IPS) Angriffsversuche entdecken und abwehren helfen. Und selbstverständlich muss das Security-Team die Informationen zu solchen Versuchen überwachen und Maßnahmen einleiten, um diese dauerhaft zu unterbinden.

Damit bieten die SAP-Werkzeuge eine solide Grundlage für die Sicherheit von SAP-Systemen, stoßen aber angesichts individueller Geschäftsanforderungen und immer raffinierterer Cyberbedrohungen an Grenzen.

Leider kann auch SolMan diese Grenzen mithilfe seiner Monitoring-Funktionen nur teilweise überwinden; schließlich ist er nie als Sicherheitslösung gedacht gewesen. Außerdem bietet er keine Live-Überwachung und beschränkt das Monitoring auf die SAP-Applikationen, hat die Infrastruktur, Schnittstellen und die Datenströme von und zu Umsystemen jedoch nicht im Blick.

Die Kontrolle übernehmen

Ideal wäre daher eine Monitoring-Lösung, die von Infrastruktur und Netzwerk über SAP-Basis bis zu Anwendungen und Datenbanken alles überwacht. Die alle sicherheitsrelevanten Informationen – auch aus den Security-Lösungen von Dritt-anbietern – ausliest und bereitstellt, sicherheitsrelevante Vorfälle à la Incident-Management selbstständig erkennt, jenseits bestimmter Schwellenwerte Alarme auslöst und unverzüglich Sicherheitsmaßnahmen wie den Entzug von Berechtigungen, das Unterbrechen von Zugriffen oder das Beenden von Transaktionen einleitet. Eine Lösung, die im Katas-trophenfall und nur dann die dafür notwendigen Berechtigungen ausstellt und nach Lösung der Probleme zeitnah wieder entzieht. Und all das selbstverständlich automatisch und rund um die Uhr.

Risikobewertung, Identitätsmanagement, Berechtigungsmanagement im Katastrophenfall, Single-Sign-On, umfassendes Monitoring, Patch- und Incident-Management und schließlich der ganze Strauß an Sicherheitsprodukten von Firewall über Malware- und Ransomware-Schutz bis zu Intrusion Detection und Prevention und anderes – die Liste der zentralen Security-Bausteine ist lang. Um sie von einer zentralen Stelle aus zu verwalten und anzuwenden, empfiehlt sich der Aufbau eines Security Operation Center (SOC), das rund um die Uhr arbeitet und in dem alle sicherheitsrelevanten Informationen über eine zentrale Monitoring-Lösung zusammenfließen.

Diese Lösung und Schaltzentrale sollten unabhängig vom konkreten Bereitstellungsort der SAP-Landschaft dasselbe Schutzniveau liefern, ob im eigenen Rechenzentrum, in der Public Cloud von SAP und Hyperscalern oder bei einem Hosting-Partner.

Keine Angst vor Managed Services

SAP-Bestandskunden sollten sich nicht scheuen, Managed Services in Anspruch zu nehmen, wenn sie zusätzliche Ressourcen benötigen. Ein geeigneter Partner sollte sowohl über fundiertes SAP- als auch Security-Know-how verfügen. Ferner muss er entsprechende langjährige Praxiserfahrung nachweisen können. Darüber hinaus sollte das Serviceangebot modular aufgebaut sein und die vorhandenen Kompetenzen und Ressourcen des Kunden nahtlos ergänzen, anstatt sie ganz oder teilweise zu ersetzen. Aufeinander ein- und zuzugehen schafft in der Tat erst die Voraussetzung dafür, Aufgaben auszulagern und die erforderliche Qualität der eingekauften Dienstleistungen über Vereinbarungen zu managen.

Doch am wichtigsten ist bei der Auswahl des Servicepartners vielleicht die Einstellung zum Thema Sicherheit und Compliance. Nur wenn beide Seiten dasselbe Verständnis teilen und davon ausgehen, dass der Angreifer immer schon im System ist, können SAP-Bestandskunden mithilfe ihres Partners das Ziel der Cyber-Resilienz erreichen – against all enemies, foreign and domestic.

Der Feind ist immer schon im System

Warum der Schutz vor Gefahren von außen nicht ausreicht: 2023 wurden pro Monat mehr als 2000 Sicherheitslücken in Softwareprodukten bekannt – das sind 24 Prozent mehr als im Jahr davor – und 84 Prozent aller betrügerischen E-Mails zielten darauf ab, Zugangsdaten zu erbeuten. Nicht weniger als 15 Prozent der bekannt gewordenen Sicherheitslücken wurden als kritisch eingestuft und generative KI macht es immer schwerer, betrügerische E-Mails von legitimen zu unterscheiden. So lauten zentrale Befunde des BSI-Lageberichts zur Sicherheit in Deutschland vom November vergangenen Jahres. Sicherheitslücken sind nicht nur das Resultat von Fehlern im Softwarecode. Oftmals sind sie eine Folge der Softwarearchitektur. Zudem bestehen in allen IT-Landschaften moderne Systeme und Applikationen, die für eine vernetzte Welt gebaut wurden, neben Legacy-Umgebungen, die noch aus der Zeit stammen, in der sie isoliert waren und Angriffe von außen undenkbar. Mainframes sind ein Beispiel dafür, die bei Banken und Telekommunikationsanbietern ein gleichsam ewiges Leben führen. Aber auch bei gängiger Unternehmenssoftware existieren verschiedene Generationen nebeneinander und können gar nicht anders, als sich gegenseitig zu vertrauen, indem sie etwa die Zertifikate ungeprüft akzeptieren. Davon profitieren interne wie externe Angreifer insbesondere bei den weitverbreiteten Seitwärtsbewegungen und dringen so von unkritischen Teilen der Umgebung bis in die sensibelsten Bereiche vor.

Handlungsfähig bleiben

Angesichts dieser Situation wäre es falsch, sich allein auf die Bedrohungsabwehr zu konzentrieren. Vielmehr kommt es ebenso sehr darauf an, bei erfolgreichen Angriffen handlungsfähig zu bleiben. Cyber-Resilienz lautet deshalb das Gebot der Stunde, wie das BSI zu Recht schreibt. Was heißt das für SAP-Bestandskunden? Sie sollten von der Prämisse ausgehen: Der Feind ist bereits im System und kommt in etwa einem Drittel der Fälle von innen und zu zwei Dritteln von außen. Resilienz beginnt nicht erst bei der Absicherung der SAP-Applikationen, sondern schon bei der Infrastruktur, erstreckt sich auf Schnittstellen und Datenströme von und zu Umsystemen und bewältigt den unvermeidbaren Kompromiss zwischen Praktikabilität und höchstmöglichem Sicherheitsniveau. Darüber hinaus ermöglicht sie SAP-Bestandskunden, ihre Verantwortung für Sicherheit und Compliance selbst im Bedrohungsfall jederzeit und lückenlos wahrzunehmen, im eigenen Rechenzentrum genauso wie in der Public Cloud. Dafür braucht es auf allen Ebenen vollständige Transparenz und ein lückenloses Monitoring sowie eine enge Zusammenarbeit und Kommunikation zwischen den SAP- und Security-Teams. Leider krankt es oft genau daran.

Wie Risiken für die SAP-Sicherheit entstehen

Gewachsene Intransparenz: SAP-Landschaften sind in den meisten Unternehmen das Ergebnis jahrelanger Erweiterungen, Änderungen und Eigenentwicklungen. Firmen wurden gekauft und verkauft, Geschäftsbereiche zusammengelegt und neu gegründet, Werke und Niederlassungen geschlossen, neue eröffnet. Und jedes Mal musste die IT die organisatorischen Änderungen und Wünsche der Fachabteilungen in SAP, den Drittsystemen und in der Infrastruktur abbilden – zusätzlich zum täglichen Betrieb wie dem Einspielen von Updates und Patches, dem Management von Berechtigungen, der Wartung der Infrastruktur und Schnittstellen, der Pflege von Sicherheitslösungen etc.

Historisch gewachsene SAP- und IT-Landschaften sind beliebig komplex und Mitarbeiter rar. Die Personalfluktuation in der IT und den Fachabteilungen tut ihr Übriges. Berechtigungen werden nur lückenhaft gepflegt, nicht alle Änderungen, Systeme und Einstellungen sind dokumentiert, für die notwendige Weiterbildung und angemessenen Austausch von Informationen bleibt zu wenig Zeit und Kollegen, die das Unternehmen verlassen, nehmen ihr Wissen mit zum neuen Arbeitgeber oder in die Rente. Das gilt nicht nur für die SAP-Basis-, sondern auch die Security-Teams. Auch sie haben Mühe, mit dem wechselnden Technologiestand Schritt zu halten und sich kontinuierlich die erforderlichen Fähigkeiten anzueignen. Außerdem sind sie in vielen Fällen nicht nur für die IT-Sicherheit, sondern zusätzlich noch für Compliance zuständig.

… trifft auf Personalmangel

Hinzu kommt: Oft nutzen die SAP-Security-Teams einen bunten Strauß an nicht miteinander integrierten Einzeltools, die bisweilen sogar von Hand bedient werden. Das ist wenig effizient und birgt die Gefahr, dass Sicherheitslücken erst mit erheblicher Verzögerung entdeckt werden. Cyberkriminelle nutzen das gnadenlos aus, um SAP-Software sowohl auf der Ebene der Infrastruktur als auch der Anwendungen zu kompromittieren und lahmzulegen oder um geschäftskritische Daten zu stehlen.

Mit anderen Worten: Der Mangel an Transparenz, Kenntnissen und Personal führt regelmäßig zu einer zumindest teilweisen Unkenntnis der besonders schützenswerten Bereiche der IT- und SAP-Landschaft und damit zusammenhängend zu einem zu starken Fokus auf externe Bedrohungen sowie spiegelbildlich zu einer systematischen Unterschätzung interner Risiken.

Zum Partner-Eintrag: