Cybersecurity – Malwareschutz auf Anwendungsebene mit SAP VSI
Die Zahl der Angriffe auf SAP-Anwendungen nimmt stetig zu. Zwar wird in den einschlägigen Presse- und Social-Media-Artikeln zu Sicherheitsvorfällen SAP nicht explizit genannt, wer aber zwischen den Zeilen lesen kann, dem wird rasch klar, dass die kompromittierte „Warenwirtschaftsanwendung“ oder das angegriffene „HR-System“ mit hoher Wahrscheinlichkeit eine SAP-Anwendung war. Dass die Frequenz und Erfolgsrate von Angriffen auf Enterprise-ERP-Anwendungen zunehmen würden, war zu erwarten. Schließlich stellen diese die „Daten-Kronjuwelen“ zahlreicher Unternehmen dar und die zu erwartende „Beute“ rechtfertigt aus Sicht der Angreifer die Investition in den Aufbau von SAP-Spezial-Wissen. Daher ist es auch nicht verwunderlich, dass „SAP-Cybersecurity“ als Disziplin, die sich von der klassischen SoD-, Rollen- und GRC-fokussierten „SAP-Security“ bewusst abhebt, mittlerweile einen festen Platz in den Programmen aller relevanten SAP-Veranstaltungen und Publikationen hat.
SAP-Cybersecurity ist dabei ein komplexes Thema mit zahlreichen Bausteinen, die Schnittstellen mit der klassischen Infrastruktur-Security (OS, Netzwerk), aber auch der bereits genannten Sicherheit der Business-Logik und GRC-Aspekten besitzen. Eine dieser Facetten ist der Schutz vor Schadsoftware und anderen gefährlichen Inhalten in Dateien, die als Anhänge in SAP-Anwendungen verarbeitet werden. Im Folgenden sollen fünf Gründe beleuchtet werden, warum dieser Schutz unabdingbar ist, wenn Ihre Anwendung Dateien und Attachments verarbeitet:
Grund Nr. 1: SAP empfiehlt die Nutzung von VSI
Im „Security-Guide for S/4 HANA“ gibt es seit dessen erster Veröffentlichung 2016 ein ganzes Kapitel, das sich dem Thema „Virus Scanning“ widmet. Darin heißt es ausdrücklich, dass der Einsatz eines VSI 2.x-fähigen Virenscanners empfohlen wird. SAP S/4 HANA-Code ruft den Scanner über ein dediziertes Interface (VSI, das SAP Virus Scanning Interface) an verschiedenen Stellen in der Verarbeitung auf, z. B. beim Upload, beim Download oder beim Durchgang durch das Gateway.
Zwar bezeichnet SAP das besagte Interface nach wie vor als „Virus Scan Interface“, in der aktuellen Version 2.1 der Schnittstelle ist diese aber zu einer umfassenden „Content Scanning“-Schnittstelle erweitert worden. So empfiehlt SAP im Security -Guide drei Scan-Arten:
- Signatur-basierte Malware-Erkennung: Für die Erkennung von Malware, die nicht zur Ausführung gebracht wird, ist Signatur-basierte Erkennung nach wie vor die bevorzugte Technik, mit hohen Erkennungsraten bei gleichzeitig sehr hoher Performance.
- MIME-Type-Erkennung: Gemeint ist hier die Filterung von Datei-Transfers auf Basis des Inhaltes der übertragenen Dateien, und nicht – wie im SAP-Standard üblich – ausschließlich auf Basis der Endung des Datei-Namens.
- Erkennung und Blocken aktiver Inhalte: Aktive Inhalte sind solche Inhalte, die in Dateien eingebettet sind und beim Anzeigen oder bei der Verarbeitung der Dateien ausgeführt werden. Hierzu zählen zum Beispiel Makros in Office-Dokumenten, aber auch JavaScript in PDF-, XML- und Bild-Dateien, Scripts, MS Silverlight, XSLT, OLE, DDE usw.
Grund Nr. 2: Prüfungsrelevante Warnungen im Security Audit Log
Dateitransfers in SAP-Anwendungen sind in der Vergangenheit oft ohne Wissen der Sicherheitsverantwortlichen implementiert worden. Aktuelle ABAP-Kernel (ab Release 757) erzeugen daher Warnungen (SAL Event FU9) im Security Audit Log, wenn Dateien transferiert wurden, die aufgrund fehlenden oder nicht aktiviertem VSI-Virenschutz nicht gescannt wurden. Solche Warnungen werden bei einer Prüfung in der Regel als Business-Risiko gewertet und eine Mitigation muss nachgewiesen werden.
Grund Nr. 3: Red-Team- oder Penetration-Test-Findings
Es gehört zum Standard-Vorgehen bei Penetrationstests herauszufinden, ob über File-Upload-Funktionalitäten Malware in die Anwendung hochgeladen werden kann. Pen-Tester oder Red-Teamer verwenden hierzu in der Regel das EICAR Test-File. Diese Datei ist zwar keine echte Malware, wird aber von jedem Virenscanner geblockt. Kann das EICAR Test-File in die Anwendung geladen werden, stellt dies eine sogenannte „Unrestricted File Upload“-Schwachstelle (MITRE CWE-434) dar. Diese Sicherheitslücke steigt seit 2019 Jahr für Jahr im MITRE Ranking der gefährlichsten Schwachstellen und stieg 2023 in die Top 10 dieses Rankings auf.
Zur Prüfung, ob zudem die Dateityp-filter der Anwendung einfach umgangen werden können, laden Pen-Tester außerdem Dateien mit „falschen“ Dateiendungen in die Anwendung („notepad.pdf“). Wenn dies gelingt, attestieren Penetration Tester ein Schwachstellen-Finding des Typs CWE-636. Die Kategorie „Insecure Design“, der diese Schwachstelle angehört, findet sich in den Top-10-Schwachstellen des Open Web Application Security Project (OWASP).
Grund Nr. 4: Server-Level Anti-Malware schützt SAP nicht
Es ist ein weitverbreitetes Missverständnis, dass eine Server-Security-Lösung, die auf OS-Ebene auf einem SAP-Server in-stalliert ist, auch die Dateitransfers in der SAP-Anwendung schützt. Zunächst einmal empfiehlt SAP, aus Performance-Gründen alle Verzeichnisse der SAP-Instanz und der Datenbank vom Echtzeitscan durch den Virenscanner auf OS-Ebene auszunehmen (siehe SAP-Hinweis 106267).
Aber selbst wenn dieser Hinweis ignoriert wird, bleiben Datei-Transfers auf Anwendungsebene für den Virenscanner ohne VSI-Anbindung unsichtbar. Dies liegt darin begründet, dass Virenscanner Dateien immer dann scannen, wenn sie in oder aus dem Dateisystem geschrieben oder gelesen werden. Im Kontext einer SAP-Anwendung findet ein solcher Dateisystem-Zugriff aber nicht statt. Üblicherweise nimmt ein Frontend-Applikationsserver – oder bei FIORI Anwendungen das Gateway – den Dateitransfer an und hält die Datei im Speicher, um sie anschließend an einen Backend-Server weiterzuleiten (in der Regel über SAP RFC). Dieser schreibt die Datei auch nicht ins Dateisystem, sondern legt sie in der Datenbank oder einem DMS, z. B. dem SAP Content Server, ab. An keiner Stelle entlang dieser Verarbeitungskette findet ein Dateisystem-Zugriff statt. Die Datei wird bis in die innerste Datenablage der SAP-Anwendung transferiert, ohne jemals gescannt worden zu sein.
Auch Versuche, den Bedrohungsvektor Dateiupload auf Netzwerk-Ebene zu adressieren, liefern bestenfalls partielle Ergebnisse. Zwar ist es mittlerweile möglich, Uploads über HTTP/HTTPS in einer NextGen Firewall oder einem Reverse Proxy auf Malware zu scannen, allerdings scheitern diese Lösungen in der Regel bereits an Transfers aus FIORI Apps, weil hier die Datei als BASE64-enkodierter String im OData-Kanal über HTTP/S übertragen wird. Diese Schachtelung wird von NextGen Firewalls und Reverse Proxies nicht aufgelöst. Die im OData enthaltene Datei wird auch nicht gescannt. Der Versuch, Transfers über SAP-proprietäre Protokolle wie DIAG (von der SAP-GUI verwendet) oder SAP-RFC zu scannen, scheitert daran, dass diese Protokolle nicht dekodiert werden können, insbesondere bei der Verwendung von SNC zur Verschlüsselung der Verbindung.
Grund Nr. 5: Compliance und Haftung
Für nahezu jede Organisation gelten Compliance Frameworks, die explizit die Implementierung eines aktuellen Schutzes vor Malware fordern, der dem Stand der Technik entspricht. Allen voran und topaktuell natürlich NIS2, aber auch ISO 27002:2022 – Control 8.7, PCI DSS, HIPAA und der Cloud Computing Catalogue des BSI.
SAP hat das Virus Scan Interface im Jahr 2005 auf NetWeaver04 eingeführt und seither in fast alle Anwendungen implementiert, einschließlich HANA XS/XSA, Business Objects usw. Faktisch entspricht die Nutzung von VSI also dem Stand der Technik.
Daraus resultiert, dass Unternehmen, die keinen Malware-Schutz über SAP VSI implementieren, dann haftbar gemacht werden können, wenn Unternehmensfremde Nutzer der Anwendung infolgedessen einen Schaden erleiden, weil sie beispielsweise eine Datei aus der SAP-Anwendung herunterladen, die mit einer Malware oder gar Ransomware infiziert ist.
Fazit
Von Datei-Transfers oder Attachments in SAP-Anwendungen geht ein erhebliches Gefährdungspotenzial aus. Dies betrifft sowohl die Sicherheit und Integrität der Anwendung selbst als auch die der Benutzer. Dateien beim Upload und Download auf Malware und andere gefährliche Inhalte zu prüfen, muss daher integraler Bestandteil der SAP-Cybersecurity-Strategie sein. Malwareschutz-Lösungen auf Betriebssystem- und Netzwerkebene sind nicht in der Lage, Dateitransfers in SAP-Anwendungen abzusichern.
Aus diesem Grund stellt SAP in allen gängigen Produkten ein Virus Scan Interface (VSI) bereit, mit dem Datei-Transfers auf Applikationsebene gescannt werden können und sollen.
Ein Advertorial von: