Der Weg zur SAP-Cyber-Resilienz

Es fehlt an ausreichender Resilienz

Allzu oft haben erfolgreiche Cyberangriffe auf IT-Infrastruktur und SAP-Anwendungen in jüngster Vergangenheit gezeigt, es fehlt an ausreichender Resilienz. Verstärkt überprüfen deshalb derzeit IT-Organisationen ihre eingefahrenen Prozesse auf Effektivität sowie unter wirtschaftlichen Gesichtspunkten.

Das Problem dabei: Die Bedrohungslandschaft wandelt sich ständig. Kriminelle entwickeln immer neue Methoden der Ausnutzung oder entdecken bisher unbekannte Schwachstellen. Möglich wird dies, weil sich die Einstellungen des SAP-Systems selbst permanent verändern. Um SAP-Cyber-Resilienz zu etablieren, muss man also Verfahren entwickeln, die jede Änderung der Bedrohungs- und Sicherheitslage erfassen, deren Sicherheitsauswirkungen analysieren und sofortige Upgrades ermöglichen. 

Im SAP-Bereich werden gelegentliche Überprüfungen im Rahmen von IT-Sicherheitsaudits gern zum Anlass genommen, die Härtung der SAP-Systeme anzupassen und die grundlegende Sicherheitsarchitektur zu hinterfragen. Eine einmalige Bewertung wird allerdings kaum zur nachhaltigen Problembewältigung beitragen. Spätestens bei der nächsten Prüfung stellt man fest: Neue Schwachstellen oder Probleme sind aufgetaucht.

Nötig ist deshalb ein aktives Management der Sicherheitsmaßnahmen für SAP-Anwendungen.
Zu diesem Zweck müssen die IT-Landschaft und Konfiguration der SAP-Systeme regelmäßig validiert und die Benutzerverwaltung sowie Berechtigungszuweisungen bewertet werden. Dabei festgestellte Abweichungen von der festgelegten Sicherheits-Baseline können dann sofort in adäquate Reaktion umgesetzt werden. Der erste Schritt zur SAP-Cyber-Resilienz ist getan.

Ein Security und Compliance Management einer SAP-Sicherheitsplattform unterstützt bei der Definition von Sicherheitsrichtlinien für alle relevanten SAP-Systemparameter, kritischen Berechtigungen und Zugriffskontrolllisten (ACL). Gleichzeitig überprüft es, ob die Konfiguration dem Standard entspricht.

Ein wesentlicher Baustein fehlt jedoch noch – wer ein effektives Sicherheitsüberwachungsprogramm zur Erkennung von Cyberangriffen einführen will, muss alle in der SAP-Anwendung durchgeführten Transaktionen verfolgen. Ein Beispiel aus der Praxis veranschaulicht, warum regelmäßige Kontrollen und Echtzeitüberwachung so wichtig sind: Der Angreifer nutzt eine ungepatchte Sicherheitslücke im SAP-Transportmanagementsystem (STMS), um ein Konto, auf das er Zugriff hat, in den God-Mode zu versetzen (zum Beispiel SAP_ALL). Sobald der bösartige Transport importiert wird und die Anmeldeinformationen aktiv sind, erhält er Zugriff und öffnet die Änderbarkeit des Systems. Nun erzeugt der Angreifer Persistenz, indem er einige Systemparameter ändert, die dynamisch eingestellt werden können, und dies, ohne entsprechende Protokolleinträge zu hinterlassen!

Wären die angegriffenen Systeme immun gegen SAP-Cyberattacken gewesen, hätte ein solcher Angriff in dieser Form nicht stattfinden können. Denn dann wäre die Sicherheitslücke in SAP STMS, die im Oktober 2021 behoben wurde, bereits gepatcht worden. Selbst wenn der Angreifer die Schwachstelle hätte ausnutzen können, hätte die Security-Plattform die unberechtigte Vergabe von Administrationsrechten als Anomalie im Echtzeit-Monitoring erkannt und, falls aktiviert, per automatischer Regel entfernt. 

Sollte es den Kriminellen jedoch gelungen sein, das System zu infiltrieren und sogar relevante Sicherheitsprotokolle zu deaktivieren, könnte es schwierig werden. Sie könnten eine „Backdoor“ installiert haben, um Persistenz zu erreichen, also eine Möglichkeit geschaffen haben, zu einem späteren Zeitpunkt zurückzukehren. Selbst wenn es einem Angreifer aber gelungen ist, eine Schwachstelle zu finden und zu beseitigen, steigt durch regelmäßige Schwachstellenanalyse die Wahrscheinlichkeit, dass die Sicherheitseinstellungen und die benutzerdefinierte Codebasis getestet werden. SAP-Cyber-Resilienz schützt damit auch vor Backdoor-Attacken.