SAP-Security: Vulnerability Scan
Das Angebot reicht von Vulnerability Scans über Audits bis hin zu Penetrationstests. Welcher Ansatz jedoch wofür der richtige ist, hängt von individuellen Ergebnis-Anforderungen ab.
Bei der Durchführung von Vulnerability Scans, auch Vulnerability Assessments genannt, werden SAP-Systeme automatisiert oder teilautomatisiert nach bekannten Schwachstellen durchsucht und die Ergebnisse in einem tabellarischen Bericht aufgelistet. Im einfachsten Fall kann dies eine Auflistung der sicherheitsrelevanten Parameter eines SAP-Application-Servers sein, ohne diese einer Bewertung zu unterziehen. Es findet hier also keine Überprüfung statt, ob die Schwachstellen ausgenutzt werden können, wie es etwa bei einem Penetrationstest der Fall wäre.
Darüber hinaus kann es sich bei einigen der identifizierten Schwachstellen um sogenannte „False Positives“ handeln, die zwar gelistet sind, aber im aktuellen Systemkontext keine Gefahr darstellen oder systemtechnisch begründet sind. Auch wenn hier nicht auf aktive Bedrohungen geprüft wird, sind regelmäßige Vulnerability Scans dennoch notwendig, um die Informationssicherheit generell zu gewährleisten, und sie sollten in periodischen Abständen wiederholt werden. Ein Vulnerability Scan erkennt neben fehlerhafter Parametrisierung von SAP-Application-Servern auch Probleme wie fehlende Patches und veraltete Protokolle, Zertifikate und Dienste.
Security- und Compliance-Audit
Ein Security- und Compliance-Audit ist eine umfassende und formelle Überprüfung der Sicherheit von Systemen und -sicherheitsrelevanten Prozessen eines Unternehmens. Ein SAP-Audit stellt somit eine vollständige und gründliche Prüfung nicht nur physischer Attribute wie der Sicherheit der Betriebsplattform, des Application-Servers sowie der Netzwerkarchitektur, sondern auch die Sichtung und den Check vorhandener Sicherheitskonzepte, beispielsweise zu Themen wie SAP-Berechtigungen oder dem Umgang mit Notfallusern.
Methodisch beinhaltet das Audit die Durchführung eines Schwachstellen-scans. Darüber hinaus erfolgen eine Bewertung der Ergebnisse im Kontext der jeweiligen Systemumgebung und eine Bereinigung um „False Positives“. Die daraus resultierenden Handlungsempfehlungen zur weiteren Absicherung der SAP-Systeme sind wesentlich detaillierter und tiefgreifender, als dies im Bericht eines Schwachstellenscans möglich ist, und die Aussagekraft eines Security- und Compliance-Audits hinsichtlich der Absicherung von SAP-Systemen geht somit deutlich über diesen hinaus, da die Ergebnisse zusätzlich einer Bewertung unterzogen, im Kontext der Systemumgebung des jeweiligen Unternehmens betrachtet und in einem ausführlichen Bericht zusammengefasst werden. Zwingend zu empfehlen ist die Durchführung von Audits als Erstvorbereitung und nach Abschluss von Härtungsmaßnahmen sowie im Rahmen einer System- oder Plattformmigration.
Penetrationstest
Ein Penetrationstest, kurz Pentest genannt, versucht, im Unterschied zu Vulnerability Scans und Audits, Schwachstellen aktiv auszunutzen. Dem automatisierten Schwachstellenscan steht hier ein Vorgehen gegenüber, das sowohl fundiertes Fachwissen als auch Werkzeuge aus verschiedenen Bereichen erfordert. Ein Penetrationstest bedarf einer umfassenden Planung hinsichtlich des zu erreichenden Ergebnisses, der anzuwendenden Methode und der zu verwendenden Werkzeuge. Das zentrale Ziel eines Pentests ist es, unsichere Geschäftsprozesse, fehlerhafte Sicherheitseinstellungen oder andere Schwachstellen zu identifizieren, die ein Angreifer ausnutzen könnte. So können beispielsweise die Übertragung unverschlüsselter Passwörter, die Wiederverwendung von Standardpasswörtern und vergessene Datenbanken, in denen gültige Benutzeranmeldeinformationen gespeichert sind, aufgedeckt werden. Pentests müssen nicht so häufig durchgeführt werden wie Vulnerability Scans, es ist aber ratsam, sie in regelmäßigen Abständen zu wiederholen.
Penetrationstests sollten sinnvollerweise auch von einem externen Anbieter und nicht von internen Mitarbeitenden durchgeführt werden. So gewährleisten sie eine objektive Sichtweise und vermeiden Interessenkonflikte. Externe sollte über umfassende und tiefgreifende Erfahrungen im Bereich der Informationstechnologie verfügen, vorzugsweise im Geschäftsbereich des Unternehmens. Die Fähigkeit, abstrakte Denkmuster anzuwenden und das Verhalten von Bedrohungsakteuren zu antizipieren, ist neben dem Fokus auf Vollständigkeit und dem Verständnis, wie und warum die Umgebung eines Unternehmens kompromittiert werden könnte, wichtig für die Durchführung dieser Leistung.
Schwachstellen identifizieren
Im Sinne einer ganzheitlichen Absicherung resultiert aus den drei Methodiken in unterschiedlichen Intervallen der bestmögliche Schutz vor Schwachstellen. Jeder Testansatz, vom Vulnerability Scan bis zu gezielten Penetrationstests, ist für eine umfassende Sicherheitsstrategie von entscheidender Bedeutung. Die Komplexität von SAP-Anwendungen erschwert jedoch die konsequente Einhaltung bewährter Sicherheitsverfahren – die schiere Menge der generierten Logs ist zu groß, um manuell gescannt zu werden. Sinnvoll ist daher, auf die Unterstützung externer Spezialisten wie Pathlock zu setzen. Diese bieten neben Security Consulting, bei dem Compliance-Experten mit dem nötigen Know-how selbst für Pentests Schwachstellen identifizieren, gleich eine Reihe von automatisierten Scanning- und Threat-Detection-Lösungen.