Durch die wachsende Cyberkriminalität sind auch die SAP-Systeme bedroht, aber längst nicht alle Unternehmen haben bereits ausreichende und effektive Sicherheitsvorkehrungen getroffen. Die Herausforderung besteht vor allem in der Risikobewertung und der Priorisierung von Maßnahmen.
Die Gefahr durch Cyberkriminalität für Unternehmen wächst, auch kleinere Unternehmen sind zunehmend betroffen. Die Angriffe werden gezielter und professioneller. Langfristig geplant, bleiben sie oft über längere Zeit unentdeckt. Gleichzeitig sind moderne, hybride IT-Strukturen mit oft mehreren Cloudlösungen aufwändiger zu schützen. Somit steigen die Anforderungen an die IT-Sicherheit. Eine besondere Herausforderung besteht dabei für SAP-Anwender. Die weit verbreitete, proprietäre ERP-Kernlösung mit ihren zahlreichen Modulen und Ergänzungen ist ebenso angreifbar wie die anderen IT-Systeme und bildet innerhalb der IT-Infrastruktur eine eigene Welt – mit ungeheuren Mengen an Quellcodes in SAP’s proprietärer Programmiersprache, betreut durch Spezialisten.
Die Zusammenarbeit und der Austausch zwischen SAP-Experten und IT-Verantwortlichen läuft aber noch längst nicht in allen Organisationen optimal. Das kann dazu führen, dass weder SAP-Spezialisten noch IT-Sicherheitsexperten den Schutz der unternehmenseigenen SAP-Landschaft wirklich im Blick haben. Während SAP-Verantwortliche ihren Fokus vor allem auf die korrekte Vergabe von Rollen und Berechtigungen legen, ist den zuständigen Managern für IT-Sicherheit oft nicht bewusst, wie komplex und entsprechend gefährdet SAP-Landschaften sind.
Ein Angriff auf SAP-Systeme bedroht die Kernfunktionen des Unternehmens
Eine enge Zusammenarbeit und ein übergreifendes Konzept sind aber gerade im Bereich der Cybersecurity dringend geboten, schließlich sind es die am meisten schutzwürdigen Daten, die im ERP-System hinterlegt sind: Kundendaten, Produkt- und Materialdaten bis hin zu Rezepturen, Produktionsplänen, Logistikdaten und immer öfter IoT-Anbindungen. Ein Angriff in diesen Bereichen trifft Unternehmen ins Mark. Es drohen Produktionsausfälle, das Abgreifen von IP und Know-How, Datenverluste mit entsprechenden Folgen wie Schadensersatzforderungen und Imageschäden.
Mit professionell und systematisch geplanten Angriffen rechnen
Mit welchen Angriffen muss gerechnet werden und wie können sich Unternehmen schützen? „Kunden berichten von sehr gezielten Angriffen, die offenbar auf längere Sicht geplant waren und in mehreren Etappen stattfinden“, erläutert Stefan Rühle, Vorstandsvorsitzender bei The Digital Workforce Group.
Das entspricht generell dem Muster moderner Cyberangriffe. Konkret bedeutet das: Zunächst werden mögliche Ziele erfasst, virtuelle Karten und Übersichten erstellt mit Vermerken, wo die Server stehen und welche Systeme und Versionen installiert sind. Werden dann Sicherheitslücken in bestimmten Systemen bekannt (oder selbst entdeckt), sind sofort auch die Ziele klar. Oft werden dann sogenannte Rootkits eingeschleust, die zunächst unbemerkt bleiben sollen, damit die Angreifer die internen Systeme ausforschen können. Erst später, evtl. sogar erst nachdem die ursprüngliche Sicherheitslücke bereits behoben ist, erfolgt dann der eigentliche Angriff.
Auch die Möglichkeit, über Software von (kompromittierten) Drittanbietern Malware einzuschleusen, gilt es zu berücksichtigen, ebenso wie die Unterwanderung von Lieferanten- und Kundennetzwerken. Auf Grund der hohen Komplexität gibt es eine ganze Reihe von Einfallstoren in SAP-Systeme. Standardpasswörter, schlecht abgesicherte gefährliche Dienste, zu weitreichende Berechtigungen und fehlende Sicherheits-Patches machen SAP Systeme häufig zu einer leichten Beute. „Angriffe können dabei in vermeintlich unwichtigen – und daher schlechter gesicherten – Systemen beginnen, sich dann aber über SAP-interne Verbindungen auf andere, kritische Systeme ausweiten“ erläutert Rühle. Penetrationstests sind also auch in Bezug auf SAP-Systeme unverzichtbar.
Die Herausforderung: Risiken evaluieren
In der Praxis ist es für IT-Sicherheitsverantwortliche in den Unternehmen aber oft nicht leicht, die Risiken zu bewerten und die wirkungsvollsten Maßnahmen zu finden. Nicht selten wird zum Beispiel der komplette Custom Code mittels Codescanner untersucht. Das dauert sehr lange und liefert jede Menge Ergebnisse, vor allem auch falsch Positive. Die gefundenen Fehler werden dann mit hohem Ressourcenaufwand verifiziert und ggf. berichtigt. Doch tatsächlich stellen Fehler im eigenen Programmiercode meist ein geringeres Risiko dar, weil sie nicht öffentlich bekannt sind.
Dagegen lassen sich aus den Patches, die SAP jeden Monat veröffentlicht, in kürzester Zeit Rückschlüsse ziehen auf die Sicherheitslücken, die damit behoben werden sollen. Professionelle Hacker, die sich im Vorfeld schon einen Überblick verschafft haben, welche SAP-Systeme und Releases wo im Einsatz sind, können diese Informationen für gezielte Angriffe auf gleich mehrere betroffene Unternehmen nutzen. Angesichts dieses Risikos ist es unabdingbar, wichtige Sicherheitspatches schnellstens ins System einzuspielen.
Sicherheitsbudget optimal nutzen
Budget und Ressourcen für IT-Security sind begrenzt und eine 100-prozentige Sicherheit wird es nie geben. Die Aufgabe besteht also darin, das verfügbare Budget so einzusetzen, dass die größten und gefährlichsten Schäden verhindert werden. Dazu müssen zunächst die einzelnen Bedrohungen eingeschätzt werden: Datenintegrität, Datenverlust, Systemverfügbarkeit – wo droht der größte Schaden, aber auch: Wie wahrscheinlich sind bestimmte Angriffsszenarien in dem jeweiligen Bereich? Diese Analyse braucht etwas Zeit, in der Regel können die internen Experten aufgrund ihrer Branchen- und Unternehmenskenntnis die einzelnen Punkte aber gut einschätzen. Schwerer fällt der Vergleich der Risiken untereinander, da hier jeweils auch unterschiedliche Verfahren zur Bewertung herangezogen werden.
Was ist für das Unternehmen gefährlicher – eine Schwachstelle mit CVSS 8.7 oder zwei Schwachstellen die mit High/Very High bewertet sind? Wurde bei der Bewertung auch berücksichtigt, welches SAP System betroffen ist? Unternehmen können aber auch auf die Expertise externer Security-Dienstleister zurückgreifen. So hat zum Beispiel CAIBERP eine Bewertungsmatrix entwickelt, die eine Harmonisierung und Gesamtbetrachtung aller Risiken in der gesamten SAP Landschaft ermöglicht und eine zentrale Übersicht der kritischsten Risiken liefert. Auf Basis dieser Bewertung können dann die Maßnahmen zum Schutz vor Cyberkriminalität mit der richtigen Priorität umgesetzt werden.
Die Erfolgsfaktoren für die Cyber-Sicherheit der SAP-Systeme lassen sich also wie folgt zusammenfassen:
- Bewusstsein für die Sicherheitsbedrohungen der SAP-Systeme
- Enge Zusammenarbeit zwischen IT-Sicherheitsverantwortlichen und SAP-Spezialisten
- Sorgfältige Risikoanalyse und -evaluierung
- Priorisierung der Sicherheitsmaßnahmen.
Andreas Wiegenstein, CAIBERP/ The Digital Workforce Group
www.thedigitalworkforcegroup.com