Die Sicherheit der SAP-Landschaft ist nicht zu unterschätzen – Teil 2

Seit 2020 ist die Werth IT GmbH Lösungspartner der NTT DATA Business Solutions. In Kundenprojekten arbeiten die SAP Security Experten der NTT DATA Business Solutions aus dem Bereich „Enterprise Integration & Security“ u. a. mit dem Security Scanner des Unternehmens, dem werthAUIDITOR. Der Geschäftsführer der Werth IT, Thomas Werth, ist langjähriger SAP Security Experte und hat diverse Publikationen für das Bundesamt für Sicherheit in der Informationstechnik sowie verschiedene Bücher und Artikel veröffentlicht.

Im Interview stellt er die wichtigsten Komponenten von SAP Security dar, beschreibt, wie sich die Kundenanforderungen auf diesem Gebiet verändert haben und zeigt auf, wie der werthAUDITOR diesen Anforderungen gerecht wird.

Lesen Sie im ersten Teil der Interviewreihe zu SAP Security, welche Komponenten und Tools zu SAP Security gehören und mit welchen Herausforderungen bei der SAP S/4HANA Transition zu erwarten haben.

Seit 2020 ist die Werth IT GmbH Lösungspartner der NTT DATA Business Solutions. Wie kam es zu dieser Kooperation?

Holger Buczior, Solution Architect SAP Security und Head of CoE Data & Cybersecurity bei NTT DATA Business Solutions und ich kannten und schätzten uns schon vor dem Jahr 2020. Das Geschäftsmodel der Werth IT ist zudem auf die Zusammenarbeit mit größeren Beratungshäusern ausgelegt. Dazu bieten wir ein relativ exklusives Leistungsangebot und sind entsprechend für das Portfolio der NTT DATA Business Solutions interessant. Auf dieser Basis ließen sich dann 2020 schnell die ersten gemeinsamen Projekte durchführen.

Die Werth IT GmbH ist Spezialist auf dem Gebiet SAP Security. Trotz der hohen Komplexität des Themas: Würden Sie die wesentlichen Komponenten / Bereiche von SAP Security einmal knapp erklären?

Die Sicherheit eines SAP-Systems ist von vielen Faktoren abhängig. Im Wesentlichen zu nennen sind dabei:

• Die kritischen Berechtigungen und Rechtekombinationen: Hier ist das Risiko, dass das 4-Augen-Prinzip bei kritischen Geschäftsprozessen verletzt werden kann oder ein Anwender seine Berechtigungen derart ausweitet, dass er faktisch das System voll unter seiner Kontrolle hat.
• Die Konfiguration und Systemhärtung: Existieren hier unsichere Systemeinstellungen, können Angreifer sich über bekannte Wege in das System schleichen. Bspw. können Passwörter bei schlechter Passwort-Policy geraten werden.
• Sicherheit von Custom-Code: SAP ist ein Produkt von der Stange und muss für jedes Unternehmen in einem gewissen Grad individualisiert werden. Dies übernimmt der Custom-Code. Dieser kann unsicheren Code enthalten, der bspw. die internen Sicherheitsmechanismen von SAP umgeht (Mandantentrennung, Berechtigungsprüfungen).
• Sicherheit der Schnittstellen: SAP bietet eine Vielzahl an Diensten im System an. Bekannt sind hier RFC, ICM, SAP-GUI, Message-Server. Diese müssen sicher betrieben werden, sonst kann der Angreifer auch schon mal mit der Tür ins Haus fallen, wie bei einem Angriff über ein offenes SAP-Gateway.
• Patchmanagement: Bekannte Angriffswege müssen zeitnah geschlossen werden, da die Wege zur Ausnutzung mit dem Patch in der Regel bekannt werden.
• Auditing: Die Log-Einstellungen im System müssen ausreichend konfiguriert sein und die Logs regelmäßig kontrolliert werden. So erkennt man schnell sicherheitsrelevante Ereignisse im System.
• Sicherheit des Betriebssystems: Hier dürfen keine Schwachstellen existieren, da Vollzugriff auf das OS auch Vollzugriff auf SAP nach sich zieht.
• Datenbanksicherheit: Hier liegen die Kronjuwelen von SAP. Schwachstellen in der Datenbank erlauben das Umgehen aller bisherigen Sicherheitsvorkehrungen.
• Die Sicherheit der gesamten SAP-Landschaft: Durch die Kommunikation und Vernetzung der Systeme untereinander ist es möglich, dass ein unsicheres System einem Angreifer als Sprungbrett in das hochsichere Produktivsystem bietet. Derartiges muss erkannt werden.

Was sind typische Auslöser für Unternehmen, sich mit SAP Security Themen zu befassen?

Die Sensibilisierung durch Berichterstattung über Sicherheitsvorfälle in den Medien oder aus persönlichen Erfahrungen der Kontakte eines Unternehmens führt zu einem geschärften Bewusstsein für das Thema. Doch auch interne Vorfälle können Auslöser für die Beschäftigung mit dem Thema SAP-Sicherheit sein. Es geht aber auch ohne Vorfälle und regulatorische Anforderungen, wenn bspw. die interne Revision die treibende Kraft ist.

Haben sich die Bedarfe und Anforderungen der Unternehmen hinsichtlich Security-Themen in den letzten 2-3 Jahren geändert? Wenn ja, warum?

Der Trend geht klar zur ganzheitlichen Sicherheit. Mehr Sehen durch eine tiefere und breite Prüfung ist die neue Anforderung. Bspw. haben Unternehmen verstanden, dass es nicht ausreicht, nur auf die Berechtigungen zu schauen. Die wesentlichen Komponenten der SAP-Sicherheit sind im allgemeinen Bewusstsein angekommen. Ebenso geht der Trend zu einer kontinuierlichen Sicherheitsüberwachung, statt alle paar Jahre mal einen Security Check zu machen. Denn Sicherheit ist ein Prozess und benötigt fortwährende Kontrollmechanismen. So kommen ja monatlich Patches für neue Schwachstellen und auch das Berechtigungskonzept unterliegt einem ständigen Wandel, um nur zwei Aspekte zu nennen.

Durch Ihre eigene Softwarelösung, den werthAUDITOR, unterstützen Sie Unternehmen dabei, ihre SAP-Systeme zu schützen. Was „macht“ die Software, um diese komplexe Aufgabe zu bewältigen? Was sind ihre Funktionen?

Unsere Lösung automatisiert den Sicherheitsprozess. Unternehmen sparen deutlich Ressourcen und erhalten zudem tiefes Experten-Wissen. Sämtliche Prüfungsbereiche lassen sich automatisch auf Risiken prüfen – dies je nach Anwendungsfall entweder anlassbezogen oder dauerhaft. Zur Prüfung verbindet sich unsere Lösung mit dem System und prüft es auf Herz und Nieren. Es ist jedoch nicht notwendig, die zu prüfenden Systeme für eine Prüfung zu ändern, in dem man Agenten oder Custom Code einspielt. Wir arbeiten mit dem Zerofootprint Ansatz.

Zudem nimmt unsere Lösung dem Thema die Komplexität. Ergebnisse lassen sich intuitiv schon nach kurzer Einarbeitungszeit völlig unkompliziert erzielen. Die Ergebnisberichte liefern alle zur Bearbeitung der Findings notwendigen Informationen und Verweise sowie Schritt-für-Schritt Anleitungen zur Behebung. Die Funktionalität deckt die Prüfung der wesentlichen Sicherheitsbereiche für SAP inklusive Betriebssystem und Datenbank ab. Kundenindividuelle Prüfungen lassen sich einfach mit einem Plugin-Assistenten erstellen. Nachgeschaltete SIEM-Systeme können mit den Ergebnissen unserer Lösung gefüttert und angereichert werden. Die Sicherheit der Landschaft lässt sich mit einem eigenen Analysemodul visualisieren und analysieren.

Eine Vielzahl von Unternehmen steht aktuell vor der großen Herausforderung des Wechsels zu S/4HANA. Welche Security-spezifischen Herausforderungen bringt dieser Wechsel aus Ihrer Sicht mit sich?

Oftmals wird dieser Wechsel zum Anlass genommen, sich überhaupt das erste Mal mit Security zu beschäftigen und diesmal „alles“ richtig zu machen. Das bedeutet dann natürlich, alle Baustellen gleichzeitig zu öffnen. Spezifisch für S/4HANA ist in jedem Fall immer die neue Datenbankebene, die es mit all ihren Eigenschaften abzusichern gilt. Ebenso ist beim Einsatz von S/4HANA oft die Anbindung über das Web nicht weit. Mobile Endgeräte sollen mit einem Browser zugreifen dürfen. Die Realisierung dieses Zugriffs ist demnach ein weiterer Sicherheitsaspekt, der zuvor ggf. nicht existent gewesen ist. Zudem wagen einige den Schritt in die Cloud mit der Einführung von S/4HANA. Hier ergibt sich ein ganzer Stapel aus neuen Sicherheitsfragen, die sich auf den sicheren Betrieb der Cloud an sich beziehen.

Haben Sie noch weitere Anmerkungen oder Ergänzungen, die Sie für das Thema SAP Security / Modernes SAP Portfolio für wichtig halten?

Die Sicherheit der SAP-Landschaft ist ein nicht zu unterschätzender Faktor. Selbst wenn ein System individuell noch so stark geschützt ist, können Schwachstellen in der Landschaft dieses dennoch zu Fall bringen – obwohl es selbst keinerlei Schwachstellen besitzt. Dies erkennt unser werthANALYST und kann solche Risiken direkt visualisieren. Im werthAUDITOR ist der passende Angriff zur Illustration enthalten. Durch die Vernetzung der SAP-Systeme kann ein solcher Angriff sogar Netzwerksegmentierungen und Firewalls überwinden, indem er einfach „auf der SAP-Verbindungen“ zum Ziel reitet. Daher ist es aus meiner Sicht sehr wichtig, die Blickwinkel auf diese Facetten zu erweitern und proaktiv die Robustheit der Landschaft zu verifizieren.

So unterstützt NTT DATA Business Solutions Sie

NTT DATA Business Solutions vereint langjährige Erfahrung mit SAP-Systemen und fundierte Kenntnisse in der IT-Sicherheit. Durch unser eigenes Security Operations Center und unsere Security Management Services können Sie sich rund um die Uhr auf uns verlassen. Weltweit. Wir setzen Ihre individuelle Lösung handlungsorientiert und langfristig um – denn bei Datenschutz und IT-Sicherheit gehen wir keine Kompromisse ein.

Haben Sie Fragen zum Thema SAP Security? Dann nehmen Sie mit uns Kontakt auf, wir beraten Sie gerne! Einfach eine kurze E-Mail an: [email protected].