SAP Systeme absichern und schützen

(Last Updated On: 22. Juni 2016)

Wer eine umfangreiche SAP-Systemlandschaft betreibt, sorgt sich immer öfter um die Sicherheit der sensiblen betriebswirtschaftlichen und personellen Daten, die in diesen Systemen hinterlegt werden.

IT-Security, und ein SAP-Umfeld bildet hier keine Ausnahme, ist ein iterativer Prozess, der stufenweise erfolgt und immer wieder ausgebaut werden sollte. Wer sich irgendwann auf seinen Lorbeeren ausruht und aufhört, seine IT-Sicherheit voran zu treiben, macht sich schnell angreifbar.

Gerade in SAP-Systemlandschaften rückt das Thema Security mehr und mehr in den Hintergrund. Die Zeiten, in denen SAP-Systeme noch abgeschottet von der Außenwelt im Data Center des Kunden verbracht haben, sind vorbei. Mehr und mehr sind SAP-Applikationssysteme untereinander und mit externen Fremdsystemen, beispielsweise von Finanz- und Zollbehörden, vernetzt. Und immer mehr SAP-Systeme werden heutzutage in die Cloud ausgelagert – und sind dadurch grundsätzlich erst einmal von außen für Angreifer zugänglich.

Das muss aber nicht heißen, dass IT-Security ein Aufgabengebiet sein muss, welches durch Angst und Schrecken beherrscht wird. Stattdessen sollte man IT-Security immer als Studium sehen, in welchem man man versucht, die Wirtschaftlichkeit von IT-Systemen durch ein abgestimmtes Zusammenspiel von Sicherheit und Effizienz zu gewährleisten. Und die Bandbreite dieses Studiums ist groß, denn sie beinhaltet nicht nur Themenfelder der Technik, sondern auch der menschlichen Psychologie und der Betriebswirtschaftslehre, die es zu beachten gilt. Akzeptanz und Wirtschaftlichkeit einer Sicherheitsmaßnahme im Verhältnis zum Risiko muss genau so akribisch verbessert und bewertet werden wie die immerwährende Absicherung der Technik. Jede implementierte Sicherheitsmaßnahme hat Auswirkungen auf die Performance, die Kosten, die Akzeptanz und die Effizienz von IT-Systemen. Insbesondere in SAP-Systemen, die dazu gedacht sind, die Total Cost of Ownership (TCO) der Informationstechnik des Kunden zu reduzieren, muss hier ein wahrer Balanceakt aus Aufwand und Sicherheit geleistet werden, der vielen besorgten Sicherheitsverantwortlichen schwer fällt.

Gute Leitfäden zum Absichern von SAP Systemen gibt es bereits an vielen Stellen schon kostenlos im Internet. Beispielsweise veröffentlicht die deutschsprachige SAP-Anwendergruppe DSAG jährlich einen Sicherheitsleitfaden, der bereits die häufigsten Angriffsvektoren aufdeckt und Lösungsansätze aufzeigt. Ebenso ist der DSAG Leitfaden für Datenschutz ein sehr hilfreiches Dokument vor allem im HR-Bereich.

Und auch von SAP selbst gibt es bereits sehr umfangreiche Security Guides. Die wichtigsten im aktuellen Umfeld sind der SAP HANA Security Guide, der SAP ERP Central Component Security Guide sowie der SAP NetWeaver Security Guide.

Nachdem man diese Standardwerke einmal durchgekaut hat sollte eine erste Prüfung stattfinden, die schon einmal sicherstellt, dass die Angriffsvektoren, die diese Anleitungen abdeckenn, schon einmal gedeckt sind. Eine gute Möglichkeit ist eine Prüfung der IT-Systemlandschaft durch ein unabhängiges Tool einer Drittpartei, die weder vom Betreiber der Systemlandschaft noch vom Softwarehersteller SAP bereitgestellt wird. Ein gängiges Tool in dieser Kategorie ist beispieslweise der Werth IT Auditor. Dieser testet ein SAP-System primär auf die Erfüllung der Standards, die in den SAP Security Guides sowie in dem DSAG Sicherheitsladen definiert wurden – und wurde aufgrund seiner Gründlichkeit im Jahr 2014 ausgezeichnet. Das Tool ist nicht für den SAP-Endanwender gedacht, sondern kommt häufig in Verbindung mit der Beratungsleistung eines externen SAP-Beratungshauses. Aufgabe des Beratungshauses ist es sicherzustellen, dass die Ergebnisse des Auditor-Tools zutreffend sind und die Umsetzung eventueller Gegenmaßnahmen nicht nur technisch möglich und durch diesen beratend unterstützt wird, sondern auch wirtschaftlich effizient und aus Kostensicht zu rechtfertigen ist. Denn zu guter letzt muss immer das Kundenumfeld betrachtet werden. Das Risiko des Kunden, einen definierbaren finanziellen Schaden durch einen möglicherweise vorhandenen Angriffsvektor zu erleiden, muss die hierzu erforderliche Gegenmaßnahme immer rechtfertigen.

Desweiteren stellt das Beratungshaus sicher, dass das Resultat des Werth Auditors ein für das Management nachvollziehbares Ergebnis abliefert, nach welchem der Projekterfolg gemessen werden kann.  Hierzu eliminiert der Berater eventuelle False Positives, die ein falsches Gefahrenpotential darstellen, und sichtet außerdem die durch das Tool als unkritisch bewerteten Checks, um das umgekehrte Szenario ebenso zu vermeiden. Ebenso stellt der Berater hier häufig das Projektergebnis im IT-Management vor und hinterlässt dem Systembetreiber eine technische Dokumentation, welche die Maßnahmen zur Vermeidung aktueller und künftiger Angriffsvektoren bespricht und verständlich darstellt.

Da sich das Tool an den Standard des aktuellen DSAG-Sicherheitsleitfadens orientiert, wird es jährlich erneuert und aktualisiert. Für den Endkunden beduetet dies, dass er einen solchen Security-Audit wenn schon nicht jährlich, dann aber in jedem Fall regelmäßig und stetig wiederholen sollte, um immer den aktuellen Sicherheitsstandards in diesem Bereich zu genügen.

Doch auch zwischen diesen Phasen lohnt es sich, über den Tellerrand der definierten Sicherheitsstandards hinaus zu blicken und seine Systeme in einem fortlaufenden Entwicklungsprozess zu härten und zu testen.

Gerade SAP-Systeme stehen oft über Schnittstellen in Kommunikation mit anderen Systemen. Somit bestimmt die Sicherheit dieser Systeme und Technologien maßgeblich die Sicherheit der SAP-Systeme mit. Und hier darf man ebenso nicht die Infrastruktur vergessen, auf welcher diese Systeme miteinander kommunizieren, also beispielsweise Unternehmensnetzwerke.

Ein umfangreiches Security-Projekt im SAP-Umfeld berücksichtigt also nicht nur die SAP-Systeme selbst als abgeschottetes System, sondern auch Netzwerke, Verzeichnisdienste, Betriebssysteme, Kommunikationsstandards und Datenbanken. Gerade das Datenbankmanagementsystem enthält ja gerade die sensiblen Daten, die über die operativen und analytischen SAP-Systeme verarbeitet werden. Diese Sicherheitsstandards erfasst man häufig in einem umfangreichen Hardening-Projekt, indem man die IT-Systemlandschaft in so weit gegen mögliche Angriffsvektoren härtet, ohne die Akzeptanz durch die Systembenutzer oder die wirtschaftliche Effizienz ungerechtfertigt zu schmälern.

Häufig vergessen wird in diesem Umfang auch die sogenannte Equipment Security. Die beste technische Absicherung auf digitaler Ebene ist nichts wert, wenn der physische Zugang zu Datenträgern und Serveranlagen nicht ausreichend gesichert ist. Gerade im heutigen Zeitalter jedoch gibt es mehr als genügend Möglichkeiten, nachhaltige Lösungen gegen diese Problematiken zu implementieren. Aktueller Trend sind sogenannte event-driven Security Devices. So können etwa  unregistrierte Zutritte zu Server- und Büroräumen außerhalb geregelter Geschäftszeiten zum automatischen Abschließend von Zugangstüren, Auslösen von Alarmen und das Aufzeichnen von Video- und Audiosignalen führen.

Auch wenn Security-Experten häufig sehr gut darin sind, auf dem Markt etablierte Technologien abzusichern (weil sie sich mit dem Technologiestandard bzw. dem Produkt auskennen), wird häufig übersehen, dass in Kundenprojekten durch interne Mitarbeiter und externe Berater Entwicklungen und Customizings vorgenommen werden, die eventuell nicht konform mit aktuellen Sicherheitsstandards erarbeitet wurden. Auditing-Tools wie beispielsweise der Werth Auditor bieten daher die Möglichkeit, vordefiniete Namespaces nach typischen Coding-Schwachstellen wie beispielsweise mögliche SQL-injections, fest definierte Usernamen, unsichere RFC-Aufrufen u. Ä. zu scannen. Der Security Consultant spricht dann Empfehlungen aus, um das Coding entsprechend zu verbessern und solche Situationen künftig zu vermeiden.

Ebenso sollten Sie nicht vergessen, in die Awareness Ihrer Mitarbeiter zu investieren. Denn Daten werden häufig von Mitarbeitern exportiert und dann auf potentiell unsicheren Wegen, beispielswiese auf der Festplatte eines Außendienst-Notebooks oder auch nur auf einem USB-Stick transportiert. Desweiteren werden selbst heutzutage noch immer wieder E-Mails mit sensiblen Informationen ausgedruckt, weil ein potentielles Risiko darstellt – insbesondere wenn diese Dokumente nicht risikokonform abgesichert und vernichtet werden.

Nachdem Sie nun nicht nur sichergestellt haben, dass Sie aktuelle Sicherheitsstandards und -Empfehlungen erfüllen, sondern auch darüber hinaus ein technologieübergreifendes Hardening durchgeführt haben, sollten Sie die Sicherheit Ihrer IT-Landschaft durch einen Penetrationstest auf die Probe stellen. Die Bandbreite reicht hier von simplen simulierten Hacking-Angriffen auf Ihre Systeme bis hin zu einer Case Study mit den Mitarbeitern gegen psychologische Angriffstechniken des Social Engineerings.

Zusammengefasst kann man sagen, dass Sicherheit in SAP-Systemlandschaften angesichts des heutigen Vernetzngsgrads von SAP-Systemen eine zentrale Rolle spielt. Mit einem fundierten Ansatz jedoch kann man auch hier erreichen, dass IT-Security als nachhaltiger Prozess implementiert werden kann, ohne die definierten Geschäftsprozesse negativ zu beeinflussen.

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.