Weltweit 36.000 unsichere SAP-Systeme

Martin Schindler,
SAP (Bild: SAP)

SAP-Systeme sind umfangreich und bieten viele Schnittpunkte. Entsprechend komplex ist das Thema Sicherheit in diesem Bereich. Sicherheitsforscher wollen jetzt bei Sicherheitsscans tausende unsichere Systeme entdeckt haben.

Der auf SAP-Sicherheit spezialisierte Anbieter ERPScan legt zum ersten Mal einen Jahresbericht für die Sicherheit von SAP-Systemen vor. Laut “SAP Cyber Security in Figures – Global Threat Report” sollen nach wie vor mehrere Zehntausend Systeme über das Internet angreifbar sein. Knapp 70 Prozent der Services, die diese weltweit installierten Systeme angreifbar machen, sollten eigentlich nicht über das Internet erreichbar sein, warnen die Sicherheitsforscher. ERPScan-Konkurrent Onapsis sieht dagegen eine deutliche Ausweitung von Sicherheitsrisiken in der SAP-Welt.

Die Zahl der verwundbaren Systeme auf Länderebene: Im SAP-Heimatmarkt Deutschland gibt es vergleichsweise wenige unsichere Konfigurationen, weil hier das Internet of Things und Industrie 4.0 noch nicht so stark verbreitet sind. (Bild: ERPScan)
Die Zahl der verwundbaren Systeme auf Länderebene: Im SAP-Heimatmarkt Deutschland gibt es vergleichsweise wenige unsichere Konfigurationen, weil hier das Internet of Things und Industrie 4.0 noch nicht so stark verbreitet sind. (Bild: ERPScan)

Für den Anbieter ist das ein klares Zeichen, dass nach wie vor das Thema SAP- und ERP-Sicherheit nicht in der nötigen Tiefe angegangen wird. Dennoch – bei vielen Unternehmen scheint das Bewusstsein für das Problem zu wachsen und auch bei SAP ist man auf allen Ebenen des Entwicklungsprozesses darum bemüht, die Produkte so sicher wie möglich zu machen.

Diese Bemühungen fangen bereits bei der Entwicklung und beim Testen der Software an. Lecks, die erst nach einem Release entdeckt werden, behebt SAP mit Patches.

ABAP ist die Grundlage vieler SAP-Produkte und daher für eine Vielzahl der Verwundbarkeiten verantwortlich. (Bild: ERPScan)
ABAP ist die Grundlage vieler SAP-Produkte und daher für eine Vielzahl der Verwundbarkeiten verantwortlich. (Bild: ERPScan)

SAP-Produktsicherheit

Seit einigen Jahren geht die Zahl der veröffentlichen Patches im SAP-Umfeld zurück. Doch das bedeute noch nicht, dass auch die Zahl der Sicherheitslecks abnimmt. Von ERPScan heißt es, dass SAP nun dazu übergehe, mehrere Updates in umfangreicheren Bulletins zusammenzufassen. Für die Anwender vereinfache das den Patch-Prozess, weil sie nicht mehr jedes Problem einzeln beheben müssen.

In Deutschland ist die Zahl der "unnötigen" Services mit Web-Schnittstelle im weltweiten Vergleich am niedrigsten. (Bild: ERPScan)
In Großbritannien und Deutschland ist die Zahl der “unnötigen” Services mit Web-Schnittstelle im weltweiten Vergleich am niedrigsten. (Bild: ERPScan)

Natürlich steigt auch die Zahl der verfügbaren SAP-Produkte und Module. Auch sind viele SAP-Produkte inzwischen über das Web oder mobil erreichbar und die Zahl der betroffenen Nutzer kann dann schnell in Höhe schnellen. So betraf ein Leck in SAP Mobile mehrere Millionen Geräte und ein Leck in SAP HANA hatte über 6000 Unternehmen betroffen.

Erst vor wenigen Tagen wurde ein neues Leck in HANA bekannt.

“Allein die von den Softwareherstellern am 21. Juli vorgestellten Sicherheitsmeldungen beschreiben Risiken einer neuen und einzigartigen Qualität. Die meisten Lücken, die Angreifer ausnutzen können, werden nämlich oft unterschätzt, weil es nicht immer klar ist, wie eine technische Schwachstelle sich auswirkt”, erklärt Sebastian Bortnik, Head of Research bei Onapsis zu den aktuellen Patches von Oracle und SAP. “Der Schaden kann sich auch im Verborgenen abspielen. So generiert zum Beispiel eine der kritischen Schwachstellen zunächst eine Fehlermeldung und spielt damit Angreifern sensible Informationen über die betroffene Umgebung, die Anwender oder die dort verwalteten Daten zu.”

Laut Onapsis sollen die Schwachstellen in SAP-HANA mehr als 10.000 SAP-Kunden und Betreiber verschiedener SAP-HANA-Versionen gefährden. Neben einem Leck, das über eine remote Brute-Force-Attacke erlaubt, die Privilegien für HANA-Systeme auszuweiten und damit Zugriff auf sämtliche Geschäftsinformationen erlaubt, lassen sich über andere Schwachstellen Audit-Log-Einträge Angriffe verschleiern.

Praktisch jedes SAP-Modul betroffen

Jedoch weise beinahe jedes SAP-Modul oder Produkt Lecks auf. Am häufigsten treten laut ERPScan SAP die Produkte CRM, Enterprise Portal (EP) und SAP Supplier Relationship Management (SRM) mit Lecks in erscheinung. Allerdings sollte man auch SAP HANA und Mobile nicht außer Acht lassen, denn auch in diesen Modulen finden sich Lecks und neben Sicherheitsforschern interessieren sich auch immer häufiger auch Hacker dafür. Daneben gibt es auch Lecks in Branchenlösungen wie SAP for Banking, Retail, Advertising Management, Automotive und Versorgerunternehmen.

Unsichere Konfigurationen

Doch die SAP-Sicherheit hat auch noch einen weiteren Aspekt. Häufig werden SAP-Systeme auch durch die Implementierung zu einem Sicherheitsrisiko. Davon abgesehen, werden auch von einigen Unternehmen Sicherheitsupdates regelmäßig nicht aufgespielt.

Cross Site Scripting ist zusammen mit Authentifizierungsproblemen der häufigste Grund für Patches von SAP. (Bild: ERPScan)
Cross Site Scripting ist zusammen mit Authentifizierungsproblemen der häufigste Grund für Patches von SAP. (Bild: ERPScan)

Die Experten von ERPScan wollen insgesamt 36.000 Systeme gefunden haben, die über unsichere Services mit dem Internet verbunden sind. Laut den Forschern sollten aber knapp 70 Prozent dieser Services überhaupt nicht direkt über das Internet verfügbar sein. Die meisten dieser Systeme müssten daher eigentlich kein Sicherheitsrisiko für die Unternehmen darstellen.

“Wir haben dafür unsere eigene Scanning-Methode entwickelt, um über SAP-Systeme Informationen zu sammeln. Die Protokolle, die für die Kommunikation zwischen SAP-Servern verwendet werden, sind meist Proprietär und nicht besonders bekannt außerhalb der SAP-IT-Welt. Daher umfassen die meisten offenen Scan-Ressourcen auch nicht diese spezifischen Protokolle”, erklärt Mthieu Geli, Director von SAP Threat-Intelligence bei ERP Scan. Daher habe man eine Datenbank mit Probe-Requests erstellt und über die Anworten den Status des Services bestimmt.

Nachdem SAP auch in kritischen Infrastrukturen wie etwa in Raffinerien oder anderen großen Industrieanlagen eingesetzt wird, könnten sich diese zu einem physischen Sicherheitsproblem auswachsen. Vor allem Ländern, in denen das Internet of Things weit verbreitet ist, wie den USA, Deutschland oder China gibt es viele unnötige Services, die mit dem Internet verbunden sind.

Am häufigsten nachgefragt werden derzeit Spezialisten für SAP. Auch Security-Experten sind heiß begehrt. (Quelle: Lünendonk-Marktsegmentstudie 2016: Der Markt für Rekrutierung, Vermittlung und Steuerung von IT-Freelancern in Deutschland, Juni 2016)
Gefragte Experten: Am häufigsten nachgefragt werden derzeit Spezialisten für SAP. Auch Security-Experten sind heiß begehrt. (Quelle: Lünendonk-Marktsegmentstudie 2016: Der Markt für Rekrutierung, Vermittlung und Steuerung von IT-Freelancern in Deutschland, Juni 2016)

“Tiefe Assessments von Datenbanken und Applikationen wie ERP-Systeme (zum Beispiel SAP oder Orcale) werden in traditionellen Vulnerability Assessments nicht berücksichtigt, weil diese sich auf Geräte konzentrieren”, heißt es von Gartner zu Thema. Gleichzeitig bedeutet ein SAP-Systeme bis zu 1000 Parameter, die in einer Standard-System-Konfiguration berücksichtigt werden müssen. Hinzu kommen weitere Optionen und Zugangsrechte zu weitere Transaktionen. Was die Sicherung von SAP-Systemen weiter erschwert, ist die Tatsache, dass sämtliche Systeme verschieden sind, weil Anwender diese nach ihren Bedürfnissen konfigurieren und auch mit eigenen Programmen und Entwicklungen erweitern. Weil aber auch die Kriminellen immer mehr erkennen, wie wertvoll Informationen aus SAP-Systemen sein können, wird man in der Industrie um dieses Thema nicht herum kommen.

Doch auch wenn der ERPScan-Report auf SAP abzielt, haben konkurrierende Anbieter ähnliche Probleme: Zuletzt hatte der Oracle Critical Patch Updates für den Monat Juli 2016 insgesamt 276 Aktualisierungen umfasst und damit doppelt so viele wie noch vor einem Jahr. Auch hier lassen sich die meisten Sicherheitslecks über Fernzugriff ausnutzen.

Von SAP heißt es dazu: “SAP arbeitet seit Jahren eng mit verschiedenen externen Unternehmen zusammen, die sich auf die Sicherheit von SAP-Lösungen spezialisiert haben. Dazu zählt auch die Firma ERPScan. Die im Bericht von ERPScan genannten Sicherheitslücken sind bereits seit geraumer Zeit geschlossen, entsprechende Patches stehen für unsere Kunden auf dem SAP Service Marketplace zum Download zur Verfügung. Wir empfehlen, alle verfügbaren Patches umgehend einzuspielen.”