95 Prozent aller SAP-Systeme mit schweren Sicherheitslücken

Martin Schindler,
Onapsis

Sicherheitspatches werden im Schnitt 18 Monate nach Erscheinen eingespielt und häufig ist nicht klar, wer im Unternehmen für die Sicherheit der Systeme zuständig ist. Damit komme es täglich zu erfolgreichen Angriffen, von denen die meisten Unternehmen aber gar nichts mitbekommen.

Der auf SAP-Sicherheit spezialisierte Anbieter Onapsis legt die Ergebnisse einer weltweiten Sicherheitsstudie vor. Demnach weisen 95 Prozent der untersuchten SAP-Systeme schwerwiegende Sicherheitslücken auf. Über diese Lücken können sich Angreifer Zugang zu den SAP-Systemen verschaffen und erheblichen Schaden anrichten. Insgesamt nutzen 250000 Unternehmen die Lösungen von SAP und auch 80 Prozent der weltweit größten 2000 Konzerne setzen SAP ein. Dennoch scheint es laut der Studie um die Sicherheit dieser Systeme nicht besonders gut bestellt zu sein.

Diese Sicherheitslücken gefährden nicht nur geistiges Eigentum, sondern auch personenbezogene Daten, Kreditkarten-Informationen oder auch Daten über Zulieferer.

Onapsis Research Labs hat für die Studie hunderte SAP-Implementierungen untersucht und diese auf unsichere Installationen und Konfigurationen hin abgeklopft; auch bekannte Sicherheitslecks wurden getestet. Im Schnitt dauert es anderthalb Jahre, bis ein Sicherheitsupdate eingespielt wird.

Und Sicherheitsupdates sind auch bei SAP keine Seltenheit: 2014 hat SAP 391 Sicherheitspatches veröffentlicht und knnapp 50 Prozent dieser Updates wurden von SAP mit “hoher Priorität” eingestuft. Im Schnitt veröffentlich SAP damit im Jahr 2014 also etwa 30 Updates pro Monat.

Der Aufbau und die Komponenten der Onapsis Security Plattform. Quelle: Onapsis
Der Aufbau und die Komponenten der Onapsis Security Plattform. Quelle: Onapsis

Durch die In-Memory-Datenbank-Technologie HANA verschärfe sich die Situation weiter, warnt das Unternehmen. Denn die Zahl der Sicherheitspatches, die auf diese Technologie zielen, sei um 450 Prozent nach oben geschnellt, heißt es von Onapsis.

Typischerweise, so die Experten der Onapsis Research Labs, setzen Angreifer im Wesentlichen auf drei verschiedene Vektoren. Die wohl häufigste Vorgehensweise nutzt so genannte Pivots innerhalb von SAP-Systemen. Diese zielen meist auf die Kunden- oder Kreditkarteninformationen ab. Dabei zielen die Angreifer zunächst auf ein System mit niedriger Sicherheitsstufe und arbeiten sich dann von dort aus weiter vor, bis sie in einem kritischen System gelandet sind und dort remote Funktionsmodule ausführen können.

Über Backdoor-Anwender, die die Angreifer im SAP J2EE-Benutzermanagement erzeugen, können Attacken auf Kunden- und Lieferantenportale gestartet werden. Über Sicherheitslücken können die Hacker dann über SAP-Portale und Plattformen für die Prozessintegration auf die anvisierten internen Systeme gelangen.

Als drittes typisches Szenario greifen laut Onapsis die Hacker über die Datenbanken ein System an und nutzen dafür die proprietären SAP-Protokolle. Mit den Rechten von bestimmten Nutzern werden dafür Betriebssystem-Befehle ausgeführt. Über Schwachstellen im SAP RFC-Gateway bekommen sie dann Zugriff auf die Datenbanken und können dann Informationen nicht nur einsehen, sondern auch verändern.

“Das Thema SAP-Cyber-Security wird von vielen Unternehmen nicht ernsthaft genug verfolgt, da nicht geklärt ist, wer dafür zuständig ist – das SAP-Betriebsteam oder das IT-Sicherheitsteam. Dies hat uns wirklich überrascht”, sagt Mariano Nunez, CEO und Gründer von Onapsis. Daher sieht Nunez das Thema auch in der Ebene der Geschäftsführung. Denn hier würde meist die irrige Annahme vorherrschen, dass die SAP-Systeme über die allgemeine Anwendungssicherheit im Unternehmen gewährleistet werde.

Und so komme es, dass viele Patches eingespielt würden, die nicht sicherheitsrelevant sind, oder neue Schwachstellen eröffneten. Nahezu täglich würden neue Datenlecks bekannt, ohne dass CISOs davon erfahren. “Weil ihnen die Visibility für ihre SAP-Anwendungen fehlt”, ergänzt Nunez.

Neben der Befolgung von SAP-Sicherheitshinweisen und dem Sicherstellen von korrekten Systemkonfigurationen empfiehlt das Unternehmen zudem weitere Punkte.

  • •Visibility in SAP-basiert Komponenten realisieren, um gefährdete Werte zu identifizieren.
  • •Vorsorge vor Sicherheits- und Compliance-Probleme durch kontinuierliche Überwachung treffen.
  • •Neue Bedrohungen, Angriffe und anomales Benutzerverhaltn als Gefährdungsindikatoren (Indicators of Compromise, IOC) erkennen und mit geeigneten Maßnahmen darauf reagieren.

Von Onapsis gibt es die erste SAP-Zertifizierte Sicherheitsplattform für SAP. Seit Herbst 2014 gibt es mit der Onapsis Security Platform (OSP) eine holistische Lösung, die über Sensoren auf Applikationsebene Schwachstellen in der Software und ungewöhnliche Muster aufspürt und meldet. Die Lösung unterstütz Anwendungen wie ERP, CRM, SCM, NetWeaver ABAP, J2EE, HANA, SAP Mobile, HCM oder die Business-Intelligence-Lösung BusinessObjects. Zuvor beschränkte sich die Opnapsis-Lösung darauf, unsichere Konfigurationen oder unsichere Versionen im Unternehmensnetzwerk aufzuspüren.

 

Lesen Sie auch : Quo vadis SAP-Berater?