Virtuelle Patches für die SAP-Sicherheit

Mit virtuellen Patches will der auf ERP-Sicherheit spezialisierte Anbieter Onapsis das Zeitfenster von Zero-Day-Attacken verkleinern und das Management von Patches in SAP-Umgebungen ein Stück weit automatisieren.

Durch diese neue Funktion, die derzeit bei ausgewählten Kunden getestet wird, können Anwender unmittelbar nachdem eine Verwundbarkeit über die Onapsis Sicherheitslösung gepatcht wurde, diese einspielen. Laut Hersteller soll sich durch die virtuellen Patches auch das Risiko minimieren, dass durch eine eingespielte Aktualisierung, ein Dienst nicht mehr Verfügbar ist.

Im Lauf dieses Jahres soll das virtuelle Patching als als Teil der Onapsis Security Platform (OSP) allgemein verfügbar werden. Die kontextsensitive Lösung sorgt für präventive Kontrollen für das Überwachen von Schwachstellen und Compliance-Anforderungen sowie Echtzeitfunktionen für das Erkennen und sofortige Reagieren auf ungewöhnliche Ereignisse.

Die virtuellen Patches sorgen bei Abonnenten des OSP-Advanced-Threat-Protection (ATP)-Dienstes vor Zero-Day-Angriffen auf SAP-Systeme, sobald diese Schwachstellen von den Onapsis Research Labs entdeckt wurden. Über eine gestaffelte Anwendung der Patches können Aktualisierungen auch gegen Anbindungen von Systemen an ungeschützten Netzwerke implementiert werden.

Als Vorteile dieser neuen Funktion nennt Onapsis ein schnelleres Beheben von Sicherheits-Lecks sowie Zeit- und Kostenersparnise im Vergleich zum manuellen Aufspielen der Patches. Auch lassen sich so Sicherheitsdienstleistungen für Betreiber cloudbasierter SAP-Infrastrukturen einfacher ausrollen.

Nachdem SAP-Systeme sehr wertvolle Unternehmensinformationen verwalten, sind solche Installationen für Kriminelle natürlich lohnende Ziele. Weil solche Systeme auch zahlreiche Schnittstellen für Partner, Lieferanten oder Kunden bieten, bergen Fehlkonfigurationen oder Sicherheitslecks für Angreifer Einfallstore.

“Während IT-Sicherheitsteams nicht genug Zeit haben, die Komplexität der SAP-Implementierungen zu verstehen, fehlt den SAP-Basis-Teams die Zeit für eine ordnungsgemäße Überprüfung und Planung der monatlich veröffentlichten SAP-Sicherheitspatches”, Alex Horan, Director of Product Management bei Onapsis. “In der Praxis sind sie oft dazu gezwungen, Sicherheitsupdates zu ignorieren und sich auf Funktionalitätsänderungen ihrer SAP-Anwendungen zu konzentrieren. In der Folge bedrohen oft längst bekannte Schwachstellen und Insider-Wissen viele SAP-Implementierungen.”

So warnt aktuell das US-CERT vor Angriffen auf ein Leck in SAP-Systemen, das der Hersteller im Invoker Servlet des SAP NetWeaver Application Server Java System bereits 2010 behoben hat. Laut CERT sind derzeit mindestens 36 Unternehmen weltweit betroffen. Onapsis zufolge soll es bereits Angriffe gegen die SAP-Anwendungen dieser Firmen geben.

Die Studie “Top Three Cyber Attack Vectors for SAP Systems” der Onapsis Research Labs zeigt, in welchem Maße dieser Ressourcenmangel die Sicherheit von SAP-Implementierungen gefährdet: Unternehmen brauchen im Schnitt rund 18 Monate oder mehr, um Patches zu installieren. Bei über 200 allein im Jahr 2015 veröffentlichten Patches für als “high priority” eingestufte Sicherheitslücken sind die Folgen des Zeitmangels also enorm.

“Zu betonen ist, dass SAP-Anwendungen in jedem Unternehmen im hohen Grad dafür angepasst sind, die Anforderungen der Interoperabilität im jeweiligen Unternehmen zu erfüllen”, erklärt Horan. “Wegen der stets individuellen SAP-Implementierungen gibt es keine Standards für die Überwachung und den endgültigen Schutz gegen Attacken, die auf Fehlkonfigurationen im System zielen.”