Thought Leadership
Das Monitoring als „letzte Instanz der IT-Sicherheit“ gewinnt für Unternehmen zunehmend an Bedeutung: Gerade in SAP-Systemen finden sich viele kritische Daten – insbesondere zahlreiche personenbezogene Daten werden verarbeitet – die es bestmöglich zu schützen gilt.
In letzter Zeit häufen sich die Berichte über gezielte mehrstufige Angriffe auf SAP-Umgebungen, die spätestens jetzt den letzten Weckruf für Unternehmen bedeuten, welche ihre Sicherheitssysteme nicht überwachen. Durch Security Monitoring und geeignete Sicherheitsberichte besteht die Möglichkeit, die Sicherheitsmaßnahmen wie Berechtigungssysteme, Firefighter Accounts etc. laufend auf ihre tatsächliche Wirksamkeit zu überprüfen, sodass auch komplexe Sicherheitsvorfälle bereits in der Entstehungsphase erkannt werden können.
Aufzeichnung von (missbräuchlichen) Zugriffen benötigt
Es ist naheliegend, dass für die Erkennung eines missbräuchlichen Zugriffs auf SAP-Umgebungen und Daten zunächst die Aufzeichnung dieser Zugriffe benötigt wird. Es gibt immer mehr Fälle, bei denen davon ausgegangen werden muss, dass die IT-Abteilung oder das SAP-Team auf Anfrage die notwendigen Daten für die internen Forensiker oder externe Untersuchungsbehörden bereitstellen muss. Bisher haben die regulativen Anforderungen, Compliance-Aufrufe und entsprechenden Audits allerdings nicht wirklich Abhilfe geschaffen, um Aufzeichnungen der lesenden Zugriffe zu erstellen.
Häufig sind gerade bei kritischen Systemen, die kritische Daten vorhalten, verarbeiten oder für den Zugriff auf kritische Daten genutzt werden, die Zugriffe (lesend, schreibend, ändernd) auf solche Daten lückenlos und unveränderlich aufzuzeichnen. Unveränderlich? Nachdem sie stunden- oder tagelang auf einem potentiell kompromittierten System gelegen haben?
Bewältigung der Datenmenge mittels moderner SIEM-Systeme
Gefordert ist die event-gesteuerte, nicht zeitgesteuerte Übertragung dieser Zugriffsaufzeichnungen. Es entsteht folglich dadurch eine große Menge an Daten; durch den Einsatz moderner SIEM-Systeme, die mittlerweile State-of-the-Art sind, können allerdings bereits bis zu 20.000 Events pro System und Sekunde erfasst werden, also mehr als eine Milliarde möglicher Einträge pro Tag. Da das Filtern der Daten angesichts der Menge in keinem Verhältnis zum Aufwand steht, werden die Daten in Echtzeit korreliert, Angriffe und Betrugsversuche gleich bei der Entstehung erkannt und gemeldet.
Seit kurzem liegt es nicht mehr am Hersteller, dass die Daten nicht vorhanden sind, sondern am Anwender selbst. SAP liefert seit der Version 7.00 ein UI-Logging aus. Damit lassen sich Interaktionen mit der SAP-GUI, CRM Web Client UI und mit BW loggen. Seit der Version 7.40 SP2 gibt es ein Read-Access-Logging (RAL), mit dem nun auch Zugriffe über Web DynPro, SAP RFC und auch Webservices geloggt werden können.
Dem verbesserten Reporting folgt verbesserte Sicherheit
In der Folge müssen die notwendigen Auswertungen (Korrelationsregeln und Berichte) konzipiert und erstellt werden. Damit wird es möglich, die Sicherheitsstandards und –empfehlungen der SAP zu überwachen. Zusätzlich ist es möglich, die Firefighter-Logs automatisch auszuwerten und beispielsweise das Berechtigungswesen anhand der Ergebnisse laufend zu optimieren. Die Missbräuche von kritischen Daten können frühzeitig gemeldet werden. Mit den vollständigeren Aufzeichnungen sind bessere Auswertungen möglich, auch in Bezug auf Betrug oder Anomalien in den Aktivitäten, die einen hohen Sicherheitsstandard gewährleisten.
Diese IT Research Note könnte Sie ebenfalls interessieren:
Mehr Sicherheit und Code-Qualität in SAP-Systemen
Die IT Research Note „SAP Change und Security Management“ stellt eine ganzheitliche Sicht auf die SAP-Sicherheit vor, die sowohl die Sicherheit als auch die Qualität von SAP-Anwendungen nachhaltig erhöhen soll.
