Thought Leadership
Kontinuierliche Überwachung ist wichtig
Für eine umfassende und lückenlose Überwachung von SAP-Landschaften ist eine Lösung notwendig, welche die Aufgaben eines SIEM für SAP-Systeme übernimmt oder eine Schnittstelle zu vorhandenen SIEM-Lösungen anbietet. Um dies zu realisieren müssen alle Vorgänge innerhalb der SAP-Systeme kontinuierlich im Hintergrund überwacht werden, um auffällige Vorgänge jederzeit erkennen zu können. Diese Vorgänge müssen dann miteinander korreliert werden. Dazu ist ein SAP-spezifisches Regelwerk erforderlich, das auch das Nutzerverhalten laufend analysiert. Des Weiteren müssen diese Informationen nicht nur an die Sicherheitsabteilung beziehungsweise an ein angeschlossenes SIEM-System weitergeleitet werden, sie müssen auch so aufbereitet werden, dass es kein SAP-Know- How erfordert, mögliche Bedrohung umgehend als solche zu erkennen.
Hier kommt die SAP-spezifische Threat Intelligence ins Spiel. SAP-Systeme sind extrem komplex, die meisten SAP-Landschaften bestehen aus mehreren, teils gar dutzenden oder hunderten einzelnen Systemen, die unterschiedliche Geschäftsprozesse wie Logistik, Personalwesen oder Produktion abdecken. Hinzu kommt, dass schon ein einziges SAP-System ein Vielfaches an Codezeilen enthält als beispielsweise ein Betriebssystem. Dementsprechend ist es wichtig, alle Schwachstellen innerhalb der SAP-Landschaft zu kennen. Dazu gehören Systemparameter, die Passwortregeln definieren, aber auch potentiell ungesicherte Schnittstellen oder – gerade im SAP-Bereich – von Kunden selbst erstellte Programmierungen. Eine Identifizierung und Absicherung dieser möglichen Schwachstellen ist nicht nur aufgrund der Komplexität der SAP-Systeme eine Herausforderung. Durch laufende Änderungen der Systemkonfiguration, dem Hinzufügen neuer Benutzer oder Berechtigungen und das Transportieren von Änderungen innerhalb der Systemlandschaft sind die Einstellungen zudem hoch dynamisch.
Alle SAP-Bereiche sollten abgedeckt sein
Ein großes Problem stellen auch die umfangreichen und komplexen Berechtigungen innerhalb eines SAP-Systems dar. Zu großzügig vergebene Berechtigungen führen oft dazu, dass ein Nutzer unwissentlich die Möglichkeit hat, kritische Einstellungen zu ändern – ein nicht zu unterschätzendes Sicherheitsrisiko. Und nicht nur das: auch das Thema Compliance ist im Berechtigungswesen ein wichtiger Faktor. Ein gutes Beispiel ist der sogenannte Trainee-Effekt: ein Trainee durchläuft während seiner Ausbildung viele Abteilungen. Auf diese Weise kann es passieren, dass der Trainee am Ende der Ausbildung alle Rechte aller Abteilungen kumuliert hat – was nicht nur zu einem Sicherheitsrisiko führt, sondern auch den Wirtschaftsprüfern auffallen wird.
Um die Schwachstellen in den oben genannten Bereichen frühzeitig zu identifizieren ist ein Scanner erforderlich, der alle Bereiche wie Systemparameter, Schnittstellen aber auch Rollen und Berechtigungen auf mögliche Sicherheitsund Compliance-Probleme überprüft. Bedingt durch die hohe Komplexität schon eines einzelnen SAP-Systems sollte bei der Auswahl einer solchen Vulnerability Management-Lösung zwei Dingen besonders Beachtung geschenkt werden: Einerseits sollte eine Prüfung möglichst umfangreich sein. Die Sicherheitsleitfäden der SAP selbst sowie der Prüfleitfaden der DSAG bieten hier einen guten Anhaltspunkt. Zum anderen sollte ein solcher Scanner in die Echtzeitüberwachung möglichst nahtlos integriert sein, um Änderungen am System frühzeitig zu erkennen und an die verantwortlichen Stellen weiterleiten zu können.
Threat Intelligence im SAP Umfeld besteht dementsprechend aus mehreren Schritten: Schwachstellen müssen zunächst identifiziert werden, die Systeme müssen durch Härtung und passgenaue Berechtigungen geschützt werden und ein kontinuierliches Monitoring muss Anomalien erkennen und einordnen können. Mit diesen Schritten folgt eine SAP-Sicherheitsstrategie weitgehend dem NIST-Framework für Cybersecurity, das vom Nationalen Institut für Standard und Technologie der USA bereitgestellt wird und sich als de-facto-Standard etabliert hat.
Ohne Kontext keine Intelligenz
Für die Threat Intelligence wiederum ist entscheidend, dass diese separaten Schritte in einen anwendungsspezifischen Kontext gestellt werden. Es genügt nicht, eine Datenbank mit standardisierten Schwachstellen eines SAP-Systems vorzuhalten. Vielmehr müssen diese Daten miteinander korreliert werden, unter Berücksichtigung der von Angreifern verwendeten Vorgehensweise. Ein gutes Beispiel ist der 2019 entdeckte Expoit 10KBLAZE. Dieses „Werkzeug“ versucht, über bekannte Schwachstellen und Fehlkonfigurationen in ein SAP-System einzudringen. Das Absichern einzelner Schwachstellen im Visier des Exploits bedeutet nicht notwendigerweise, dass es einem Angreifer nicht gelingen kann, die Systemlandschaft tatsächlich zu kompromittieren. Vielmehr sollte eine Lösung zur Absicherung Schwachstellen und Log-Einträge mit dem notwendigen Hintergrundwissen korrelieren. Nur so kann ein Angriff effektiv erkannt und abgewehrt werden.
Bei der Auswahl einer solchen Lösung sollten zwei Kriterien im Vordergrund stehen. Für die Identifizierung und Beseitigung von Schwachstellen sollte ein möglichst umfassender Katalog an Prüfungen bereitstehen, der sich nach etablierten Standards richtet. Für die Analyse der Aktivitäten wiederum ist eine intelligente Korrelationslösung wichtiger als eine Lösung, die eine sekundengenaue Auswertung verspricht. Anders gesagt: es ist schlauer, die Nadel im Heuhaufen mit einem Magnet herauszuziehen als eine Datenbank zu betreiben, die jeden einzelnen Grashalm separat untersucht.
