Vulnerability Management und Threat Detection

Nach wie vor werden bei der Absicherung von SAP-Systemen die Erkennung von Bedrohungen und die Analyse von Schwachstellen oft getrennt betrachtet. Dabei ermöglicht ihre Synergie eine deutliche Verbesserung der Systemsicherheit, erklärt Ralf Kempf, CTO von Pathlock Deutschland, im Interview.

it security: Herr Kempf, eine Teilnehmer-Umfrage zur SAP-Security im Rahmen der IT-Online-Konferenz 2023 ergab, dass gerade mal ein Drittel der Befragten beide Methodiken implementiert hat. Wie ist das zu erklären?

Ralf Kempf: Zunächst: Das deckt sich ganz gut damit, wie der Markt gerade dasteht. Wir stellen aber schon eine verstärkte Nachfrage der Kombination beider fest. Viele Kunden haben erkannt, dass man am besten beides zusammen macht, weil die Zuständigkeiten ähnlich sind. Wir sehen dennoch häufig, dass erst mal Vulnerability Management eingeführt wird und dann Threat Detection.

it security: Laut Expert-Talk-Umfrage gibt es immerhin 8 Prozent, die es umgekehrt machen. Kann man also genauso mit Threat Detection beginnen oder damit allein arbeiten?

Ralf Kempf: Nun, man erhält sehr schnell sehr viele Ergebnisse, doch sind diese meist nicht verwertbar. Man muss diese Informationsflut gezielt steuern und ausbremsen, sonst fährt man sozusagen alle Vorteile für die Systemsicherheit gegen die Wand. Anders gesagt: Die Schwachstellen-Analyse ist die Grundlage für eine effektive Threat Detection, da man sonst den Wald vor lauter Bäumen nicht sieht.

it security: Und was vernachlässigen diejenigen, die nur Vulnerability Management betreiben?

Ralf Kempf: Beim Vulnerability Management geht es darum, die Systeme an einem Stichtag zu untersuchen und in einen Zustand zu bringen, dass man sie sicher betreibt, das heißt, Zugangsschutz, Verfügbarkeit, Wiederherstellbarkeit und Konsistenz der Daten gewährleistet. Die Statistiken zeigen aber, dass über 80 Prozent der erfolgreichen Angriffe mit fremden Identitäten passieren. Das bedeutet, ich habe als Eindringling die Zugangskarte oder Namen und Passwort von hochprivilegierten Benutzern gestohlen. Ein Vulnerability Management allein würde mich nicht bemerken, weil ich für dieses ein qualifizierter Benutzer bin. Hier kommt dann die Threat Detection ins Spiel, deren Aufgabe es ist, auftretende Anomalien zu entdecken. In dem Moment, wenn ich etwas Sonderbares tue, etwa ungesperrte Rechner suche, kann sie Alarm schlagen.

it security: Wo liegen denn die Herausforderungen für eine kombinierte Umsetzung?

Ralf Kempf: Knackpunkt ist zunächst die steigende Komplexität der Systeme, auch gerade unserer SAP-Kundschaft. Man hat das klassische SAP on premise, wie ERP, S/4HANA, CRM, und mittlerweile die klassische Microsoft-IT, die Operations IT, die Produktionssteuerung. Hinzu kommen heterogene Cloudanwendungen, viele haben Personaldaten, DATEV und Shopsysteme in der Cloud. Damit wird der gesamte IT-Fokus immer komplizierter und folglich auch die Übersicht, was in den Systemen passiert, wie diese überhaupt betrieben und gehärtet werden. Das ist stets die große Herausforderung, ein einheitliches Bild zu bekommen und Zuständigkeiten zu klären.

it security: Wie gehen Unternehmen Ihrer Erfahrung nach damit um?

Ralf Kempf: Es gibt eigentlich zwei Strategien: Dezentral bedeutet, jeder achtet auf seine eigene Systemlandschaft. Das ist meist keine gute Idee, weil jeder froh ist, wenn es bloß irgendwie läuft. Andererseits kann man zentral darauf schauen, sollte dann allerdings wissen: Was habe ich denn für eine IT? Hier haben wir schon interessante Entdeckungen gemacht, wichtige Systeme irgendwo im Mikrokosmos der Kunden-IT, die keiner kennt, die aber irgendwie laufen. Und Kunden, die nicht wissen, wie viele SAP-Systeme sie eigentlich haben.

it security: Aber das gilt sicherlich nicht für jedes Unternehmen.

Ralf Kempf: Natürlich nicht, aber klar ist: Oft fehlen Experten, die diese Komplexität überhaupt überblicken können und dann noch einen SAP-Fokus haben. Ein weiteres Defizit: Dank gestiegener Komplexität betrachtet man SAP-Systeme gerne mal als Blackbox nach dem Motto: „Lassen wir die schwarze Kiste einfach mal unbeachtet, dann wird schon alles gut gehen.“ Und diese Bequemlichkeit ist völlig inadäquat, hier laufen die eigentlich wichtigsten Business-Prozesse der Kunden und diese müssen entsprechend abgesichert sein.

it security: Trotzdem wird ja vergleichsweise selten über Attacken auf SAP-Systeme berichtet, oder?

Ralf Kempf: Auch hier führt eine gewisse Ignoranz zu dem Trugschluss, es sei vermutlich noch nie viel passiert, man sehe ja auch nichts in den Nachrichten. Denn was publik wird, sind bekannte Attacken auf Betriebssysteme wie Heartbleed, aber es steht letzten Endes nie dabei, was genau passiert ist. Betrachtet man jedoch die Menge abhandengekommener Daten, genügt es zu überlegen, wo diese in einem Unternehmen eigentlich gespeichert sind.

it security: Wie gelingt dann die Verbindung von Vulnerability Management und Threat Detection?

Ralf Kempf: Zuerst muss organisatorisch geklärt werden, dass beide Komponenten korrekt zusammenspielen. Im zweiten Schritt ist es nötig, die Schnittstelle zu haben, dass das Vulnerability Management in die Threat Detection hinein reportet und so Alarme generiert und zusammengefasst werden können. Für Investigations muss man sich das Ganze über einen längeren Zeitraum anschauen können. Und diese müssen von den Teams korrekt bewertet werden können. Dazu müssen die internen Prozesse richtig aufgesetzt und Entscheidungen getroffen werden. Das ist eigentlich der größte Aufwand für ein Unternehmen, die Mitigation von Schwachstellen oder auch von Threats. Die Technologie aufzusetzen ist meist gar nicht der komplexe Teil, Unternehmen tun sich eigentlich auf der Prozess-Ebene schwerer. Und daher muss das Ganze auf jeden Fall top-down passieren. Für Mitarbeiter ist es kaum möglich, das nach oben zu arbeiten. Es wird Zeit und Geld benötigt und im Unternehmen muss einfach das Bewusstsein vorhanden sein, dass sonst Kritisches passieren kann.

it security: Wird die Cloud das Thema Security in dieser Form nicht sowieso überflüssig machen?

Ralf Kempf: Natürlich bemühen sich die Hoster, dass Systeme sicher betrieben werden. Das sind namhafte Firmen, aber Fehler können alle machen. Allerdings ist ihr Effekt in der Cloud-Anwendung immer größer, weil die Daten mein Gebäude ja schon verlassen haben. Und gerade die Konfiguration und Überwachung ist ein sehr schwieriges Thema. Wenn ich einen Tenant hochfahre bei einem Kunden, stellt sich die Frage, wenn ich den jetzt lösche, wird das protokolliert? Die Antwort ist Nein, dann sind auch die Logs weg. Also wird die Komplettabschaltung nicht sauber protokolliert, das merkt man dann umgehend, wenn die Anwender anrufen. Das sind Aspekte der Cloud, da müssen wir alle noch lernen. Und ich sage mal, was wir Sicherheitsberater als Berufskrankheit haben, dieses ständige ParanoiaDenken, darüber schmunzeln ja manche und spotten, was wir uns da vorstellen, das passiert alles nicht. Ich antworte dann immer, stimmt, es kommt noch viel schlimmer, als wir uns das vorstellen.

it security: Herr Kempf, wir danken für das Gespräch.