Die Strategien für den Umgang mit Fehlkonfigurationen und Zero-Day-Schwachstellen in SAP-Systemen sind vielerorts unzureichend. Eine Security-Plattform hilft dabei, SAP-Sicherheitslücken proaktiv zu erkennen und organisiert zu beheben.
Nachholbedarf: Die Strategie zum Absichern von SAP-Systemen hat in vielen Fällen eine Überholung nötig, wie zwei Beispiele aus der jüngeren Vergangenheit zeigen. Im November 2021 ließ eine Schwachstelle in der Apache Protokollierungsbibliothek Log4j IT-Sicherheitsteams und SAP-Kunden aufschrecken. Diese SAP-Sicherheitslücke hatte es in sich. Zunächst einmal mussten Security-Teams untersuchen, in welchen Modulen diese Komponente zum Einsatz kommt, bevor sie sich an individuelle Abhilfemaßnahmen machten. SAP bestätigte kurz nach Bekanntwerden der Log4j-Problematik, dass noch weitere für die Internet-Kommunikation zuständige SAP-Komponenten betroffen waren und Kunden auf Patches warten mussten.
Kaum hatte sich die Log4j-Welle beruhigt, ereilte SAP-Kunden im Februar 2022 eine weitere Hiobsbotschaft: SAP vermeldete im Rahmen des monatlichen Security Patch Days eine kritische SAP-Sicherheitslücke in SAP Gateways und Internet Communication Manager – später ICMAD genannt – und veröffentlichte einen Fix. Die Installation dieses Patches brachte eine weitere Ausfallzeit.
SAP-Sicherheitslücken proaktiv erkennen und schließen
Beide Ereignisse zeigen die Schwächen vieler Strategien zum Umgang mit Zero-Day-Schwachstellen. Idealweise sollten Organisationen SAP-Sicherheitslücken proaktiv erkennen, deren Ausnutzung vorhersehen und dann organisiert damit umgehen. Künftige Taktiken sollten unter dieser Prämisse aufgesetzt werden. Es braucht eine nachhaltige Sicherheitsstruktur, wie Unternehmen auf unbekannte Schwachstellen reagieren.
Zunächst gilt es anzuerkennen, dass die bisherige Sicherheitsstrategie unzureichend ist, so der Software-Anbieter SecurityBridge. Dafür muss das Management sensibilisiert werden, denn ein Strategie-Update gibt es nicht kostenlos. Die damit verbundenen Investitionen müssen immer den finanziellen Auswirkungen und dem potenziellen Imageschaden gegenübergestellt werden, den eine Sicherheitsverletzung für das Unternehmen bedeuten würde.
Anzeige
IT-Matchmaker®.guide SAP-Lösungen
Standardreferenz und Einkaufsführer für IT-Entscheider
- Expertenbeiträge
- Anbieterprofile
- Referenzen aus der Praxis
- Produktübersichten
Inventar aller Anwendungen mit Risikokennzahlen
Eine nachhaltige Cybersicherheitsstrategie ist kein einmaliges Projekt, sondern ein permanentes Programm mit dem Grundsatz: Anwendungen sollten dem User besser nicht zu sehr vertrauen und stattdessen durch strenge Authentifikationsmaßnahmen geschützt werden. Ein effektiver Ansatz besteht darin, ein Inventar der vorhandenen Softwareanwendungen zu erstellen und diese nach den Risikokennzahlen des Unternehmens zu sortieren. SAP-Anwendungen sind in diesem Inventar oft unter den Top 10 zu finden.
Neben einem allgemeinen Sicherheitsprogramm, das traditionelle Sicherheitskomponenten wie Netzwerksegmentierung, Viren-Scanning und Client-Monitoring umfasst, empfiehlt sich ein anwendungsspezifisches Sicherheitsprogramm. Viele Unternehmen verzichten auf derartige Initiativen, da hierfür spezifisches Know-how erforderlich ist und es keine standardisierten Schnittstellen zu etablierten Cybersicherheits-Frameworks (NIST CSF, MITRE) und Security Information Event Management (SIEM) gibt.
Ein mehrschichtiger Ansatz mit ständigen Updates
Ein mehrschichtiger Sicherheitsansatz ist enorm wichtig, da nur er genügend Einblicke bietet, um SAP-Sicherheitslücken proaktiv zu erkennen und darauf angemessene Reaktionen einzuleiten. Ziel ist es, chaotische Situationen zu vermeiden, die bislang durch das Auftreten bisher unbekannter Sicherheitslücken verursacht wurden.
Unternehmen brauchen künftig einen dynamischen Standard, den sie kontinuierlich überprüfen und optimieren. Dieses Verfahren enthält drei Elemente:
• Monitoring
Beim Überwachen der Applikationssicherheit erkennen Administratoren Anomalien. Monitoring hilft dabei, Bedrohungen und deren Auswirkungen rechtzeitig zu erkennen. Und es führt zur Fähigkeit, adäquat zu reagieren.
• Abhärten
Aufgrund der Komplexität von SAP-Anwendungen fehlt vielen Unternehmen ein Verständnis für deren individuelle Angriffsflächen. Dies ist aber notwendig, um eine effiziente Sicherheitshärtung zu implementieren. Kombiniert mit einer regelmäßigen Bewertung verbessern Unternehmen ihre Cyber-Resilienz. Bei jeder Änderung – etwa beim Erstellen einer neuen RFC-Destination über die SAP-Transaktion SM59- sollten Administratoren die Auswirkungen auf die Sicherheit hinterfragen. Um der sich schnell ändernden Angriffslandschaft Rechnung zu tragen, muss dieser Bereich kontinuierlich angepasst werden.
• Regelmäßige Audits
Kontinuierliche Bewertungen, die bei Abweichungen von den Richtlinien zur Sicherheitshärtung Alarm schlagen, sind erforderlich, um das gewünschte Schutzniveau aufrechtzuerhalten. Da sich IT-Landschaften ständig ändern, reicht es nicht aus, die Systemsicherheit einmal im Quartal zu überprüfen. Jede Abweichung vom etablierten Standard sollte umgehend getestet werden. Darüber hinaus ist ein definierter Prozess nötig, um Abweichungen schnell zu korrigieren.
Eine interessante Möglichkeit für eine derartige Cyberabwehr bietet die vollständig in SAP integrierte Plattform SecurityBridge. Neben der Überwachung bringt diese Lösung Analysewerkzeuge mit, um nicht nur unsichere Konfiguration und fehlende Sicherheitsupdates, sondern auch Schwachstellen in kundeneigenen SAP-Entwicklungen zu erkennen. Jf
Der Autor
Holger Hügel ist Product Management Director bei SecurityBridge, Anbieter der gleichnamigen Plattform zur Abwehr von Cyberangriffen auf SAP-Systeme.
