SAP-Sicherheit - wo soll man anfangen?

Teilen Sie
  • Sicherheit

Seit vielen Jahren erhalte ich bei Treffen mit Führungskräften, bei denen es um die Sicherheit von SAP geht, diese Nachricht zurück:

“Wir haben mehrere Millionen Zloty für die Einführung von SAP ausgegeben, und Sie wollen sagen, dass es kein sicheres System ist?”

Wie auch immer man es betrachtet - die Frage ist berechtigt. Immerhin ein starker Anbieter, eine Vielzahl von Implementierungspartnern, enorme Kompetenz, Toolentwicklung und permanente Unterstützung durch den Hersteller.

Die Antwort auf diese Frage ist einfach. SAP ist sicher, aber...

“Aber” Nr. 1 - Konfiguration

Es liegt in der Verantwortung des Kunden, das System entsprechend zu parametrieren. Es gibt eine Vielzahl von Konfigurationseinstellungen, deren falsche Definition zu einer Reihe von gefährlichen Situationen führen kann.

Beispiel:

Die Passwörter der Standardkonten sollten geändert und hochprivilegierte Profile (z. B. SAP_ALL) gelöscht werden.
Wichtig ist, dass das Standardkonto, wenn es gelöscht wird, automatisch neu erstellt wird (mit dem Standardpasswort). Für das SAP*-Konto sollte daher das Passwort geändert und der Parameter login/no_automatic_user_sapstar auf 1 gesetzt werden (keine automatische Wiederherstellung des SAP*-Kontos).

Es liegt daher in der Verantwortung des Kunden, diese Parameter an seine Bedürfnisse anzupassen.

Auf der technischen Seite reagiert SAP auch regelmäßig auf gefundene Schwachstellen, indem es Sicherheitshinweise veröffentlicht, die Schwachstellen und Risiken effektiv aufladen. Es ist jedoch Sache des Kunden, die Hinweise ordnungsgemäß hochzuladen, und das ist nicht immer einfach oder schnell.

Beispiel:

Kommunikation ohne Verschlüsselung - oft sogar erzwungen durch komplexe Umgebungen, die sich mit dem System verbinden. Mithören Sie einfach das interne Netzwerk ab, um den Inhalt der Kommunikation zu erfahren.

 

Beachten Sie die obige Architektur. Alle Schichten, auch die „unter” der Anwendungsschicht, dürfen nicht vergessen werden. Daher ist eine ordnungsgemäße Parametrisierung der DB oder des Betriebssystems von entscheidender Bedeutung, damit ein cleverer Benutzer nicht die Möglichkeit hat, seine Berechtigungen zu umgehen.

„Aber” Nr. 2 - Genehmigungen

Wenn man SAP-Einführungsprojekte beobachtet, hat man den Eindruck, dass Sicherheitsfragen - wenn überhaupt - nur am Rande behandelt werden. Ich habe noch keine SAP-Implementierung gesehen, die sich umfassend mit der Erstellung eines solchen Berechtigungskonzepts auseinandergesetzt hat, in dem das Thema kritische Berechtigungen und Berechtigungskonflikte ein tragendes Element wäre.

Alles in allem darf man sich nicht wundern, wenn die Implementierung pünktlich und im Rahmen des Budgets abgeschlossen werden muss - das Wichtigste bei einer solchen Implementierung ist es, die Geschäftsfunktionalitäten schnell zum Laufen zu bringen (und das bestreite ich keineswegs).

Schließlich stellt SAP vordefinierte Rollen und Profile zur Verfügung, mit denen es sehr einfach ist, die Arbeit aufzunehmen. Dies ist eine Abkürzung, die bei Prüfungen nach hinten losgehen kann oder (schlimmer noch) zu einem effektiven Missbrauch durch die Nutzer führt.

Wenn wir über sie sprechen - Benutzer in ausgereiften Systemen, in denen sie historisch durch die Organisation „gereist” sind, zu viel Macht haben. Dies ist eine Folge dieser „Reise” und eines besonderen Merkmals von SAP - positive Berechtigungen. In SAP kann man nicht einfach Berechtigungen subtrahieren, der Vektor ist nur positiv. Außerdem überträgt sich der Entzug von Berechtigungen in einer Rolle augenblicklich auf andere Benutzer.

All dies bedeutet, dass, wenn der sprichwörtliche Schmied seit vielen Jahren in einer Organisation tätig ist - die Rollen werden häufiger hinzugefügt als gestrichen. Und hier kommen wir zu einem Wert, der nicht angenehm für das Auge ist:

10%

 

Dies ist Durchschnittswert der in den Systemen verwendeten Berechtigungen, die wir auf ihre Sicherheit hin testen konnten. Das bedeutet nicht weniger als dass 90%-Genehmigungen sind einfach unnötig. Und dies ist ein direkter Weg zu kritischem Zugriff und Konflikten mit Privilegien, daher die erste rote Ampel bei Audits.

Zuständigkeitskonflikte - Hier ist die Sache per Definition einfach.

„Behalten Sie bei der Umsetzung kritischer Prozesse das 2-Augen-Prinzip bei”.

Es gibt jedoch hundert- und zehntausende von Transaktionen, die standardmäßig in SAP enthalten sind. Ohne entsprechende Automatisierung sind wir nicht in der Lage zu überprüfen, was alle Transaktionen bedeuten. Eine Person, die sich in ihrem eigenen Modulbereich auskennt, weiß nichts über die anderen, und modulübergreifende Konflikte sind ein Albtraum.

Im obigen Beispiel Achten Sie auf die Spalte „Transaktionen”.”.
Sind Sie in der Lage, anhand dieser Nomenklatur die Frage zu beantworten, welche Risiken mit einer solchen Reihe von Transaktionen verbunden sind?

Wie wäre es, wenn ich Ihnen sagen würde, dass es Hunderte dieser Konfliktsituationen geben könnte?

Dann wird die Sache noch komplizierter.

„Aber” Nr. 3 - Überwachung

Weniger als ein Viertel der SIEM-Systeme überwachen Geschäftsanwendungen in Unternehmen weltweit (HPE-Umfrage 2016). Es ist unmöglich, Risikodefinitionen auf einfache Art und Weise zu erstellen, ohne eine strenge Risikodefinition vorzunehmen, damit das SOC kritische Ereignisse interpretieren kann.

Die Vielzahl der SAP-Protokollquellen ist ebenfalls ein Grund für die mangelnde Transparenz der Vorgänge im System.

Oben sehen Sie ein Beispiel dafür, welche Protokollgruppen sich um SAP herum bewegen.
Jedes dieser Protokolle birgt seine eigenen Probleme, z. B. in Bezug auf die falsche Klassifizierung von Ereignissen, das Überschreiben oder die mangelnde Lesbarkeit. Und das macht die Herausforderungen bei der SAP-Überwachung nicht gerade einfach.

Beispiel für einen Angriff

Wir sind auf einen raffinierten Missbrauch gestoßen, der von einem Administrator betrieben wurde, der Warenbestellungen und deren Abrechnung (auf gefälschte Konten) über einen vorbereiteten Benutzer abwickelte. Das Verfahren lief etwa ein Jahr lang und wäre unbemerkt geblieben, wenn nicht die Gier im Spiel gewesen wäre (aber dazu heute mehr).

Der Administrator ging davon aus, dass es ausreichen würde, eine Hintertür des Benutzers zu erstellen, um seine Spuren so gut wie möglich zu verwischen. Das Verfahren ist einfach:

Ich ändere den Typ des technischen Benutzers auf „Service”. (An dieser Stelle sollte hinzugefügt werden, dass ein technischer Benutzer einer ist, der oft viele Rechte hat, und niemand sollte sich im Dialogmodus über die SAP-GUI anmelden können).

Nach dieser Änderung durch SU01 haben wir einen Backdoor-Benutzer eingerichtet.

Hier fügen wir einfach SAP_ALL hinzu, und es gibt keine Grenzen für unsere Aktionen.

Schließlich wird das System bereinigt und der technische Benutzer kehrt in den Systemmodus zurück. Das Ganze dauert nicht länger als 5 Minuten. Schauen wir uns die Spuren im System an. Werfen wir einen Blick auf SAL:

Und dort:

  • keine Profilinformationen SAP_ALL
  • keine Informationen zum Wechsel des technischen Benutzers in den Servicemodus
  • in roter Farbe die Erstellung eines Benutzers (ja, SAL in roter Farbe zeigt die Erstellung eines jeden Benutzers an, so dass es im Trubel der täglichen Aktivitäten leicht zu übersehen ist).

Natürlich ist es möglich, Standardtools wie den SAST Security Radar zu verwenden, der solche Szenarien in seine Bibliotheken integriert hat.

Und hier eine ganze Reihe von Warnmeldungen, wie z. B.:

  • Wechsel in den Servicemodus und Anmeldung im technischen Benutzerdialog,
  • SAP_ALL hinzufügen.

 

ZUSAMMENFASSUNG

SAP ist an sich sicher. Es liegt jedoch an den Maßnahmen des Kunden, sich um die Datensicherheit zu kümmern. In diesem speziellen Kontext ist es unmöglich, die Vorteile von speziellen SAP-Sicherheitswerkzeugen zu ignorieren.

Je umfassender Sicherheitsthemen behandelt werden (d.h. sowohl Überwachung, Autorisierung als auch technische Fragen sind vorgesehen), desto geringer sind die Risiken für Ihre Daten.

SAP-Sicherheit - wo soll man anfangen?

Tomasz Jurgielewicz

Leiter der Sicherheitsabteilung bei Lukardi. Er leitet seit 10 Jahren ein Team von SAP-Sicherheitsspezialisten und bietet umfassende Dienstleistungen und Tools zur Sicherung von SAP-Systemen und zur Optimierung von Lizenzen. Erfahrung in den Bereichen: - Identifizierung von Berechtigungskonflikten und Reorganisation von Berechtigungen, - Identifizierung von SAP-Schwachstellen, - Integration von SIEM-Lösungen mit SAP, - Optimierung von SAP-Lizenzen.