Reisen bildet – unsere Tour durch die SAP Portal Schutzlandschaft

Für Cyberkriminelle ist SAP zu einem äusserst beliebten Ziel geworden. Onapsis-Recherchen ergaben, dass bis zu 95% der SAP-Installationen kompromittiert werden könnten, d.h. dass Daten gestohlen und geschäftskritische Prozesse tangiert sein könnten. Der Report beschreibt ferner die Lage als „durch die Risse fallend“ aufgrund der „Verantwortlichkeitslücke“ zwischen SAP-Operations- und IT-Sicherheits-Teams.

Aufgrund dieser Situation ist SAP zu einem System geworden, auf das man besonders achten muss. Zum Glück gibt es Lösungen, die helfen die Schwachstellen zu entschärfen. Wir werden sie näher betrachten, während wir die SAP-Sicherheitsprobleme beleuchten.

Unsere Tour durch die Möglichkeiten des SAP-Portalschutzes beginnt mit den Schlüsselbereichen, die betroffen sind. Diese lassen sich wie folgt gliedern:

  1. Authentisierung ins Portal
  2. privilegierte Zugriffsrechte
  3. externe Angriffe

Der dritte Bereich ist für SAP ein Problem neueren Datums. Ursprünglich war SAP ein geschlossenes System, d.h. für den internen Gebrauch innerhalb einer Organisation entworfen. Doch seit Cloud Computing und Web-Schnittstellen (API) zur Regel geworden sind, hat auch SAP sein Interface für die Webanbindung ausgeweitet. Die Öffnung nach aussen hat SAP zum Ziel webbasierter Angriffe gemacht. Doch auch die Insider-Bedrohungen und das simple Missmanagement von Benutzerdaten dürfen nicht vergessen werden.

Die Treiber des SAP-Schutzes

Die Gründe für den SAP-Schutz bewegen sich in zwei Hauptbereichen:

  1. Der Schutz proprietärer Information und anderer sensitiver Daten
  2. Die Erfüllung von Compliance-Anforderungen und gesetzliche Bestimmungen, zum Beispiel die EU Datenschutzrichtlinie

Authentisierung

Benutzername und Passwort + zweiter Faktor

Die richtige Umsetzung und das fundierte Design eines robusten Authentisierungssystems innerhalb von SAP stellen einen grundlegenden Schritt für die Zugangskontrolle zu schützenswerten Daten dar.

Die SAP Default-Konfiguration für Benutzername und Passwort kann mittels One-Time Password, OTP, („Einmalkennwort“) für den Einsatz eines Zwei-Faktor-Systems erweitert werden. Das SAP OTP bietet zusätzliche Sicherheit, da es zeitlich begrenzt ist, d.h. es handelt sich um ein TOTP (time-based OTP) und besteht nur eine konfigurierbare Zeit lang. Die Verwendung von Zwei-Faktor für jedes Anwendungs-Sign-in wird empfohlen, um das Risiko von Benutzerlogindiebstahl via Spear Phishing Versuche und Malware zu reduzieren. Diebstahl ist bei einem Zwei-Faktor-Vorgehen schwieriger, da es ein Out-of-Band-System darstellt – typischerweise auf einem Mobilgerät, z.B. mit einem OTP-Generator. Es gibt einige Drittsysteme, die SAP-Zwei-Faktor- bzw. Multifaktor-Authentisierungserweiterung bieten. Es lohnt sich, diese zu prüfen, um die passende Zwei-Faktor-Methode für Ihre Nutzerbasis und Ihre gesamte Web-Anwendungs-Landschaft zu finden.

Digitale Zertifikate

Als Alternative zu Benutzernamen und Passwort unterstützt SAP digitale Zertifikate, die auf dem Browser oder sogar auf RFID-Karten basieren (die ein temporäres Zertifikat beim Login generieren). Zertifikate können das Sign-in zu einem nahtlosen Prozess machen. Sie können jedoch hinsichtlich Verwaltung und Distribution schwieriger sein, insbesondere dann, wenn mit einer erweiterten Nutzerbasis gearbeitet wird. Auch ist die Sicherheit von digitalen Zertifikaten fraglich, da die gebräuchlichen und nutzbaren Browser-basierten Arten – sobald installiert – im Gegensatz zur User-Identifikation oft lediglich Geräte identifizieren. Folglich sollten digitale Zertifikate zur Erhöhung der Sicherheit mit einem zweiten Faktor verknüpft und das Login an einen User gekoppelt werden.

SSO

Die Sign-On-Funktionen des SAP-Portals, die auch die Integration interner Verzeichnisse wie des Microsoft Active Directory miteinschliessen, können als Basis für das Single Sign-On, SSO, dienen.

SAP SSO kann auch als Teil eines umfassenderen Federated Identity Systems eingesetzt werden. Föderierte Tokens, die von einem Identity Provider generiert werden und die den User identifizieren, werden über die gesamte föderierte Anwendungslandschaft hinweg akzeptiert. Diese Token werden mit Hilfe des Standardprotokolls SAML 2.0 generiert. Die Tokens werden mit jedem Mitglied des föderierten Systems geteilt und sorgen so für SSO über das gesamte Ökosystem.

SSO bietet viele Vorteile hinsichtlich der Benutzerfreundlichkeit des Portals. Trotzdem kann – wie vorher bemerkt – das Login-System durch den Einsatz eines Out-of-Band-Faktors, zum Beispiel eines OTP-Generators oder SMS Codes, gehärtet werden. Um es erneut zu betonen: SSO Systeme, die SAP-Authentisierungsmodule erweitern und speziell dafür bestimmt sind, SSO innerhalb einer SAP-Umgebung zu verarbeiten, sollten so ausgewählt werden, dass die nötige Flexibilität für eine erfolgreiche SSO-Implementierung gewährleistet ist.

Privilegierter Zugang und risikobasierte Authentisierung

Sicherheit und Benutzerfreundlichkeit stehen oft im Widerspruch. Mit granularen Sicherheitsoptionen hingegen lassen sich Auswirkungen auf die Benutzerfreundlichkeit verringern. Wenn man in der Lage ist, Sicherheit, die auf bestimmten Variablen fusst, strikter umzusetzen, erhöht sich die Wahrscheinlichkeit für einen effektiven SAP-Schutz. Anders ausgedrückt, wenn Sicherheitsrichtlinien sinnvoll, d.h. auch auf der richtigen Policy-Stufe und zum richtigen Zeitpunkt umgesetzt werden, dann erhalten Sie ein nutzbareres, robusteres System. Das gilt für die meisten Sicherheits-Massnahmen, nicht nur für SAP. Die Benutzerfreundlichkeit kann die Sicherheit erhöhen – schon rein dadurch, dass die Leute nicht versuchen, sie zu umgehen. SAP ist konfigurierbar in dem Sinne, dass es eine passende, d.h. auf den Risikofaktoren basierende Authentisierung zulässt. Entsprechend können Sie zum Beispiel den Zwei-Faktor-Einsatz aktivieren oder unterdrücken, wenn bestimmte Identifikationskriterien bestehen. Beispielsweise können Standort-Regeln (d.h. der User hält sich in einem bestimmten Land auf) eine Zwei-Faktor-Anforderung erzwingen.

Mit dem privilegierten Logon haben wir einen weiteren Bereich, der die granulare Natur Ihrer Sicherheitsrichtlinien innerhalb von SAP unterstützt, jedoch auch potenziell zum Sicherheitsproblem werden kann. Insiderangriffe gegen Organisationen gehören zu den grössten Bedrohungen des Datenschutzes. Im 2015 Vormetric Insider Threat Report wurde festgehalten, dass „Insiderbedrohungen die gefährlichsten sind“. Eine der Hauptbedrohungen in Systemen wie SAP kommt vom banalen Umstand, dass Insider ihre Passwörter teilen. Diese Erkenntnisse werden vom Forrester Bericht unterstützt, der aufzeigt, dass die Aspekte privilegierter Zugang und Passwortverwaltung zu den Hauptproblemen der Unternehmenssicherheit gehören. Die Verwendung von Zwei-Faktor oder SSO mit erzwungener Authentisierung über Zwei-Faktor verringert das Risiko wesentlich.

Abschliessend zum Thema Zugangskontrolle muss mit aller Deutlichkeit festgehalten werden, dass man in keinem Fall die Account-Werkseinstellungen beibehalten darf, die während der SAP-Konfiguration und dem Setup verwendet wurden. Sie sind Cyberkriminellen bestens bekannt und werden weidlich genutzt.

Verschlüsselung

SAP-Datenrepositories enthalten sensible und proprietäre Informationen, die das Ziel sowohl von externen Cyberkriminellen wie auch Insidervorfällen sind. Abgesehen von der offensichtlichen Notwendigkeit, Firmendaten zu schützen, ergeben sich Sicherheits- und Datenschutzprobleme in Verbindung mit den erweiterten Datensätzen von Kunden und Partnerfirmen wie auch hinsichtlich der Verordnungen. Die Verschlüsselung der Repository Daten sowie der gesamten Netzwerkkommunikation wird die Sicherheitsrisiken massgeblich verringern und auch der Datensicherheit gerecht werden, die auf Compliance-Anforderungen wie der EU Datenschutzrichtlinie aufbauen.

Webangriffe und SAP

SAP hat sich zum Web hin geöffnet. Das bedeutet, dass das Portal von webbasierten Angriffsvektoren betroffen ist. SAP ist gegenüber den gleichen webbasierten Bedrohungen anfällig wie jede andere Webanwendung auch. Dazu zählen XSS, CSFR und Injection-Angriffe auf Datenbanken wie etwa die SQL-Injection. SAP hat über 3000 Sicherheits-Patches veröffentlicht. Viele davon sollen Probleme beheben, die webbasierte Angriffe zuliessen. Allein im August dieses Jahres wurden acht Cross-Site-Scripting (XSS) Sicherheits-Bulletins herausgegeben.

Bestimmte Malware wurde speziell zum Zweck des Aufspürens von SAP-Installationen geschaffen, also eine Art Aufklärungs-Malware bzw. Reconaissance Malware. Die Malware sucht nach Schwachstellen und kann Anmeldedaten stehlen oder widerrechtliche Überweisungen vornehmen. Einmal erkannte Schwachstellen werden von SAP behoben, doch Cyberkriminelle sind dauernd auf der Suche nach neuen Schwachstellen – besonders Zero-Day-Lücken – denen sich SAP nicht bewusst ist. Daraus hat sich die untragbare Situation ergeben, dass sich das durchschnittliche Verwundbarkeits-Fenster von SAP-Installationen auf 18 Monate ausgeweitet hat. Im erwähnten Onapsis-Report wurden für 2014 im Durchschnitt 30 Patches pro Monat registriert. Und der Release von SAP HANA hat die Situation noch verschärft. Dieser enorme Patch-Managementaufwand macht SAP noch verletzlicher gegenüber Exploits von Softwareschwachstellen. Mit Patching alleine lässt sich der Malware-Ansturm, der über alle Organisationen hinweg wahrgenommen wird, nicht aufhalten. Alternative Lösungen müssen in Betracht gezogen werden, zum Beispiel der Einsatz einer Web Application Firewall (WAF).

Viele webbasierte Angriffe beginnen als Phishing oder Spear Phising E-Mails, die Social Engineering Techniken verwenden, um Anmeldedaten zu entwenden. Wie bereits früher angedeutet schwächt der Einsatz von Zwei-Faktor-Methoden die Auswirkungen dieser Phishing-Versuche ab.

Sie müssen Ihre SAP-Installation und jedwede erweiterte Komponenten analog sonstiger webbasierter Systeme betrachten und Websicherheitstaktiken anwenden, um sie zu härten. Die Überwachung und das Patching von Systemkomponenten sowie das OS/Browser-Patching sind zwei Bereiche, die in Ihrer Sicherheitsstrategie, die sich mit Webangriffen beschäftigt, zu berücksichtigen sind.

SAP schützen – eine Zusammenfassung

Letztlich besteht nur eine feine Trennlinie zwischen dem Härten von SAP und dem Sicherstellen der Benutzerfreundlichkeit für eine erweiterte Nutzerbasis. Zu den Bereichen mit besonderem Augenmerk für Sicherheitsmassnahmen gehören:

  • Authentisierung und Login: Wie bereits hingewiesen handelt es sich bei der Wahl des Login um einen Bereich, der besondere Aufmerksamkeit verdient. Es gilt, Sicherheit und Benutzerfreundlichkeit sorgfältig auszubalancieren und auch der Einsatz von Zweifaktor-Methoden und sogar von SSO muss ausgelotet werden.
  • Access Management: Der rollenbasiert eingeschränkte Zugriff und die Schaffung einer privilegierten Zugriffssteuerung können die Datengefährdung minimieren.
  • Patch-Management: Zeitgerechtes Patch-Management über die gesamte SAP-Installation hinweg kann dazu beitragen, die Probleme in Verbindung mit Softwareschwachstellen zu entschärfen. Allerdings gefährdet die Zahl an Patches, die von SAP veröffentlicht werden, diese Strategie. Alternative Werkzeuge wie die Web Application Firewall müssen in Betracht gezogen werden.
  • Anwenderschulung: Schulung kann Anwendern helfen, Phishing-Angriffe zu erkennen und verhindern, dass Mitarbeitende Passwörter untereinander teilen.
  • Überwachung eingehender Bedrohungen bzw. des Nutzerverhaltens: Monitoring und Audit können dazu beitragen, dass aufkommende Bedrohungen erkannt werden, bevor sie zu tatsächlichen Vorfällen werden. Die Überwachung und das Protokollieren des Nutzerverhaltens hilft, ungewöhnliche Verhaltensmuster zu erkennen und Insider-Bedrohungen abzuwenden.
  • Der Einsatz einer Web Application Firewall: Eine schnelllebige Bedrohungslandschaft verlangt einen flexibleren Ansatz zur Angriffsvermeidung.
  • Layering: Sie müssen Schutzschichten hinzufügen die sowohl Präventions- und Überwachungsfähigkeiten, berücksichtigen, damit Sie Ihr SAP-Portal schützen können.

Details zum Autor

Mathias Wyss

Mathias Wyss

Product Manager Web Access Management & Security Expert @ United Security Providers, MSc ETH, CISSP

Kommentar hinterlassen?