ep ro be - Patrick Boch -L es Sicherheit beim Einsatz von SAP-Systemen SAP-Check.xls Das Klammersymbol ep ro be Übersicht über die Arbeitshilfen Checkliste SAP-Sicherheit im Text verweist auf die entsprechende Datei im Anhang. Bibliografische Information der Deutschen Nationalbibliothek -L ISBN 978-3-8249-1874-4 es Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie. Detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. © by TÜV Media GmbH, TÜV Rheinland Group, 2015 www.tuev-media.de ® TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group. Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen. Gesamtherstellung: TÜV Media GmbH, Köln 2015 Den Inhalt dieses E-Books finden Sie auch in dem Handbuch „Information Security Management“, TÜV Media GmbH, Köln. Die Inhalte dieses E-Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet und zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Es wird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten haben und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte und Richtlinien sowie die einschlägige Rechtssprechung. Sicherheit beim Einsatz von SAP-Systemen Sicherheit beim Einsatz von SAP-Systemen - aver-Basis vor allem der Umgang mit kritischen Berechtigungen und die Absicherung zwischen SAP und IT-Landschaft im Allgemeinen, sei es in Bezug auf die Datenbank, das Betriebssystem, das interne Netzwerk oder in der Kommunikation mit externen Services oder dem Internet. Arbeitshilfe: ep ro be Die Absicherung der SAP-Systemlandschaft sollte auf keinen Fall vernachlssigt werden, da SAP-Systeme die wertvollsten Daten eines Unternehmens enthalten. Diese Daten sind es auch, auf die Angreifer es abgesehen haben, und die Anzahl der Angriffe auf SAP-Systeme hat in den letzten Jahren teilweise dramatisch zugenommen. Umso wichtiger ist es, alle Aspekte der Absicherung von SAP-Systemen in Betracht zu ziehen. Dieses E-Book beschreibt die wichtigsten Bereiche, Einstellungen und berlegungen, die dabei beachtet werden sollten. Dazu gehren neben der Konfiguration der SAP-NetWe- • Checkliste SAP-Sicherheit Autor: E-Mail: Patrick Boch [email protected] Enterprise-Resource-Planning-Systeme (ERP-System) enthalten in der Regel mit die sensibelsten und wertvollsten Daten eines Unternehmens oder einer Behrde. Daher haben diese Daten und die damit arbeitenden Systeme einen erhhten Schutzbedarf. Ein Großteil der hierzulande im Einsatz befindlichen ERP-Systeme basiert auf den Produkten der SAP AG. In Bezug auf die Sicherheit der entsprechenden Systeme nimmt SAP dabei technologisch eine Sonderstellung ein: SAP-Systeme werden auf Standard-Hardware, mit Standard-Datenbanken auf Standard-Betriebssystemen betrieben und sind inzwischen auch in den Standard-Netzwerken verankert. Aus diesem Grund wird bei Fragen zum Thema SAPSicherheit meist auf zwei Argumente verwiesen: -L Erhhter Schutzbedarf es 1 Motivation E TV Media GmbH Seite 1 Sicherheit beim Einsatz von SAP-Systemen Fadenscheinige • Die „normale“ IT-Sicherheit deckt alle mglichen Argumente Schwachstellen ab und: „Die Angreifer mssen ja in jedem Fall erstmal durch die Firewall!“ • Fr die SAP-Systeme existiert ein Berechtigungskonzept, damit sind die Daten gesichert. Die Zeiten, in denen SAP-Systeme außerhalb der bereits in den Unternehmen existierenden Betriebs- und Administrationsstrukturen betrieben wurden, sind schon seit Jahren Geschichte. Mit Portalen und „Self-Service-Funktionalitten“ ffneten sich die SAP-Systeme immer mehr der Außenwelt. Heutzutage sind Lieferantenportale oder E-Recruiting-Anwendungen keine Seltenheit mehr und ermglichen einen Zugriff auf die SAP-Systeme auch von außerhalb des Unternehmens. Dennoch sind die Teams, die fr den SAP-Betrieb verantwortlich zeichnen, organisatorisch oft noch abgekapselt vom allgemeinen IT-Betrieb und von der IT-Sicherheitsabteilung. Zudem liegt das Hauptaugenmerk der SAP-Abteilung zunchst auf dem reinen Betrieb – Sicherheitsaspekte werden hufig „nebenbei“ gehandhabt. Zur Verteidigung der SAPTeams muss allerdings vorgebracht werden, dass die Abhngigkeit der Unternehmen von der Verfgbarkeit der SAPServer dafr sorgt, dass selbst dringend notwendige Sicherheits-Updates nicht „mal eben“ eingespielt werden knnen oder Einstellungen nicht kurzfristig gendert werden knnen. -L es Offene SAP-Welt ep ro be - Das ist allerdings nur die halbe Wahrheit. Zwar sind sowohl eine durchdachte IT-Sicherheit als auch ein Berechtigungskonzept wichtige Bausteine fr ein umfassendes SAP-Sicherheitsgerst. Aber die zunehmende Komplexitt der SAPAnwendungen (s. Abbildung 1) erfordert ein eigenes Konzept und eigene Maßnahmen. Dennoch erfordern gerade die Komplexitt und die Vielzahl der Schnittstellen eines modernen SAP-Systems ein beson- E TV Media GmbH Seite 2 ep ro be - Sicherheit beim Einsatz von SAP-Systemen Abb. 1: Komplexitt von SAP-Landschaften es ders Augenmerk auf das Thema Sicherheit. Zumal ein unsicheres SAP-System alle sonstigen Sicherheitsmaßnahmen schnell ad absurdum fhren kann. Ein paar Beispiele: -L • In einer Eigenentwicklung eines Unternehmens wurden Beispiele fr Programmzeilen entdeckt, die die kompletten QuartalserSchwachstellen gebnisse der Firma an eine private E-Mail-Adresse verschickten. Der Mitarbeiter, dem die Adresse gehrte, war seit Jahren nicht mehr fr das Unternehmen ttig. • SAP selbst hat auf eine Sicherheitslcke im SAP-Gateway hingewiesen, durch die es mglich war, beliebige Betriebssystemkommandos auf dem Server auszufhren – ohne ein einziges Mal Benutzernamen oder Passwort eingeben zu mssen. • Ein Penetrationstest eines Unternehmens ergab unsichere Konfigurationseinstellungen im Solution Manager der SAP-Systeme. Die Brisanz: Die Firma hatte den Betrieb E TV Media GmbH Seite 3 Sicherheit beim Einsatz von SAP-Systemen der SAP-Systeme ausgelagert, durch die Lcke konnte beim Hosting-Dienstleister auf mehr als 40 Systeme anderer Kunden, darunter gegebenenfalls auch Wettbewerber, Partner oder Lieferanten, zugegriffen werden. ep ro be - Natrlich handelt es sich dabei um extreme Beispiele. Aber selbst diese offensichtlichen und vor allem bekannten Sicherheitslcken sind in vielen SAP-Systemen weiterhin anzutreffen. Und mgliche Schwachstellen, die von einem Angreifer nicht mal besonderes technisches Wissen verlangen, gibt es einige. Fr viele der bekannten Schwachstellen eines SAP-Systems reicht es, einen Standard-User und dessen Passwort zu kennen oder einen kurzen ABAP-Befehl in eine Eingabemaske einzutragen. Mehr als eine kurze Internet-Suche ist dafr nicht notwendig. 2 (Un-)Sicherheit von SAP Systemen es Die relativ hohe Verwundbarkeit von SAP-Systemen hat verschiedene Grnde. Da ist zunchst die Technologie von SAP an sich. Der Kern eines jeden SAP-Systems basiert auf Technologie aus den 90er Jahren des vergangenen Jahrhunderts, als SAP mit R/3 die ersten großen Erfolge feierte, Teile der Technologie existieren sogar schon seit den 70er Jahren. Um diesen Kern herum hat die SAP Ihre Anwendungen natrlich den modernen Gegebenheiten angepasst, viele Sicherheitslcken resultieren aber gerade aus diesen Anpassungen, die nicht unbedingt eine Vereinfachung des Systems mit sich brachten. -L Gewachsene Systemlandschaften hnlich sieht es bei den laufenden SAP-Systemen in den Unternehmen aus: Die Systeme sind ber die Jahre gewachsen, neue Module wurden hinzugefgt, eigene Anwendungen wurden entwickelt, aktualisiert oder durch neue Anwendun- E TV Media GmbH Seite 4 Sicherheit beim Einsatz von SAP-Systemen gen ersetzt. So werden potenzielle Schwachstellen oft ber Jahre „mitgeschleppt“, ohne aufzufallen. Ein weiterer Punkt: Die Einfhrung von SAP-Anwendungen erfolgt oft unter großem Projektdruck. Darunter leidet sehr oft die Sicherheit, die auf der Priorittenliste nicht ganz oben zu finden ist. Dieser Druck sorgt oft auch dafr, dass selbst nach Ende des Projekts noch Administrationsberechtigungen verwendet werden und die Anwendung mit Workarounds gespickt ist, die wiederum zu Sicherheitslcken fhren knnen und nur schwer zu beheben sind. ep ro be - Sicherheit hat kaum Prioritt Fr Angreifer, die sich mit teilweise kostenlos verfgbaren Mini-SAP-Systemen mit den bestehenden Schwachstellen ohne großen Aufwand vertraut machen knnen, stellt SAP somit ein ideales Ziel dar. es Aber wie lassen sich die vorhandenen Schwachstellen schließen und neue Lcken mglichst verhindern? -L 3 Grundlegende Einstellung im SAP-System Die von der SAP empfohlene Drei-System-Landschaft hat sich bei SAP-Kunden weitgehend durchgesetzt. Das ist durchaus sinnvoll, schließlich wird so ein sauberes Freigabeund Testverfahren ermglicht und eine Entwicklung findet auf produktiven Systemen nicht mehr statt. Fr die Sicherheit der einzelnen Systeme wie der dreistufigen Systemlinie insgesamt sollten dabei einige grundlegende berlegungen bzw. Einstellungen in Betracht gezogen werden. Entwicklungs- Das Entwicklungssystem sollte nur fr die unternehmenssystem spezifische Parametrisierung und Entwicklung genutzt wer- E TV Media GmbH Seite 5 Sicherheit beim Einsatz von SAP-Systemen den. Weiterhin sollten im Entwicklungssystem allgemeine funktionale Testaktivitten durchgefhrt werden. Im Integrationssystem sollte keine Entwicklung und kein Customizing durchgefhrt werden. Es sollte lediglich zu Testzwecken von aus dem Entwicklungssystem transportierten Funktionalitten unter produktionsnahen Bedingungen dienen. Das Konsolidierungssystem sollte im Rahmen der Mandanteneinstellung den Status „nicht nderbar“ erhalten. ber die SAP-Transaktions-Codes SE03 und SCC4 sollten die Sperren im System so eingestellt sein, dass die Konfiguration mandantenunabhngig und mandantenabhngig nicht direkt gendert werden kann. Obwohl das Integrationssystem grundstzlich ein Abbild der Produktionsumgebung darstellt, sollte ein Konzept zur Testdatengenerierung oder zumindest Anonymisierung von zu Testzwecken verwendeten Produktivdaten in diesen Systemen entwickelt werden. Produktivsystem Das Produktivsystem sollte ebenfalls ber die bereits erwhnten Transaktionen auf den Status „nicht nderbar“ gesetzt werden. Entwicklungen sollten im Produktivsystem verboten sein. Um Inkonsistenzen zu vermeiden, sollten im Produktivsystem keine Berechtigungen gendert, sondern nur SAP-User zu Benutzerrollen zugeordnet werden, da diese nderungen sonst leicht im vorgelagerten Integrationssystem versumt werden. Die Vergabe von Berechtigungen sollte im Produktivsystem restriktiv erfolgen. -L es ep ro be - Integrationssystem ber diese rollenspezifischen Maßnahmen hinaus gibt es allerdings weitere Einstellungen, die gesetzt werden sollten, um das SAP-System schon in der Grundkonfiguration so weit wie mglich abzusichern. E TV Media GmbH Seite 6 Sicherheit beim Einsatz von SAP-Systemen 3.1 Eingebaute Sicherheitsmaßnahmen In den letzten Jahren hat SAP nicht nur sehr viel fr die Sicherheit getan, es wurde auch ein „Security Patchday“ eingefhrt. Eine Liste von hufig gestellten Fragen zum SAP Security Patchday finden Sie unter [1]. Inzwischen verffentlicht die SAP einmal im Monat eine Liste von Sicherheitshinweisen, die potenzielle Sicherheitslcken schließen sollen. Diese Hinweise sollte man, wenn mglich, immer beachten und die entsprechenden Aktualisierungen einspielen. Um herauszufinden, ob in einem SAP-System bestimmte Sicherheitsaktualisierungen fehlen und noch eingespielt werden mssen, hat die SAP den Report „RSECNOTE“ geschaffen; inzwischen wurde dieser Report von den „System Recommendations“ des Solution Manager abgelst. Beide Varianten geben genaue Auskunft ber fehlende Sicherheitshinweise. Protokollierung aktivieren Ebenfalls wichtig in diesem Zusammenhang ist die Aktivierung des „Security Audit Log“, das alle sicherheitsrelevanten Ereignisse in einem SAP-System mitprotokolliert. Im Standard werden hier jedoch nur wenige Informationen aufgezeichnet. Darum sollte ein weiterer Punkt auf der Liste der sicherheitsrelevanten Einstellungen die Aktivierung verschiedenster Protokolle sein, die SAP schon im Standard anbietet. SAP bietet fr die Protokollierung verschiedene Werkzeuge an, die bis zu einer Protokollierung von Tabellennderung gehen – es bietet sich an, gerade diese letzte Option fr besonders kritische Tabellen zu aktivieren, um damit im Rahmen forensischer Untersuchungen ggf. zweifelhafte nderungen nachvollziehen und plausibilisieren zu knnen. -L es ep ro be - Sicherheitshinweise der SAP E TV Media GmbH Seite 7 Sicherheit beim Einsatz von SAP-Systemen 3.2 Umgang mit Standard-Nutzern Ein wichtiger Schritt, der schon bei der Installation eines SAP-Systems umgesetzt werden sollte, ist der Umgang mit Standard-Nutzern. In jedem neuen SAP-System ist eine Reihe von Standard-Nutzern automatisch angelegt und aktiviert. Diese Standard-Nutzer sind mit bekannten Passwrtern angelegt und da diese Nutzer vor allem fr Notflle gedacht sind, besitzen sie zudem umfassende Berechtigungen. Daher sollten direkt nach der Installation eines Systems diese StandardNutzer dahin gehend gendert werden, dass die Passwrter gendert werden und die Standard-Nutzer den korrekten Nutzergruppen (z. B. Administratoren) zugeordnet werden. ep ro be - StandardNutzer anpassen 3.3 Solution Manager Mit dem Solution Manager hat die SAP seit einiger Zeit eine Lsung im Portfolio, die dazu dient, SAP-Systemlandschaften von einer zentralen Stelle aus zu administrieren. Zu dieser Steuerung der angeschlossenen SAP-Systeme gehren neben einer zentralen Benutzerverwaltung, einem CustomizingAbgleich oder einer zentralen Projektdokumentation auch einige berwachungsfunktionen wie der Early Watch Service und – fr den Bereich Sicherheit besonders interessant – der Security Optimization Service (SOS ). Eine bersicht zum SOS finden Sie unter [2]. -L es Die Spinne im Netz Die zentrale Anlaufstelle, die der Solution Manager darstellt, birgt aber auch Risiken. So ist der Solution Manager ein beliebtes Angriffsziel fr Hacker, weil diese wertvolle Systeminformationen bekommen und diese fr weitere Angriffe auf andere Systeme ausnutzen knnen. Hinzu kommt, dass der Solution Manager nicht im Fokus der Wirtschaftsprfer und Revisoren steht und daher oftmals entsprechend wenig abgesichert ist. Neben den Sicherheitsmaßnahmen, die fr jedes E TV Media GmbH Seite 8 Sicherheit beim Einsatz von SAP-Systemen SAP-System gelten sollten, gibt es fr den Solution Manager deshalb ein paar weitere Regeln, die beachtet werden sollten: ep ro be - • Absicherung der spezifischen Einstellungen fr den Solution Manager – dazu liefert die SAP bereits einige sehr gute Sicherheitsanleitungen. • Keine Verbindung des produktiven Solution Manager mit Systemen auf einem niedrigeren Sicherheitslevel. • WebGUI ist im Solution Manager immer aktiv, daher sollte mglichst keine direkte Verbindung zwischen dem Solution Manager und dem ffentlichen Internet bestehen. 4 Betriebssystemkonfiguration fr SAP es Die Betriebssysteme eines Unternehmens sind heutzutage – nicht zuletzt aufgrund des gestiegenen Sicherheitsbewusstseins – in den meisten Fllen gegen Angriffe gut abgesichert. Auf die gngigen Sicherheitsmaßnahmen fr Betriebssysteme bzw. Server soll daher hier nicht nher eingegangen werden. Weniger bekannt ist aber, welche umfangreichen Rechte und Mglichkeiten existieren, aus einem SAP-System heraus das Betriebssystem zu manipulieren. Zwei Dinge gilt es daher besonders zu beachten: -L Betriebssystemzugriff minimieren Zugriff auf Betriebssystemordner einschrnken E TV Media GmbH • Zugriff auf Betriebssystemordner: Das SAP-System muss auf einige Ordner des Servers zugreifen knnen, um Daten abzulegen oder fr den Betrieb notwendige Daten (z. B. Profilparameter) lesen zu knnen. Leider schrnkt die Standardeinstellung eines SAP-Systems weder den Lesenoch in vielen Fllen den Schreibzugriff auf alle Ordner des Betriebssystems ein. Das ffnet potenziellen Angreifern viele Hintertren, durch die entweder das Betriebssystem oder das SAP-System selbst kompromittiert wer- Seite 9
© Copyright 2025 ExpyDoc