Sicherheit beim Einsatz von SAP-Systemen

ep
ro
be
-
Patrick Boch
-L
es
Sicherheit beim Einsatz von
SAP-Systemen
SAP-Check.xls
Das Klammersymbol
ep
ro
be
Übersicht über die Arbeitshilfen
Checkliste SAP-Sicherheit
im Text verweist auf die entsprechende Datei im Anhang.
Bibliografische Information der Deutschen Nationalbibliothek
-L
ISBN 978-3-8249-1874-4
es
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie.
Detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
© by TÜV Media GmbH, TÜV Rheinland Group, 2015
www.tuev-media.de
® TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group.
Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen.
Gesamtherstellung: TÜV Media GmbH, Köln 2015
Den Inhalt dieses E-Books finden Sie auch in dem Handbuch „Information Security Management“,
TÜV Media GmbH, Köln.
Die Inhalte dieses E-Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet
und zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch
nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Es
wird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten haben
und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte
und Richtlinien sowie die einschlägige Rechtssprechung.
Sicherheit beim Einsatz von SAP-Systemen
Sicherheit beim Einsatz von SAP-Systemen
-
aver-Basis vor allem der Umgang mit kritischen Berechtigungen und die Absicherung zwischen SAP und IT-Landschaft im
Allgemeinen, sei es in Bezug auf die Datenbank, das Betriebssystem, das interne
Netzwerk oder in der Kommunikation mit
externen Services oder dem Internet.
Arbeitshilfe:
ep
ro
be
Die Absicherung der SAP-Systemlandschaft sollte auf keinen Fall vernachlssigt werden, da SAP-Systeme die wertvollsten Daten eines Unternehmens enthalten. Diese Daten sind es auch, auf die
Angreifer es abgesehen haben, und die
Anzahl der Angriffe auf SAP-Systeme hat in
den letzten Jahren teilweise dramatisch
zugenommen. Umso wichtiger ist es, alle
Aspekte der Absicherung von SAP-Systemen in Betracht zu ziehen. Dieses E-Book
beschreibt die wichtigsten Bereiche, Einstellungen und berlegungen, die dabei
beachtet werden sollten. Dazu gehren
neben der Konfiguration der SAP-NetWe-
•
Checkliste SAP-Sicherheit
Autor:
E-Mail:
Patrick Boch
[email protected]
Enterprise-Resource-Planning-Systeme (ERP-System) enthalten in der Regel mit die sensibelsten und wertvollsten
Daten eines Unternehmens oder einer Behrde. Daher haben
diese Daten und die damit arbeitenden Systeme einen erhhten Schutzbedarf. Ein Großteil der hierzulande im Einsatz
befindlichen ERP-Systeme basiert auf den Produkten der
SAP AG. In Bezug auf die Sicherheit der entsprechenden
Systeme nimmt SAP dabei technologisch eine Sonderstellung
ein: SAP-Systeme werden auf Standard-Hardware, mit Standard-Datenbanken auf Standard-Betriebssystemen betrieben
und sind inzwischen auch in den Standard-Netzwerken verankert. Aus diesem Grund wird bei Fragen zum Thema SAPSicherheit meist auf zwei Argumente verwiesen:
-L
Erhhter
Schutzbedarf
es
1 Motivation
E TV Media GmbH
Seite 1
Sicherheit beim Einsatz von SAP-Systemen
Fadenscheinige • Die „normale“ IT-Sicherheit deckt alle mglichen
Argumente
Schwachstellen ab und: „Die Angreifer mssen ja in jedem Fall erstmal durch die Firewall!“
• Fr die SAP-Systeme existiert ein Berechtigungskonzept,
damit sind die Daten gesichert.
Die Zeiten, in denen SAP-Systeme außerhalb der bereits in
den Unternehmen existierenden Betriebs- und Administrationsstrukturen betrieben wurden, sind schon seit Jahren Geschichte. Mit Portalen und „Self-Service-Funktionalitten“
ffneten sich die SAP-Systeme immer mehr der Außenwelt.
Heutzutage sind Lieferantenportale oder E-Recruiting-Anwendungen keine Seltenheit mehr und ermglichen einen
Zugriff auf die SAP-Systeme auch von außerhalb des Unternehmens. Dennoch sind die Teams, die fr den SAP-Betrieb
verantwortlich zeichnen, organisatorisch oft noch abgekapselt
vom allgemeinen IT-Betrieb und von der IT-Sicherheitsabteilung. Zudem liegt das Hauptaugenmerk der SAP-Abteilung
zunchst auf dem reinen Betrieb – Sicherheitsaspekte werden
hufig „nebenbei“ gehandhabt. Zur Verteidigung der SAPTeams muss allerdings vorgebracht werden, dass die Abhngigkeit der Unternehmen von der Verfgbarkeit der SAPServer dafr sorgt, dass selbst dringend notwendige Sicherheits-Updates nicht „mal eben“ eingespielt werden knnen
oder Einstellungen nicht kurzfristig gendert werden knnen.
-L
es
Offene
SAP-Welt
ep
ro
be
-
Das ist allerdings nur die halbe Wahrheit. Zwar sind sowohl
eine durchdachte IT-Sicherheit als auch ein Berechtigungskonzept wichtige Bausteine fr ein umfassendes SAP-Sicherheitsgerst. Aber die zunehmende Komplexitt der SAPAnwendungen (s. Abbildung 1) erfordert ein eigenes Konzept
und eigene Maßnahmen.
Dennoch erfordern gerade die Komplexitt und die Vielzahl
der Schnittstellen eines modernen SAP-Systems ein beson-
E TV Media GmbH
Seite 2
ep
ro
be
-
Sicherheit beim Einsatz von SAP-Systemen
Abb. 1: Komplexitt von SAP-Landschaften
es
ders Augenmerk auf das Thema Sicherheit. Zumal ein unsicheres SAP-System alle sonstigen Sicherheitsmaßnahmen
schnell ad absurdum fhren kann. Ein paar Beispiele:
-L
• In einer Eigenentwicklung eines Unternehmens wurden
Beispiele fr
Programmzeilen entdeckt, die die kompletten QuartalserSchwachstellen
gebnisse der Firma an eine private E-Mail-Adresse verschickten. Der Mitarbeiter, dem die Adresse gehrte, war
seit Jahren nicht mehr fr das Unternehmen ttig.
• SAP selbst hat auf eine Sicherheitslcke im SAP-Gateway
hingewiesen, durch die es mglich war, beliebige Betriebssystemkommandos auf dem Server auszufhren –
ohne ein einziges Mal Benutzernamen oder Passwort
eingeben zu mssen.
• Ein Penetrationstest eines Unternehmens ergab unsichere
Konfigurationseinstellungen im Solution Manager der
SAP-Systeme. Die Brisanz: Die Firma hatte den Betrieb
E TV Media GmbH
Seite 3
Sicherheit beim Einsatz von SAP-Systemen
der SAP-Systeme ausgelagert, durch die Lcke konnte
beim Hosting-Dienstleister auf mehr als 40 Systeme anderer Kunden, darunter gegebenenfalls auch Wettbewerber, Partner oder Lieferanten, zugegriffen werden.
ep
ro
be
-
Natrlich handelt es sich dabei um extreme Beispiele. Aber
selbst diese offensichtlichen und vor allem bekannten Sicherheitslcken sind in vielen SAP-Systemen weiterhin anzutreffen. Und mgliche Schwachstellen, die von einem Angreifer nicht mal besonderes technisches Wissen verlangen,
gibt es einige. Fr viele der bekannten Schwachstellen eines
SAP-Systems reicht es, einen Standard-User und dessen
Passwort zu kennen oder einen kurzen ABAP-Befehl in eine
Eingabemaske einzutragen. Mehr als eine kurze Internet-Suche ist dafr nicht notwendig.
2 (Un-)Sicherheit von SAP Systemen
es
Die relativ hohe Verwundbarkeit von SAP-Systemen hat
verschiedene Grnde. Da ist zunchst die Technologie von
SAP an sich. Der Kern eines jeden SAP-Systems basiert auf
Technologie aus den 90er Jahren des vergangenen Jahrhunderts, als SAP mit R/3 die ersten großen Erfolge feierte, Teile
der Technologie existieren sogar schon seit den 70er Jahren.
Um diesen Kern herum hat die SAP Ihre Anwendungen natrlich den modernen Gegebenheiten angepasst, viele Sicherheitslcken resultieren aber gerade aus diesen Anpassungen, die nicht unbedingt eine Vereinfachung des Systems
mit sich brachten.
-L
Gewachsene
Systemlandschaften
hnlich sieht es bei den laufenden SAP-Systemen in den
Unternehmen aus: Die Systeme sind ber die Jahre gewachsen, neue Module wurden hinzugefgt, eigene Anwendungen
wurden entwickelt, aktualisiert oder durch neue Anwendun-
E TV Media GmbH
Seite 4
Sicherheit beim Einsatz von SAP-Systemen
gen ersetzt. So werden potenzielle Schwachstellen oft ber
Jahre „mitgeschleppt“, ohne aufzufallen.
Ein weiterer Punkt: Die Einfhrung von SAP-Anwendungen
erfolgt oft unter großem Projektdruck. Darunter leidet sehr oft
die Sicherheit, die auf der Priorittenliste nicht ganz oben zu
finden ist. Dieser Druck sorgt oft auch dafr, dass selbst nach
Ende des Projekts noch Administrationsberechtigungen verwendet werden und die Anwendung mit Workarounds gespickt ist, die wiederum zu Sicherheitslcken fhren knnen
und nur schwer zu beheben sind.
ep
ro
be
-
Sicherheit
hat kaum
Prioritt
Fr Angreifer, die sich mit teilweise kostenlos verfgbaren
Mini-SAP-Systemen mit den bestehenden Schwachstellen
ohne großen Aufwand vertraut machen knnen, stellt SAP
somit ein ideales Ziel dar.
es
Aber wie lassen sich die vorhandenen Schwachstellen
schließen und neue Lcken mglichst verhindern?
-L
3 Grundlegende Einstellung im SAP-System
Die von der SAP empfohlene Drei-System-Landschaft hat
sich bei SAP-Kunden weitgehend durchgesetzt. Das ist
durchaus sinnvoll, schließlich wird so ein sauberes Freigabeund Testverfahren ermglicht und eine Entwicklung findet
auf produktiven Systemen nicht mehr statt. Fr die Sicherheit
der einzelnen Systeme wie der dreistufigen Systemlinie insgesamt sollten dabei einige grundlegende berlegungen bzw.
Einstellungen in Betracht gezogen werden.
Entwicklungs- Das Entwicklungssystem sollte nur fr die unternehmenssystem
spezifische Parametrisierung und Entwicklung genutzt wer-
E TV Media GmbH
Seite 5
Sicherheit beim Einsatz von SAP-Systemen
den. Weiterhin sollten im Entwicklungssystem allgemeine
funktionale Testaktivitten durchgefhrt werden.
Im Integrationssystem sollte keine Entwicklung und kein
Customizing durchgefhrt werden. Es sollte lediglich zu
Testzwecken von aus dem Entwicklungssystem transportierten Funktionalitten unter produktionsnahen Bedingungen
dienen. Das Konsolidierungssystem sollte im Rahmen der
Mandanteneinstellung den Status „nicht nderbar“ erhalten.
ber die SAP-Transaktions-Codes SE03 und SCC4 sollten
die Sperren im System so eingestellt sein, dass die Konfiguration mandantenunabhngig und mandantenabhngig nicht
direkt gendert werden kann. Obwohl das Integrationssystem
grundstzlich ein Abbild der Produktionsumgebung darstellt,
sollte ein Konzept zur Testdatengenerierung oder zumindest
Anonymisierung von zu Testzwecken verwendeten Produktivdaten in diesen Systemen entwickelt werden.
Produktivsystem
Das Produktivsystem sollte ebenfalls ber die bereits erwhnten Transaktionen auf den Status „nicht nderbar“ gesetzt werden. Entwicklungen sollten im Produktivsystem
verboten sein. Um Inkonsistenzen zu vermeiden, sollten im
Produktivsystem keine Berechtigungen gendert, sondern nur
SAP-User zu Benutzerrollen zugeordnet werden, da diese
nderungen sonst leicht im vorgelagerten Integrationssystem
versumt werden. Die Vergabe von Berechtigungen sollte im
Produktivsystem restriktiv erfolgen.
-L
es
ep
ro
be
-
Integrationssystem
ber diese rollenspezifischen Maßnahmen hinaus gibt es allerdings weitere Einstellungen, die gesetzt werden sollten, um
das SAP-System schon in der Grundkonfiguration so weit wie
mglich abzusichern.
E TV Media GmbH
Seite 6
Sicherheit beim Einsatz von SAP-Systemen
3.1 Eingebaute Sicherheitsmaßnahmen
In den letzten Jahren hat SAP nicht nur sehr viel fr die Sicherheit getan, es wurde auch ein „Security Patchday“ eingefhrt. Eine Liste von hufig gestellten Fragen zum SAP
Security Patchday finden Sie unter [1]. Inzwischen verffentlicht die SAP einmal im Monat eine Liste von Sicherheitshinweisen, die potenzielle Sicherheitslcken schließen
sollen. Diese Hinweise sollte man, wenn mglich, immer
beachten und die entsprechenden Aktualisierungen einspielen. Um herauszufinden, ob in einem SAP-System bestimmte
Sicherheitsaktualisierungen fehlen und noch eingespielt
werden mssen, hat die SAP den Report „RSECNOTE“ geschaffen; inzwischen wurde dieser Report von den „System
Recommendations“ des Solution Manager abgelst. Beide
Varianten geben genaue Auskunft ber fehlende Sicherheitshinweise.
Protokollierung
aktivieren
Ebenfalls wichtig in diesem Zusammenhang ist die Aktivierung des „Security Audit Log“, das alle sicherheitsrelevanten
Ereignisse in einem SAP-System mitprotokolliert. Im Standard werden hier jedoch nur wenige Informationen aufgezeichnet. Darum sollte ein weiterer Punkt auf der Liste der
sicherheitsrelevanten Einstellungen die Aktivierung verschiedenster Protokolle sein, die SAP schon im Standard anbietet. SAP bietet fr die Protokollierung verschiedene
Werkzeuge an, die bis zu einer Protokollierung von Tabellennderung gehen – es bietet sich an, gerade diese letzte
Option fr besonders kritische Tabellen zu aktivieren, um
damit im Rahmen forensischer Untersuchungen ggf. zweifelhafte nderungen nachvollziehen und plausibilisieren zu
knnen.
-L
es
ep
ro
be
-
Sicherheitshinweise der
SAP
E TV Media GmbH
Seite 7
Sicherheit beim Einsatz von SAP-Systemen
3.2 Umgang mit Standard-Nutzern
Ein wichtiger Schritt, der schon bei der Installation eines
SAP-Systems umgesetzt werden sollte, ist der Umgang mit
Standard-Nutzern. In jedem neuen SAP-System ist eine Reihe
von Standard-Nutzern automatisch angelegt und aktiviert.
Diese Standard-Nutzer sind mit bekannten Passwrtern angelegt und da diese Nutzer vor allem fr Notflle gedacht sind,
besitzen sie zudem umfassende Berechtigungen. Daher sollten direkt nach der Installation eines Systems diese StandardNutzer dahin gehend gendert werden, dass die Passwrter
gendert werden und die Standard-Nutzer den korrekten
Nutzergruppen (z. B. Administratoren) zugeordnet werden.
ep
ro
be
-
StandardNutzer
anpassen
3.3 Solution Manager
Mit dem Solution Manager hat die SAP seit einiger Zeit eine
Lsung im Portfolio, die dazu dient, SAP-Systemlandschaften von einer zentralen Stelle aus zu administrieren. Zu dieser
Steuerung der angeschlossenen SAP-Systeme gehren neben
einer zentralen Benutzerverwaltung, einem CustomizingAbgleich oder einer zentralen Projektdokumentation auch
einige berwachungsfunktionen wie der Early Watch Service
und – fr den Bereich Sicherheit besonders interessant – der
Security Optimization Service (SOS ). Eine bersicht zum
SOS finden Sie unter [2].
-L
es
Die Spinne
im Netz
Die zentrale Anlaufstelle, die der Solution Manager darstellt,
birgt aber auch Risiken. So ist der Solution Manager ein beliebtes Angriffsziel fr Hacker, weil diese wertvolle Systeminformationen bekommen und diese fr weitere Angriffe auf
andere Systeme ausnutzen knnen. Hinzu kommt, dass der
Solution Manager nicht im Fokus der Wirtschaftsprfer und
Revisoren steht und daher oftmals entsprechend wenig abgesichert ist. Neben den Sicherheitsmaßnahmen, die fr jedes
E TV Media GmbH
Seite 8
Sicherheit beim Einsatz von SAP-Systemen
SAP-System gelten sollten, gibt es fr den Solution Manager
deshalb ein paar weitere Regeln, die beachtet werden sollten:
ep
ro
be
-
• Absicherung der spezifischen Einstellungen fr den Solution Manager – dazu liefert die SAP bereits einige sehr
gute Sicherheitsanleitungen.
• Keine Verbindung des produktiven Solution Manager mit
Systemen auf einem niedrigeren Sicherheitslevel.
• WebGUI ist im Solution Manager immer aktiv, daher sollte
mglichst keine direkte Verbindung zwischen dem Solution Manager und dem ffentlichen Internet bestehen.
4 Betriebssystemkonfiguration fr SAP
es
Die Betriebssysteme eines Unternehmens sind heutzutage –
nicht zuletzt aufgrund des gestiegenen Sicherheitsbewusstseins – in den meisten Fllen gegen Angriffe gut abgesichert.
Auf die gngigen Sicherheitsmaßnahmen fr Betriebssysteme
bzw. Server soll daher hier nicht nher eingegangen werden.
Weniger bekannt ist aber, welche umfangreichen Rechte und
Mglichkeiten existieren, aus einem SAP-System heraus das
Betriebssystem zu manipulieren. Zwei Dinge gilt es daher
besonders zu beachten:
-L
Betriebssystemzugriff
minimieren
Zugriff auf
Betriebssystemordner
einschrnken
E TV Media GmbH
• Zugriff auf Betriebssystemordner: Das SAP-System muss
auf einige Ordner des Servers zugreifen knnen, um Daten
abzulegen oder fr den Betrieb notwendige Daten (z. B.
Profilparameter) lesen zu knnen. Leider schrnkt die
Standardeinstellung eines SAP-Systems weder den Lesenoch in vielen Fllen den Schreibzugriff auf alle Ordner
des Betriebssystems ein. Das ffnet potenziellen Angreifern viele Hintertren, durch die entweder das Betriebssystem oder das SAP-System selbst kompromittiert wer-
Seite 9

Download Report