Mehr Sicherheit durch SIEM-(In)fusion

SAP – der blinde Fleck im Security Operations Center

| Autor / Redakteur: Andreas Mertz / Ulrike Ostler

Kaum zu glauben: IT-Security deckt kritische Anwendungssysteme allzu oft nur unzureichend ab.
Kaum zu glauben: IT-Security deckt kritische Anwendungssysteme allzu oft nur unzureichend ab. (Bild: IT-Cube)

Kann es das geben? Obgleich SAP-Systeme in höchstem Maße kritisch für das Kerngeschäft von Unternehmen sind, verkörpern noch immer den „Blinden Fleck“ im IT-Security Monitoring. Mache Sie einmal einen Reality Check: Wie sicher sind Ihre SAP-Anwendungen wirklich?

Aufgrund ihrer Bedeutung, Informationsdichte, Komplexität, Architektur und ihres Schwachstellenpotenzials unterliegen sie einer besonderen Kritikalität. Kein Wunder also, dass allein die enorme Informationsdichte die SAP-Systeme in den Fokus vieler „Interessenten“ rückt: staatlich subventionierte Industriespionage, aggressive Wettbewerber, korrupte Angestellte sind hier die Stichworte.

Denn in keinem anderen IT-System werden geschäftskritische Informationen derart konzentriert verfügbar gehalten:

  • FI: Finanzdaten, Kennzahlen, Planungszahlen, etc.,
  • HR: Personaldaten, Gehälter, Kontendaten,
  • PLM: Geschäftsgeheimisse, Entwicklungsmuster, Rezepturen,
  • SRM: Preislisten, Einkaufspreise, Ausschreibungen, Angebote,
  • CRM: Kundendaten, Umsätze, Opportunity Pipe, Forecasts.

SAP-Systeme in Großkonzernen sind hochkomplexe IT-Landschaften, die unterschiedlichste Technologien bündeln, zum Beispiel Applikations-Server, Datenbanken, Middleware, Web-Server, Betriebssysteme und Identity-Management-Systeme. Diese Komplexität verursacht oft gravierende Kompromisse zu Lasten der IT-Sicherheit. Zum Beispiel kann der Zugriff von SAP-Systemen auf externe Datenquellen als bidirektionaler Datenaustausch zwischen SAP und JDBC-konformen (Java Database Connectivity) RDBMS-Systemen (RDBMS = Relational Database Management) erfolgen.

Problematisch wird es, wenn beispielsweise SCADA-Systeme (SCADA = Supervisory Control and Data Acquisition) am selben RDBMS angekoppelt werden. Eine so geschaffene intrinsische Vertrauensbeziehung lässt sich leicht manipulieren, um Zugriff aus einem mit Schwachstellen behafteten SAP-System in ein SCADA-Netz und somit auch ein Einfallstor für Sabotageakte zu ermöglichen.

SoD-Checks greifen nicht!

Eine weitere Ursache für die immanente Security-Schwäche von SAP-Systemen liegt im allgemeinen Verständnis von IT-Sicherheit. In den vergangenen Jahren hat sich ein ganzer Industriezweig etabliert, um historisch gewachsene Berechtigungssysteme und Prozesse zu auditieren. Kontrollmaßnahmen, Prüfungsintervalle, Kontrollkalender und Verantwortlichkeiten werden im GRC-Management ( GRC = Governance Risk Compliance) des Unternehmens abgebildet.

Zweifellos ist die Prüfung von SoDs (Segregation of Duties) ein wesentliches Element im internen Kontrollsystem, aber sie helfen nicht die Penetration einer technischen Schwachstelle zeitnah zu erkennen und bei der Alarmierung. SoD-Checks greifen nicht, wenn der Angreifer gar keinen User-Account benötigt, um in Systeme einzudringen.

Lesen Sie 'mal das Passwort!

Beispielsweise kann die Kopplung eines SAP-Applikations-Servers und einer Oracle-Datenbank zu penetrierbaren Schwachstellen führen (vgl. SAP Security Note #1623922). Hat ein Angreifer Zugriff auf Netzwerk und Datenbank, so kann er ohne weitere Authentisierung die UserID und das verschlüsselte Passwort aus der SAP-User Tabelle lesen und das Passwort mit Hilfe der passenden Bibliothek entschlüsseln.

Im Ergebnis hat er mit diesen Anmeldedaten Vollzugriff auf alle Datenbankobjekte. Dort angekommen kann er für beliebige SAP-Accounts den Passwort-Hash austauschen. Noch einfacher wird es für den Angreifer, wenn er auf technische Accounts mit fest-codierten Passwörtern trifft, die für Backup, Replikation und Synchronisation der Datenbanken verwendet werden.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42240767 / Services)