Administration von SAP-Umgebungen

SAP-Sicherheit ist Einstellungssache

| Autor / Redakteur: Gerhard Unger* / Stephan Augsten

SAP-Umgebungen sind oft nicht sicher konfiguriert, dieser Beitrag beleuchtet einige Fehler.
SAP-Umgebungen sind oft nicht sicher konfiguriert, dieser Beitrag beleuchtet einige Fehler. (Bild: Archiv)

SAP steht für Produktivität und Prozesse, aber wie steht es um die SAP-Sicherheit? Zu oft wird dieser Aspekt ausgeklammert. De facto grassiert eine SAP-Unsicherheit, die oft durch mangelndes Fachwissen und fehlerhafte Konfigurationen entsteht. Dieser Beitrag gibt einige Tipps für die Praxis.

Für einen einfachen SAP-Penetrationstest benötigen Experten nicht mehr Informationen, als IP-Adressen und den gewöhnlichen Front-End-Zugang eines SAP-Anwenders. Schon hier sind die Ergebnisse erschreckend: Rund 95 Prozent der untersuchten Systeme sind nicht sicher und können jederzeit für Betrug, Spionage oder Sabotage kompromittiert werden – bis hin zum kompletten Shut-Down eines Systems.

SAP – der blinde Fleck im Security Operations Center

Mehr Sicherheit durch SIEM-(In)fusion

SAP – der blinde Fleck im Security Operations Center

01.08.13 - Kann es das geben? Obgleich SAP-Systeme in höchstem Maße kritisch für das Kerngeschäft von Unternehmen sind, verkörpern noch immer den „Blinden Fleck“ im IT-Security Monitoring. Mache Sie einmal einen Reality Check: Wie sicher sind Ihre SAP-Anwendungen wirklich? lesen

Die Ursachen sind vielfältig: Einmal sind da die nicht ausreichenden Ressourcen. Manch ein CISO gesteht im Vertrauen, dass er sämtliche Audits mit zwei Mitarbeitern fahren muss. Unklar sind zudem auch die Zuständigkeiten für das weite Feld der SAP-Sicherheit, das sich über verschiedene Ebenen erstreckt. Auf Applikationsebene wird SAP-Sicherheit etwa überwiegend als Segregation of Duties (SOD) betrieben.

Noch unklarer sind aber die Kompetenzen auf der Transaktionsebene – sei es „SAP Netweaver“, “SAP HANA“ oder „SAP Business Objects“ – die für die Übertragung von Daten und Informationen in SAP-Landschaften zuständig ist. Die sicherheitsrelevante Konfiguration von Servern und Instanzen findet hier statt.

Technische Parameter auf der Transaktionsebene

Auf der Transaktionsebene lassen sich alle technischen Parameter festlegen, also Nutzer, Passwörter, Berechtigungen und Einstellungen zur Kommunikation. Außerdem werden hier der Zugriff auf Business-Daten und -Profile wie Kunden und Zulieferer oder auch Rechnungs- und Gehaltsdaten geregelt. Und hier hat ein Angriff eine ungleich höhere und direktere Auswirkung als ein Zugriff auf SAP-Applikationsebene.

Wer sich etwa einen SAP_All User einrichtet und entsprechend konfiguriert, hat anschließend freie Hand, um auch die Kompetenztrennung der SOD auszuspielen. SAP-Sicherheit fängt also schon bei der richtigen Definition der Konfigurationsparameter an. Und dieses Definitionsfeld ist ein weites Feld und daher eine Hauptquelle für Sicherheitslücken.

Ein weites Feld

Alle relevanten Einstellungen, die in SAP typischerweise über Parameter von Tabellen geregelt werden, lassen sich schnell durch die Eingabe von Zahlenwerten konfigurieren. Was einfach erscheint, wird dann problematisch, wenn man sich die Dimension und Feingliedrigkeit der Konfigurationstabellen vor Augen führt.

Die Möglichkeiten, Konfigurationsprofile für SAP-Server oder SAP-Instanzen anzulegen, sind schier unerschöpflich, denn je nach Kernel-Version existieren rund 1.500 zu definierende Parameter, von den rund zehn Prozent unmittelbar sicherheitsrelevant sind. Bedenkt man, dass eine SAP-Landschaft eines Unternehmens aus Hunderten von oft geschichtlich entstandenen SAP-Servern besteht, wird die quantitative Dimension des Problems sichtbar.

Zusätzlich unübersichtlich wird die Konfigurationslage, weil die Parameter über verschiedene Mechanismen konfiguriert werden. So allein schon durch

  • das Customizing der SAP-Software,
  • die Einstellungen der User Management Engine (UME) bei JAVA-Systemen, die für die Suche oder das Anlegen von neuen Usern zuständig ist,
  • die Parameter der Access Control List (ACL), welche die Anmeldung bei Servern und die Zulassung von Programmen oder Verbindungen regelt (reginfo, secinfo, Webdispatcher, Management Console, Message Server, ICM),
  • die Konfiguration von Anwenderrollen und User-Parametern generell (sei es z.b. der erwähnte Sap_All-User oder auch User, die RFC Verbindungen aufnehmen, Dateien lesen beschreiben oder löschen und auf verschiedene Tabellen zugreifen können),
  • die Konfiguration von Transport-Profilen oder
  • die Adressierung von RFC-Zielen.

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43171206 / Software)