Unternehmen, die SAP als betriebswirtschaftliche Anwendung oder ERP-System einsetzen, speichern oft ihre wichtigsten Daten, einschließlich des geistigen Eigentums, in der SAP-Umgebung. Diese Daten müssen vor unbefugten externen wie auch internen Zugriffen abgesichert werden. SAP-Systeme erfordern einen umfassenden Schutz und eine Überwachung der Sicherheit.

Was ist SAP-Sicherheit?

SAP Security (SAP: Systems Applications and Products) bietet die Möglichkeit, sowohl den externen als auch den internen Zugriff auf die Daten und Systeme Ihres Unternehmens zu überwachen und zu kontrollieren, und so Ihre Assets zu schützen. Ein SAP-System ist betriebswirtschaftliche Anwendungssoftware inklusive ERP und vieler weiterer Module, die von verschiedenen Unternehmen in einer Vielzahl von Branchen eingesetzt wird.

SAP-Sicherheit umfasst viele verschiedene Aspekte, beispielsweise die Sicherheit der Infrastruktur, die Netzwerksicherheit sowie die Sicherheit des Betriebssystems oder der Datenbanken. Eine weitere Komponente ist sicherer Code. Hierzu zählt die Pflege des SAP-Codes sowie die Sicherheit des kundenspezifischen Codes.

Eine sichere Einrichtung von SAP-Servern ist unerlässlich, um die vertraulichen und geschäftskritischen Daten Ihres Unternehmens abzusichern und vor Cyberangreifern zu schützen. Dies umfasst die sichere Konfiguration eines Servers, die Aktivierung des Security-Loggings, die Sicherheit in der System-Kommunikation sowie den Datenschutz. Auch die Aktivitäten der Benutzer sowie deren Berechtigungen müssen protokolliert und genau überwacht werden.

Die Elemente der SAP-Sicherheit

Angesichts der komplexen und vernetzten Beschaffenheit von SAP-Systemen ist es von großer Bedeutung, die Sicherheit aufrechterhalten zu können. Im Folgenden finden Sie einen Überblick über die verschiedenen Aspekte der SAP-Sicherheit:

  • Sicherheit der Infrastruktur
  • Netzwerksicherheit
  • Sicherheit des Betriebssystems
  • Sicherheit von Datenbanken
  • Sicherer Code
  • Konfiguration der Server
  • Aktivierung der Security-Loggings
  • System-Kommunikation

Wenn dies effektiv umgesetzt wird, ist es einfach, die System-Compliance mit Hilfe von kontinuierlicher Überwachung, Audits sowie der Umsetzung von Notfall-Konzepten aufrechtzuerhalten.

Wozu dient die SAP-Sicherheit und warum ist sie wichtig?

Die SAP-Sicherheit ist oftmals ein blinder Fleck innerhalb der zentralisierten Cybersecurity-Überwachung eines Unternehmens. 66 % der Führungskräfte sind der Ansicht, dass die Häufigkeit von Cyberangriffen weltweit auch weiterhin zunimmt – und dies gibt Anlass zur Sorge.

Als Maßnahme gegen diese Angriffe wurde SAP Security entwickelt, um die kritischen Systeme zu schützen, auf die Unternehmen angewiesen sind, um ihr Geschäft effektiv führen zu können.

Die wichtigsten Leistungen von SAP Security:

  • Verhinderung von Exploits und Betrug
  • Sicherstellung der Datenintegrität
  • Identifizierung von unberechtigtem Zugriff
  • Kontinuierliche und automatisierte Audits
  • Erkennung von Datenlecks
  • Zentralisierung des Security-Monitorings

Der Angriff auf SAP-Systeme kann verheerende Auswirkungen auf den Geschäftsbetrieb haben und zu finanziellen Verlusten, Problemen in der Lieferkette sowie langfristigem Image-Schaden führen.

Damit Sie sich dies ersparen können, müssen Sie die SAP-Systeme vor internen und externen Cyberbedrohungen schützen. Nur so kann Ihr Unternehmen die Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten.

Dennoch schenken viele Security-Teams diesen Systemen wenig Beachtung oder verlassen sich ausschließlich auf die Tools des ERP-Anbieters. Dies erhöht erwartungsgemäß das Angriffsrisiko drastisch und macht ERP-Systeme wie SAP zu einem vorrangigen Ziel für Gegner.

Wie funktioniert SAP-Sicherheit?

Da SAP-Systeme verschiedene Abteilungen und Programme miteinander verbinden, um einen reibungslosen Geschäftsbetrieb zu gewährleisten, sind sie auch unglaublich komplex. Aufgrund der Tatsache, dass sie von Natur aus so vielschichtig und sehr spezifisch sind, ist es auch schwieriger, geeignete Cybersecurity-Maßnahmen zu entwickeln.

Da Cyberangreifer laut einer Studie der Universität Maryland alle 39 Sekunden versuchen, Systeme anzugreifen, ist ihr Schutz unerlässlich.

Im Rahmen der SAP-Sicherheit können Sie verschiedene Maßnahmen ergreifen, um Angriffe zu verhindern:

Rollen und Berechtigungen

Zunächst unterstützen Ihre SAP-Systeme standardmäßig alle notwendigen Berechtigungen. Sie können unternehmensspezifische Berechtigungskonzepte in SAP einrichten, die die Vergabe der erforderlichen Berechtigungen ermöglichen. Die Vergabe von kombinierten Berechtigungen (SOD: Segregation of Duties, Abgrenzung von Aufgaben) ist kritisch.

Sie sollten kombinierte Berechtigungen als kritisch erachten, möglichst vermeiden, und nur in Ausnahmefällen vergeben beziehungsweise verwenden – beispielsweise für sogenannte Firefighter-Accounts (Nutzer mit weitreichenden Berechtigungen für Notfälle). Ein weiteres Problem der SAP-Sicherheit besteht darin, dass Berechtigungen und Rollen in SAP mit SAP-Standardmitteln manipuliert werden können.

Daher ist die Prüfung der erforderlichen Berechtigungen und Kombinationen von Berechtigungen von entscheidender Bedeutung, stellt Unternehmen jedoch vor große Herausforderungen. Zudem ist es wichtig, kontinuierliche, automatisierte Überprüfungen der SAP-Berechtigungen durchzuführen.

Diese Prüfungen können Sie sehr einfach über einen Testkatalog durchführen. Diesen von Grund auf neu zu erstellen, erfordert einen hohen Aufwand und ist nicht nur für die Berechtigungen im SAP-Basis-Bereich, sondern auch für weitere Geschäftsprozesse relevant. Angenommen, das 4- oder 6-Augen-Prinzip wird durch die Zuweisung von erforderlichen Berechtigungen oder Kombinationen von Berechtigungen untergraben, dann besteht die Gefahr, dass es zu einer Ausnutzung oder einem Betrug kommt.

Sie sollten SOD-Prüfungen idealerweise nicht nur auf Basis der SAP-Rollen durchführen, sondern auch auf Basis der Benutzer, die aufgrund einer Zuweisung mehrerer Rollen einen sogenannten SOD-Konflikt verursachen könnten. Neben der Auswertung der Benutzer sollten Sie beachten, welche Rollen-Kombinationen letztlich den Konflikt auslösen. Das Benutzer-Informationssystem (Transaktion SUIM) und die zugehörige API ermöglichen es Ihnen, die Kombinationen kritischer Berechtigungen zu prüfen.

Patch-Management

SAP ist zunehmend von Sicherheitsverletzungen betroffen. Bedrohungen, die derzeit mit den gängigen Lösungen für die Cybersicherheit abgewehrt werden, betreffen auch SAP-Systeme. SAP veröffentlicht zwar fortlaufend die sogenannten „SAP Security Notes“. Die Herausforderung für Unternehmen besteht jedoch darin, die SAP-Systeme auf dem neuesten Stand zu halten und die Patches kontinuierlich einzuspielen.

Leider ist dies nicht immer möglich.

So bleiben viele SAP-Systeme lange Zeit unverändert und nicht aktualisiert, und weisen letztendlich gravierende Sicherheitslücken auf. Erschwerend kommt hinzu, dass mit neuen Patch-Releases auch Informationen darüber veröffentlicht werden, wo die Schwachstellen liegen und wie diese ausgenutzt werden können. Aber nicht nur das Patching ist essenziell, sondern auch die Erkennung von ausgenutzten Schwachstellen, sogenannten Zero-Day-Exploits.

Transaktionsüberwachung

SAP umfasst auch eine Vielzahl kritischer Transaktionen und Funktionsmodule, die auch remote verfügbar sind. Damit ist es auch möglich, Accounts über die API des SAP-Systems anzulegen, mit Berechtigungen zu versehen und dann remote zu nutzen. Andere Bausteine und Funktionsmodule können dann Daten aus dem SAP-System laden oder manipulieren.

Auch hier spielt die Vergabe von Berechtigungen eine Rolle, denn sie schränkt die Nutzung der Transaktionen ein. Daher ist es unerlässlich, die Ausführung von Transaktionen, RFC-Modulen oder SAP-Reports kontinuierlich und in Echtzeit zu überwachen. Auch der Zugriff auf SAP-Systeme von außen über die Schnittstellen eines SAP-Systems, zum Beispiel die RFC-Schnittstelle, muss beobachtet werden.

Code-Sicherheit in SAP

Der nächste Punkt ist die Code-Sicherheit – ein wesentlicher Bestandteil für Ihre SAP-Sicherheit. In SAP-Systemen bleibt es oft den Entwicklern überlassen, die Sicherheit des ABAP-Codes zu gewährleisten. Das Coding wird in „Transports“ zusammengestellt und von den Entwicklungssystemen an die Produktivsysteme übergeben. Dies geschieht oftmals jedoch ohne eine ausreichende Prüfung des Codes.

Schlimmer noch: SAP bietet Angreifern die Möglichkeit zur Code-Injection, da Code auch zur Laufzeit generiert und ausgeführt werden kann. Diese Manipulation von wichtigen und dringenden Transports ist nur eine Variante, Schadprogramme völlig unbemerkt in ein SAP-System einzuschleusen. Glücklicherweise bietet SAP mit dem Code Inspector und Modulen wie dem Code Vulnerability Analyzer eine Möglichkeit zur Überprüfung des Codes an.

Systemeinstellungen

Ihre Systemeinstellungen sind die Grundlage für die SAP-Sicherheit – und es gibt zahlreiche Varianten für diese Settings. Die Einstellungen erfolgen auf Datenbankebene auf Basis von SAP-Transaktionen oder sogenannten SAP-Profil-Parametern, die in Dateien abgelegt werden. Der Rollout eines SAP-Systems muss dem Regelwerk für die Systemeinstellungen entsprechen, das Sie in Ihrem SAP-Basis-Benutzerhandbuch finden.

Hier ist festgehalten, wie die Sicherheitseinstellungen in einem SAP-System vergeben werden können, wie der Zugriff gewährt oder verweigert werden kann, und welche Kommunikationsmöglichkeiten das SAP-System erlaubt. Dabei sind die Betriebssystem-, Datenbank- und Anwendungsebenen relevant. Jede dieser Ebenen erfordert die passende Konfiguration der Sicherheitseinstellungen.

Leider sind diese Settings im SAP-Standardsystem oft unzureichend. In vielen Unternehmen sind zum Beispiel nur fünf Prozent der Ordner umfassend geschützt.

RFC-Konfiguration

Das RFC-Gateway kann als SAP-interne Firewall bezeichnet werden und muss korrekt konfiguriert werden (RegInfo, SecInfo), um unautorisierte Remote-Zugriffe von Systemen und Anwendungen zu verhindern.

Der SAP Best Practice-Leitfaden oder auch die Anleitungen der SAP-User-Groups wie der DSAG umfassen praxiserprobte und sicherheitsorientierte Einstellungen sowie Testkataloge.

SAP Security und Read Access Logging

SAP Security deckt auch eine Reihe von Security-Logdaten ab. Diese müssen sowohl aktiviert als auch kontrolliert werden.

Die wichtigsten Logdaten sind das „SAP Security Audit Log“ (SM20), das eine Reihe von sicherheits- und revisionsrelevanten Events umfasst. Zudem stehen die Change-Logs (SCU3) von Datenbank-Tabellen sowie die sogenannten „Change Documents of Users and Business Objects“ (SCDO) zur Verfügung. Das SAP-RFC-Gateway-Protokoll SMGW liefert die Logdaten des RFC-Gateways, des SAP Internet Communication Managers und des Web Dispatchers.

Das SAP Read Access Log speichert die Lese- und Schreibzugriffe auf bestimmte Transaktionsfelder, Reports oder Programme. Damit stellt es eine wesentliche Komponente dar, um die Verpflichtungen der EU-Datenschutz-Grundverordnung (GDPR beziehungsweise DSGVO) erfüllen zu können – die Protokollierung des Zugriffs auf personenbezogene Daten.

Die Konfiguration der SAP Read Access Loggings und dessen Auswertung sind ein wesentlicher Bestandteil der SAP-Security-Überwachung – nicht zuletzt in Zeiten der DSGVO. Mithilfe dieser Logdaten können Sie die Zugriffe auf SAP kontrollieren, die Informationen auslesen, zentral sammeln und im besten Fall mit den entsprechenden Regeln automatisiert überwachen. Das SAP Read Access Logging wird über die Transaktion SRALMANAGER gepflegt.

SAP Security bewährte Vorgehensweisen

Angesichts zahlreicher Risiken und einem derart hohen Organisationsaufwand kann es überwältigend sein, einen Security-Plan in die Tat umzusetzen. Wir bieten Ihnen eine schnelle und einfache Checkliste, die Ihnen den Einstieg in die Optimierung Ihrer SAP-Sicherheit erleichtert.

Um die Sicherheit Ihrer Daten zu gewährleisten, müssen Sie eine Reihe von Bewertungen durchführen:

  • Interne Bewertung der Zugriffskontrolle
  • Beurteilung von Change- und Transport-Verfahren
  • Prüfung der Netzwerk-Einstellungen und der IT-Architektur
  • Sicherheitsbewertung des Betriebssystems
  • Feststellung der DBMS-Sicherheit
  • Bewertung der Sicherheit von SAP NetWeaver
  • Begutachtung verschiedener SAP-Komponenten (wie SAP Gateway, SAP Messenger Server, SAP Portal, SAP Router, SAP GUI)
  • Bewertung der Compliance von SAP-, ISACA-, DSAG- und OWASP-Standards

Nachdem Sie diese Bewertungen durchgeführt haben, müssen Sie noch einige weitere Schritte unternehmen. Wenn Sie diesen Plan entwickelt haben, sind Sie den meisten Unternehmen – und auch den Cyberangreifern – weit voraus. Im Folgenden finden Sie ein einfaches Verfahren in vier Schritten, das Ihnen den Einstieg in die SAP-Sicherheit erleichtert:

  1. Passen Sie Ihre Einstellungen an: Stellen Sie sicher, dass alle Ihre Einstellungen auf Ihre Organisationsstruktur abgestimmt sind. Zudem sollten Sie Ihre Teams schulen und überprüfen, ob alle bestehenden Sicherheitsmaßnahmen eingehalten werden.
  2. Erstellen Sie einen Plan für Notfallmaßnahmen: Für den Notfall sollten Sie einen Plan zur Hand haben, den Sie schnell und effektiv umsetzen können. Zudem sollten Sie sicherstellen, dass Ihre Netzwerk-Administratoren die Zugriffsmöglichkeiten und die Berechtigungen bei Bedarf problemlos widerrufen können.
  3. Pflegen Sie Ihre Systeme und führen Sie regelmäßige Überprüfungen durch: Darüber hinaus sollten Sie Ihre SAP-Systeme kontinuierlich überwachen. Stellen Sie sicher, dass die Liste der Berechtigungen regelmäßig aktualisiert wird – vor allem, wenn Sie neue Mitarbeiter einstellen oder Mitarbeiter ihre Position im Unternehmen (Rolle) wechseln.
  4. Nutzen Sie Security-Tools: Letztlich ist es wichtig, die passenden Sicherheitslösungen zu nutzen, um alle Prozesse im Auge zu behalten und verdächtige Aktivitäten zu erkennen. Auf diese Weise können Sie Cyberangriffe oder Sicherheitsverletzungen leichter verhindern.

SAP Security: Lösungen und Tools

Sie suchen eine passende Lösung für die SAP-Sicherheit? Es ist nicht einfach,den richtigen Partner zu finden, dem Sie vertrauen können – besonders bei einem derart wichtigen Thema.

Zwar bietet SAP selbst – technisch betrachtet – eine Sicherheitslösung an, doch diese lässt sich oftmals nicht in die gesamte Überwachung der Cybersicherheit eines Unternehmens integrieren. So entsteht ein blinder Fleck für das Security-Team, der das Risiko sowohl für interne als auch externe Bedrohungen erhöht.

Deshalb schafft die Integration Ihres SAP-Security-Monitorings in eine zentralisierte SIEM-Lösung einen erheblichen Mehrwert für Ihre Cybersicherheit, Ihren IT-Betrieb, Ihre System-Compliance sowie Ihre Business-Analysen. Idealerweise bietet eine SIEM-Plattform auch Technologien wie UEBA (UEBA: User Entity and Behavior Analytics), um neben der regelbasierten Überwachung auch Einblicke in Verhaltensmuster zu erhalten.

Die SAP-Sicherheit sollte mit Hilfe von SIEM-Lösungen kontinuierlich und automatisiert kontrolliert werden – zentralisiert im Unternehmen, integriert in die IT-Sicherheit und idealerweise überwacht von einem Security Operations Center (SOC). Nur so können Sie Bedrohungen unmittelbar erkennen und sofort darauf reagieren.