von Sükrü ilkel Birakoglu, Senior Director
Business Critical Systems (BCS) speichern eine Fülle geschäftskritischer Daten, die sich auf Lieferketten und das Management des Produktlebenszyklus beziehen. Zudem umfassen diese Systeme eine ganze Reihe weiterer Datenbanken. Ist SAP von den Sicherheitssystemen abgekoppelt und die Transparenz eingeschränkt oder nicht vorhanden, führt dies zu zahlreichen Problemen – einschließlich Insider-Bedrohungen.
Natürlich kommt eine der größten Bedrohungen – wenn nicht sogar die größte Bedrohung – von außen, sodass ein umfassend geschütztes SAP-System zwingend erforderlich ist. Wie können Sie Passwörter und den Zugang zu Passwörtern in SAP-Systemen optimal schützen? Ein guter Ausgangspunkt ist es, zu verstehen, wie Benutzer auf SAP-Systeme zugreifen: Wie meldet sich ein Anwender an? Was passiert dann, wie geht es weiter? Wie verschafft sich ein Eindringling Zugang zu diesen Passwörtern?
Warum sind SAP-Systeme das Ziel von Cyberangriffen und wie können sich Benutzer sicher anmelden?
Kurz gesagt, ein SAP-System ist eine Goldgrube für Daten. SAP ist ein integriertes Business-System, das die wichtigsten Geschäftsprozesse eines Unternehmens unterstützt und in den meisten Fällen mit anderen Geschäftsanwendungen interagiert. Infolgedessen enthalten SAP-Systeme eine riesige Menge an sensiblen Geschäftsdaten. Diese Charakteristika der SAP-Systeme und SAP-Datenbanken machen sie zu einem attraktiven Ziel für Cyberkriminelle, die versuchen, sich Zugang zu sensiblen Informationen zu verschaffen und betrügerische Aktivitäten auszuführen.
Wie bei jeder anderen IT-Lösung auch, haben die Benutzer Anmeldedaten und Passwörter. Dabei verfügt SAP über Secure Login. Diese innovative Softwarelösung wurde entwickelt, um die Benutzer- und IT-Produktivität mit einem sicheren Single-Sign-On für die SAP-Umgebung zu verbessern und die geschäftskritischen Daten in SAP-Lösungen zu schützen.
Der SAP-Anwender kann sich über die SAP-GUI (Graphical User Interface) mit einem Single-Sign-On oder mit einer Benutzer-/Passwort-Kombination an einem SAP-System anmelden. Die Passwort-Hashes werden dann in Benutzerstamm-Tabellen (User Master Tables) in einer Datenbank des SAP-Systems gespeichert. Ein Eindringling, der Zugriff auf Passwort-Hashes hat, kann besonders schwache oder automatisch generierte Passwörter mithilfe von Techniken wie Wörterbuch-Attacken oder Kollisionsangriffen knacken. Dies wirft eine wichtige Frage auf.
Wie kann ein Angreifer die SAP-Mechanismen für die Zugriffskontrolle umgehen, um an Passwort-Hashes zu gelangen?
Die erste Möglichkeit, auf Passwort-Hashes in einem produktiven SAP-System zuzugreifen, besteht darin, Datenbank-Tabellen mithilfe der Transaktion SE16 zu durchsuchen – insbesondere, wenn keine angemessenen Zugriffskontrollen für Tabellen eingerichtet sind. Sie können den Zugriff auf sensible Passwörter und Geschäftsdaten verhindern, indem Sie geeignete Berechtigungsgruppen für Datenbank-Tabellen festlegen. Bei vielen SAP-Implementierungen ist dies jedoch leider nicht der Fall. Zu viele Benutzer haben Zugang zu Datenbank-Tabellen mit sensiblen Informationen. Die Passwort-Hashes können mithilfe der Transaktion SE16 angezeigt und heruntergeladen werden.
Die Möglichkeit, Programme in produktiven Umgebungen auf Fehler zu untersuchen, ist ein weiterer Weg, an Passwort-Hashes zu gelangen. Der Debug-Modus ermöglicht es, die verarbeiteten Werte einzusehen und Passwort-Hashes zu erhalten. Die Erstellung eines einfachen Reports wie RSUSR200 (Liste der Benutzer nach Anmeldedatum und Passwort-Änderung), der eine Tabelle mit benutzerbezogenen Informationen ausliest, könnte ausreichen, um einen Hash im Debug-Modus zu erhalten.
Es gibt noch viele weitere Möglichkeiten, an Passwort-Hashes und vertrauliche Geschäftsinformationen zu gelangen. Hierzu zählen beispielsweise der Verbindungsaufbau zu SAP-Systemen mithilfe von externen Programmen, die RFC-fähige Funktionsbausteine nutzen, oder der direkte Zugriff auf die Datenbank eines SAP-Systems über Datenbank-Konnektoren.
Die Rolle von Logpoint SIEM für den Schutz Ihrer SAP-Systeme
Es ist von entscheidender Bedeutung, unbefugte Zugriffe auf kritische Datenbank-Tabellen, die Ausführung kritischer Programme oder das Debugging in Produktivsystemen in Echtzeit zu erkennen, diese Ereignisse mit anderen sicherheitsrelevanten Vorfällen zu korrelieren und Warnungen in einem integrierten SIEM-Tool (Security Information and Event Management) zu erhalten. Üblicherweise sind SAP-Systeme von der Überwachung der IT-Sicherheit abgekoppelt. Das bedeutet, dass SAP-Daten nicht mit anderen Ereignissen im IT-Netzwerk korreliert werden können. Dieser Mangel an Integration schafft schwerwiegende Sicherheitslücken, die sich nur dann schließen lassen, wenn die SAP-Daten in eine zentrale Monitoring-Lösung einfließen.
Logpoint führt BCS for SAP und SIEM-Technologien zusammen, integriert die SAP-Sicherheit in das Security Information and Event Management und schließt damit diese Sicherheitslücken. Die SAP-Daten werden mit anderen Events im IT-Netzwerk korreliert, Sie erhalten kontextbezogene Einblicke und haben einen vollständigen, transparenten Überblick über die Bedrohungssituation in Ihrer gesamten IT-Landschaft.
Weitere Informationen zu unseren Lösungen für das SAP-Security-Monitoring finden Sie auf unserer Website. Zudem können Sie sich hier die Broschüre zu BCS for SAP herunterladen.
