Organisationen, die SAP als Geschäftsanwendung oder ERP-System verwenden, speichern häufig ihre wichtigsten Vermögenswerte, einschließlich des geistigen Eigentums, in SAP. Diese Daten müssen vor unberechtigtem Zugriff von außen und innerhalb der Organisation geschützt werden. Darum erfordern SAP-Systeme umfangreiche Schutz- und Sicherheitsüberwachung.
Was ist SAP-Sicherheit?
Es gibt verschiedene Aspekte der SAP-Sicherheit, wie z.B. Infrastruktursicherheit, Netzwerksicherheit, Betriebssystemsicherheit und Datenbanksicherheit. Die nächste Ebene ist der sichere Code, der die Verwaltung des SAP-Codes und die Sicherheit des kundenspezifischen Codes umfasst. Eine sichere Einrichtung von SAP-Servern ist unerlässlich. Sie umfasst die sichere Konfiguration eines Servers, die Aktivierung der Sicherheitsprotokollierung, die Sicherheit im Hinblick auf die Systemkommunikation und die Datensicherheit. Benutzer und Berechtigungen sind nicht weniger kritisch. Insgesamt gilt es, die Systemkonformität mit Hilfe von kontinuierlichem Monitoring, Audits und der Erstellung von Notfallkonzepten zu gewährleisten.
Wozu wird SAP-Sicherheit eingesetzt und warum ist sie wichtig?
SAP-Sicherheit wird häufig isoliert betracht oder ein blinder Fleck innerhalb der zentralisierten Cyber-Sicherheitsüberwachung eines Unternehmens. Die SAP-Sicherheit sollte die geschäftskritischen Systeme schützen, auf die sich Unternehmen für eine effektive Geschäftsabwicklung verlassen.
Zu den häufigsten Anwendungsfällen gehören:
- Ausbeutung und Betrug vermeiden
- Sicherstellen der Datenintegrität
- Identifizieren von unberechtigtem Zugriff
- Kontinuierliche und automatisierte Audits
- Feststellung von Datenlecks
- Zentralisierung der Sicherheitsüberwachung
Ein Angriff auf SAP-Systeme kann verheerende Auswirkungen auf den Geschäftsbetrieb haben, die sowohl finanzielle als auch Reputationsverluste nach sich ziehen können. Diese Systeme müssen vor internen und externen Cyber-Bedrohungen geschützt werden, um Vertraulichkeit, Verfügbarkeit und Integrität zu gewährleisten. Trotzdem werden sie von vielen Unternehmen nicht von Sicherheitsteams betreut oder sind allein auf die Tools der ERP-Anbieter angewiesen. Dies erhöht das Risiko von Angriffen und macht ERP-Systeme wie SAP zu einem Hauptziel für Gegner.

Wie funktioniert SAP Security?
SAP-Systeme sind von Natur aus komplex und einzigartig, so dass eine ausreichende Cybersicherheit schwierig zu erreichen ist. Innerhalb der SAP-Sicherheit müssen mehrere Disziplinen beherrscht werden, um eine solide Sicherheitsaufstellung zu gewährleisten:
Rollen und Berechtigungen
SAP liefert standardmäßig die notwendigen Berechtigungen. In SAP sind kundenspezifische Berechtigungskonzepte eingerichtet, so daß wesentliche Berechtigungen vergeben werden können. Entscheidend ist die Zuordnung von Berechtigungskombinationen (Segregation of Duties, SOD). Die Vergabe kritischer Berechtigungskombinationen sollte vermieden und nur in Ausnahmefällen, z.B. bei sogenannten Feuerwehrkonten, verwendet oder vergeben werden. Eine weitere Komplikation in der SAP-Sicherheit besteht darin, dass Berechtigungen und Rollen in SAP mit SAP-Standardmitteln manipuliert werden können.
Die Prüfung notwendiger Genehmigungen und Genehmigungskombinationen ist daher von entscheidender Bedeutung und stellt Unternehmen vor erhebliche Herausforderungen. Auch die kontinuierliche, automatisierte Überprüfung von SAP-Berechtigungen ist von hoher Bedeutung.
Solche Prüfungen verwenden einen Testkatalog. Diesen von Grund auf neu zu erstellen, ist sehr aufwendig und nicht nur für die Berechtigungen im Bereich SAP-Basis relevant, sondern auch für die Geschäftsprozesse. Angenommen, die 4-6-Augen-Prinzipien werden durch die Vergabe notwendiger Berechtigungen und Berechtigungskombinationen verletzt. In diesem Fall besteht die Gefahr von Ausbeutung oder Betrug.
SOD-Prüfungen werden idealerweise nicht nur nach SAP-Rollen, sondern auch nach Benutzern durchgeführt, die durch die Zuweisung mehrerer Rollen einen sogenannten SOD-Konflikt auslösen können. Neben der Beurteilung der Benutzer ist es wichtig zu wissen, welche Rollen in Kombination letztlich den Konflikt auslösen. Die SAP-Transaktion SUIM und ihr API erlauben die Prüfung von Kombinationen kritischer Berechtigungen.
Patch Management
SAP ist zunehmend von Sicherheitsverstößen betroffen. Bedrohungen, die derzeit in der traditionellen Cybersicherheit behandelt werden, gelten auch für SAP-Systeme. Es werden laufend sogenannte SAP-Sicherheitshinweise veröffentlicht. Die Herausforderung für Unternehmen besteht jedoch darin, die SAP-Systeme auf dem neuesten Stand zu halten und die Patches kontinuierlich einzuspielen. Dies ist nicht immer möglich. Deshalb bleiben viele SAP-Systeme lange Zeit ungepatcht und weisen somit gravierende Sicherheitslücken auf. Erschwerend kommt hinzu, dass mit der Veröffentlichung neuer Patches Informationen darüber veröffentlicht werden, wo sich die Schwachstellen befinden und wie sie ausgenutzt werden können. Wesentlich ist nicht nur das Patchen, sondern auch das Aufspüren von ausgenutzten Schwachstellen, so genannten Zero-Day-Exploits.
Überwachung von Transaktionen
SAP bietet eine große Anzahl von kritischen Transaktionen und Funktionsmodulen, die auch remote verfügbar sind. Es ist möglich, über die API des SAP-Systems Konten anzulegen, sie mit Berechtigungen auszustatten und sie dann remote zu nutzen. Andere Bausteine und Funktionsbausteine können dann Daten aus dem SAP-System laden oder manipulieren. Auch hier spielt wieder die Berechtigungsvergabe eine wichtige Rolle, da sie die Nutzung der Transaktionen einschränkt. Außerdem ist es entscheidend, die Ausführung von Transaktionen, RFC-Bausteinen oder SAP-Reports kontinuierlich und nahezu in Echtzeit zu überwachen. Auch der Zugriff von außen auf SAP-Systeme über die Schnittstellen eines SAP-Systems, z.B. die RFC-Schnittstelle, muss überwacht werden.
SAP-Code-Sicherheit
Auch die Code-Sicherheit ist ein wesentlicher Bestandteil der SAP-Sicherheit. In SAP-Systemen wird es oft den Entwicklern überlassen, die Sicherheit des ABAP-Codes zu gewährleisten. Das Coding wird in Transporten zusammengestellt und von den Entwicklungssystemen zu den Produktivsystemen transportiert, oft ohne eine ausreichende Prüfung des Codings. Auch SAP bietet Angreifern interessante Möglichkeiten der Code-Injektion, da Coding sogar zur Laufzeit generiert und ausgeführt werden kann. Die Manipulation wichtiger und dringender Transporte ist nur eine Möglichkeit, Schadprogramme unentdeckt in ein SAP-System zu transportieren. SAP stellt einen Code Inspector mit Modulen wie dem Code Vulnerability Analyzer zur Verfügung, um den Code zu überprüfen.
System Einstellungen
Systemeinstellungen sind die Grundlage der SAP-Sicherheit, und die Einstellungsmöglichkeiten von SAP-Systemen sind zahlreich. Die Einstellungen werden auf Datenbankebene durch SAP-Transaktionen oder sogenannte SAP-Profilparameter vorgenommen, die in Dateien abgelegt sind. Beim Rollout eines SAP-Systems muss ein Regelwerk für Systemeinstellungen eingehalten werden, das in einem SAP Basis-Betriebshandbuch zu finden ist. Hier wird festgelegt, wie die Sicherheitseinstellungen in einem SAP-System vergeben werden, wie der Zugriff gewährt oder verweigert wird und welche Kommunikation eines SAP-Systems erlaubt ist. Dabei sind die Betriebssystem-, Datenbank- und Anwendungsschicht relevant. Jede dieser Schichten erfordert eine korrekte Konfiguration der Sicherheitseinstellungen. Leider sind diese im SAP-Standardsystem oft unzureichend.
RFC Konfiguration
RFC-Kommunikation ist ein wichtiges Thema. Das RFC-Gateway kann als die SAP-interne Firewall bezeichnet werden und muss genau konfiguriert werden (RegInfo, SecInfo), um unberechtigte Fernzugriffe von Systemen und Anwendungen zu verhindern. SAP Best Practice-Richtlinien oder Richtlinien von SAP-Anwendergruppen wie der DSAG enthalten praxiserprobte und sicherheitsorientierte Einstellungen und Testkataloge.
SAP-Sicherheits- und Lesezugriffsprotokolle
SAP Security umfasst auch eine Reihe von Sicherheitsprotokollen. Diese müssen gleichzeitig eingeschaltet und kontrolliert werden. Die kritischsten Protokolle sind das SAP-Sicherheitsauditprotokoll (SM20), das eine Reihe von sicherheits- und auditrelevanten Ereignissen enthält. Änderungsprotokolle (SCU3) von Datenbanktabellen und die sogenannten Änderungsbelege von Benutzern und Business-Objekten (SCDO) sind verfügbar. Das SAP RFC Gateway Log SMGW enthält Protokolle des RFC-Gateways, Protokolle des SAP Internet Communication Managers und des Web Dispatchers.
Das SAP-Lesezugriffsprotokoll speichert Lese- und Schreibzugriffe auf bestimmte Felder von Transaktionen, Berichten oder Programmen. Somit ist die Protokollierung des Zugriffs auf personenbezogene Daten eine wesentliche Komponente zur Erfüllung der Verpflichtungen aus der
EU-Datenschutzverordnung (DS-GVO). Die Konfiguration der SAP-Lesezugriffsprotokolle und deren Auswertung ist ein wesentliches Element des SAP-Sicherheitsmonitorings, nicht zuletzt in Zeiten der GDPR. Mit Hilfe dieser Protokolle können Zugriffe auf SAP überwacht, extrahiert und zentral gesammelt und bestenfalls automatisch mit entsprechenden Regeln überwacht werden. Das SAP Lesezugriffsprotokoll wird über die Transaktion SRALMANAGER verwaltet.
SAP-Sicherheitslösungen und -werkzeuge
Obwohl der Anbieter eine SAP-Sicherheitslösung anbietet, lässt sie sich oft nicht in die allgemeine Cyber-Sicherheitsüberwachung des Unternehmens integrieren. Dies schafft einen blinden Fleck für das Sicherheitsteam und erhöht die Cyber-Bedrohung durch interne und externe Akteure.
Darum kann die Integration Ihrer SAP-Sicherheitsüberwachung in ein zentralisiertes SIEM einen erheblichen Mehrwert in den Bereichen Cybersicherheit, IT-Betrieb, System-Compliance und Geschäftsanalyse schaffen. Im Idealfall verwenden diese Plattformen Technologien wie UEBA (User Entity and Behavior Analytics) – um zusätzlich zur regelbasierten Überwachung verhaltensbasierte Erkenntnisse zu erhalten.
Die SAP-Sicherheit muss in SIEM-Lösungen kontinuierlich und automatisch überwacht werden. Um Bedrohungen schneller zu erkennen und sofort zu reagieren, sollte diese von einem zentralen Punkt im Unternehmen, integriert in die IT-Sicherheit, idealerweise verwaltet durch ein Security Operations Centers (SOC), gesteuert werden.
Der originale Blogpost wurde am 15. September 2020 auf www.logpoint.com veröffentlicht.
Quelle und weitere Informationen:
SAP NetWeaver Security Guide
DSAG-Handlungsempfehlungen, -Leitfäden und -Strategiepapiere
SAP HANA Security Guide