Sicherheitslücken in SAP®-Anwendungen

Michael Kemmer

Das aktuelle Thema Cyberkriminalität nimmt stetig an Bedeutung zu. Gerade finanziell motivierte Angreifer richten ihre Aufmerksamkeit vermehrt auf die Anwendungsebene. Damit rücken Geschäftsanwendungen wie ERP, CRM und Personalwesen stärker in den Fokus und stellen attraktive Ziele dar. Leider hat oft die ERP-Sicherheit in Unternehmen eine niedrigere Priorität. Daher werden Systeme oftmals im Hinblick auf die Verfügbarkeit des Betriebs jahrelang nicht aktualisiert. [1]

SAP®-Sicherheitslücken

SAP®-Systeme sind nicht nur anfällig und angreifbar, wenn sie vor Ort, über das Internet oder vollständig in der Cloud verfügbar sind. Insbesondere Angriffe auf SAP®-Systeme in Organisationen sind von besonderer Bedeutung, da häufig ein direkter Zugriff auf das SAP®-Systeme gegeben ist. Die Hauptursachen und erkennbare Gründe für Angriffe, Hacks und Diebstähle liegen innerhalb der Unternehmen, aber die von außen kommenden Versuche nehmen von Jahr zu Jahr exponentiell zu.

Die Angriffsvektoren auf SAP®-Systeme sind vielfältig, intelligent und komplex. Die Möglichkeiten SAP®-Systeme zu kompromittieren und so einen unberechtigten Zugriff auf SAP®-Systeme zu erlangen reichen von den Möglichkeiten des Betriebssystems, der SAP®-Oberfläche, des SAP®-Anwendungsservers und seiner Werkzeuge im SAP®-Standard bis hin zu den Datenbanken selbst. Auch die Reife der einzelnen Geschäftsprozesse und die dahinter liegende Logik spielen eine Rolle. Die größte Rolle übernimmt aber der Anwender selbst.

Es bedarf keiner besonderen Hacking-Kenntnisse oder -Tricks, sondern nur der SAP®-eigenen Board-Tools, um die SAP-inhärente Sicherheit (in Form von SAP® Solution Manager oder SAP® GRC) zu umgehen und so das Ziel zu erreichen.


SAP®-inhärente Sicherheit

Sicherheitstools in SAP®-Systemen beschränken sich auf die Überwachung und das Scannen von Einstellungen wie Profilparametern, speziellen Datenbanktabelleneinträgen oder Identitätsverwaltung sowie die rollenbasierte Rechtevergabe und Zugriffskontrolle über Tools wie SAP® Solution Manager oder SAP® GRC. Diese Tools arbeiten nach Bedarf oder in bestimmten Zeitabständen und klären auf Anfrage die Einhaltung der Einstellungen und der Parameter.

Die Kontrolle von sicherheitsrelevanten und sicherheitskritischen Ereignissen zur Laufzeit wird während der Implementierung häufig ausgelassen bzw. „vergessen“. Darüber hinaus gibt es keine unmittelbare Warnung, sodass SAP®-Kunden immer auf der Suche nach den Ereignissen sind, wie z.B. ob falsche Einstellungen vorgenommen wurden. 

Sicherheitsrelevante Einstellungen können mit SAP®-Ressourcen überschrieben und umgangen werden, und nach Missbrauch in einem SAP®-System wieder rückgängig gemacht werden. 

Die SAP®-eigenen Sicherheitslösungen können kritische Ereignisse in der Regel nicht erfassen, da die Laufzeit (Business Application Runtime) nicht im Mittelpunkt steht und das Monitoring in Echtzeit (Near-Time-Monitoring) mit den On-Board-Ressourcen von SAP® praktisch nicht möglich ist.


Bild 1: IT-Silos verursachen blinde Flecken bei der Sicherheitsüberwachung.


Umgehung der Sicherheitsbarrieren

Die Umgehung der Sicherheitsbarrieren beginnt mit unsicheren ABAP-Code oder beispielsweise fehlenden Berechtigungsprüfungen beim Start von Programmen, Berichten oder Funktionsbausteinen und endet mit dem Schutz von Datenbankzugriffen. 

Eine sehr einfache Möglichkeit, eine sogenannte Hintertür zu implementieren, ist die Verwendung des SAP-Transports (SAP® STMS). Fast alles in SAP® Systemen ist transportierbar. Einzelne Schadprogramme oder leistungsfähige „Entwicklerwerkzeuge“ können problemlos an ein bestehendes Entwicklungsprojekt angehängt werden und sind auch nach einer funktionalen Qualitätsprüfung der Transporte im Konsolidierungssystem für den Import freigegeben, da diese kritischen Teile eines Transportauftrags einfach nicht im Testfokus stehen. 

Vorübergehende Änderungen der Systemeinstellungen sowie die Nutzung des umständlichen und GRC-basierten Berechtigungskonzeptes sind somit möglich, sogar das Verwischen der Spuren. Möglichkeiten durch Debugging oder Ausführen von Betriebssystem-Kommandos und RFC-Verbindungen oder SAP® RFC Gateway runden das Angriffsfeld ab. Java-Programme und -Skripte haben Zugriff auf eine Vielzahl leistungsfähiger, ferngesteuerter Funktionsblöcke und können sogar Benutzerstammsätze ohne Authentifizierung und Berechtigungen erstellen oder die Aufzeichnung wichtiger Sicherheitsprotokolle wie Änderungsdokumente oder Tabellenänderungsprotokolle deaktivieren.

Falsche Einstellungen an den RFC-Verbindungen können zum Ausleiten von Passwörtern benutzt werden. Der Zugriff über öffentlich zugängliche Terminals mittels temporär erstellter Anwenderprofile oder mit hoch-privilegierten SAP®-Standardkonten ist somit möglich, die Aktivitäten solcher Konten auf öffentlichen Terminals ist zudem anonym.

[Wenn Sie weiterlesen möchten, klicken Sie hier] 

Schlüsselwörter:

Security Information und Event Management-Systeme (SIEM), Sicherheit, SAP® Security Monitoring, Risiken

Literatur:

[1] Neil MacDonald: Gartner, Hype Cycle für Anwendungssicherheit, 2017, Juli 2017