SAP-SICHERHEIT9. Juni 2016

Penetrationstests: Wirksame Waffe gegen Hacker-Attacken

MarkusSchumacher_516
Dr. Markus SchumacherVirtual Forge

Sicherheitslücken in SAP-Systemen können sehr gefährlich werden, wie Quellcodeanalysen von Virtual Forge belegen. Gefahren drohen von innen und außen gleichermaßen. Penetrationstests helfen Unternehmen, mögliche Hintertüren rechtzeitig und gezielt zu entdecken – und nachhaltig zu schließen.

von Dr. Markus Schumacher, Geschäftsführer von Virtual Forge

In Fragen der IT-Sicherheit zählt die Finanzwirtschaft zu den Branchen mit den strengsten Regulierungsanforderungen. Doch genügt es längst nicht mehr, die Unternehmensnetzwerke und Rechenzentren vor Hacker-Angriffen zu schützen. Auch interne Angriffe oder ehemalige Mitarbeiter stellen ein nicht zu unterschätzendes Risiko dar, wie ein Beispiel belegt, wo sich ein ehemaliger Mitarbeiter eines Versicherers automatisiert und zunächst unbemerkt Bilanzkennzahlen zusenden ließ.

SAP-Systeme werden immer komplexer

Virtual Forge
Virtual Forge

Jüngst mehren sich Meldungen über Fälle, in denen interne Mitarbeiter oder externe Hacker Schwachstellen in eigenentwickelten SAP-Programmen nutzten, um ein System zu kompromittieren. Das liegt daran, dass SAP-Systeme in den Unternehmen aufgrund neuer Anforderungen immer komplexer werden. Sie enthalten zahlreiche Einstellungen, die die Betriebssicherheit beeinträchtigen können. Gleichzeitig werden viele SAP-Anwendungen um Eigenentwicklungen ergänzt, die oft nicht ausreichend auf Qualitäts- und Sicherheitsaspekte geprüft wurden, wie der Business Code Quality Benchmark 2016 zeigt (Gratis E-Book zum Download). Mittlerweile haben SAP-Systeme eine Vielfaches an Codezeilen und somit Angriffsmöglichkeiten gegenüber gängigen Betriebssystemen wie etwa Windows 7 oder Mac OS X. Vermehrte Angriffspunkte entstehen auch durch die zunehmende Vernetzung der SAP-Systeme, etwa in globalen Lieferketten.

SAP-Sicherheit muss validiert werden

Die meisten Finanzdienstleister beschränken sich dennoch auf herkömmliche Rollen- und Berechtigungskonzepte, um ihre SAP-Anwendungen vor unerlaubten Zugriffen zu schützen. Dabei ist es für potenzielle Angreifer mittlerweile ein Leichtes, auch über kleinste Schwachstellen in der Systemarchitektur, der Konfiguration oder dem Programmcode in eine SAP-Anwendung einzudringen. Diesen Risiken können die Unternehmen gezielt nur mit Penetrationstests begegnen, die möglichst in eine ganzheitliche SAP-Sicherheitsstrategie eingebettet werden sollten.
Penetrationstests sind auch für die Banken und Versicherer nützlich, die bereits einen umfassenden SAP-Sicherheitsprozess installiert haben. Für sie bieten diese Tests die Chance, bestehende Schutzmaßnahmen auf Lücken oder Fehler hin zu untersuchen und diese zu beseitigen, also die Sicherheit des SAP-Systems weiter zu erhöhen. Darüber hinaus lässt sich damit herausfinden, ob durch die ständig neuen Hackermethoden zusätzliche Einfallstore in den SAP-Anwendungen entstanden sind.

Welcher Penetrationstest ist der richtige?

  1. Black Box
    Bei Black Box wird eine funktionsfähige SAP-Anwendung ohne interne Kenntnisse des Quellcodes getestet. Viele Unternehmen betrachten diese Methode als realistische Nachstellung des Vorgehens von Angreifern. Dagegen ist einzuwenden, dass Hacker in der Regel viel mehr Zeit für den Versuch haben, in ein SAP-System einzudringen. Hinzu kommt, dass Attacken auch von eigenen Mitarbeitern ausgeführt werden, die sich im Gegensatz zu den Penetrationstestern im Quellcode auskennen. Black-Box-Tests haben daher den großen Nachteil, dass durchaus Hintertüren übersehen werden können.
  2. White Box
    Diese Methode bezeichnet das Testen einer SAP-Anwendung mit vollem Zugriff auf den Quellcode. Sie ist ideal, um besonders im ABAP-Kundencode Schwachstellen zu finden und komplexe Funktionen effizient zu testen. Gegen White Box spricht allerdings, dass sich das Gesamtsystem unter Umständen anders verhält.
  3. Grey Box
    Grey Box kombiniert die Vorteile von Black Box und White Box und ermöglicht damit das Testen einer funktionsfähigen Anwendung mit vollem Zugriff auf den Quellcode.

Insbesondere durch den Einsatz von Werkzeugen für automatische Quellcodeanalysen lassen sich „Low Hanging Fruit“-Fehler erkennen. Grey-Box-Tests sind sehr effizient, da nicht nach dem „Trial & Error“-Prinzip verfahren werden muss. Daher können in gleicher Zeit mehr Tests durchgeführt werden. Zudem werden versteckte Funktionen wie Hintertüren und festprogrammierte Passwörter erkannt.

Idealer Ablauf eines Penetrationstests

Entscheidend für den Erfolg von Tests ist, dass sich das SAP-Anwenderunternehmen mit dem Dienstleister gut abstimmt, der die Penetrationstests ausführt. Zu Projektbeginn sollte abgestimmt sein, welche Unternehmensrisiken getestet werden sollen und wie aggressiv der Dienstleister dabei vorgehen darf: Zweifelsohne dürfte nicht jeder Finanzdienstleister erfreut sein, wenn es bei einem Penetrationstest gelingt, allzu leicht in ein SAP-System einzudringen. Auch sollte den Testern rechtzeitig ein Systemzugang und ein Ansprechpartner im Unternehmen zur Verfügung gestellt werden.
Für die Tests selbst empfiehlt es sich, Konfiguration und den Code zunächst auf Einfallstore für typische Hackerangriffe zu prüfen. Zudem sollten kritische Schwachstellen aufgespürt und den Anwendern konkret am SAP-System vorgeführt werden, welche Angriffsmöglichkeiten dadurch entstehen. Live-Demos ausgewählter Risiken gehören auch in den Abschlussbericht und die Abschlussbesprechung, denn sie haben größere Aussagekraft als alle Theorie. So zeigen Erfahrungen, dass selbst hartnäckige Skeptiker von der Notwendigkeit einer umfassenden SAP-Sicherheitsstrategie überzeugt werden, wenn sie direkt am System sehen, welcher Schaden durch eine vorhandene Schwachstelle entstehen kann.

E-Book von Virtual Forge
Virtual Forge rät zur Nutzung des Business Code Quality Benchmark, um die Qualität und Sicherheit eines eigenentwickelten SAP-ABAP-Codes zu beurteilen.eBook-BCQ-Report_2016_620Der aktuelle Bericht Business Code Quality Benchmark 2016 kann hier als Gratis-E-Book bezogen werden.
Der Abschlussbericht sollte eine Liste aller identifizierten Fehler und eine Einschätzung ihrer Gefährlichkeit enthalten, um eine geeignete Priorisierung vorzunehmen. Für die Techniker im Unternehmen sollten Lösungsvorschläge zur effizienten Fehlerbeseitigung in der Konfiguration und im Code enthalten sein. Für das Management sind hingegen Informationen zu betriebswirtschaftlichen Risiken und Handlungsempfehlungen nützlich, wie solche Fehler auf Prozessebene künftig vermieden werden können.

Tests vor der Live-Schaltung

Penetrationstests sind erst dann besonders hilfreich, wenn sie regelmäßig durchgeführt werden. Dies liegt daran, dass sich die SAP-Systemkonfigurationen in einem Unternehmen ständig ändern und die Systeme selbst laufend um Eigenentwicklungen ergänzt werden. Andererseits verwenden Cyber-Angreifer immer neue, ausgeklügelte Methoden, um in ein SAP-System einzudringen. Penetrationstests liefern Momentaufnahmen der Qualität von Konfiguration und Code und sind damit wichtige Säulen eines ganzheitlichen SAP-Sicherheitsprozesses. Um möglichen Risiken frühzeitig zu begegnen, sollten sie durchgeführt werden, bevor die SAP-Anwendungen produktiv gehen.pp

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert