Wo man auch hinschaut: SAP-Sicherheitslücken
Wer die Nachrichten verfolgt stolpert immer öfter über fatale Sicherheitslücken in SAP-Anwendungen, die im Internet kursieren. Unlängst wurde Jaguar Land Rover (JLR) wohl Opfer eines massiven Angriffs. Aber das ist nur die Spitze des Eisbergs.
Fast jedes mittlere und große Unternehmen hat SAP zu einem gewissen Grad im Einsatz. Hinzu kommen öffentliche Einrichtungen, Regierungsbehörden, NGOs und Bildungseinrichtungen. Eine SAP-Installation beinhaltet in aller Regel neben einem Strauß an SAP-Anwendungen auch Eigenentwicklungen (Customizing) und Lösungen von Drittanbietern. In den SAP-Betrieb sind zahlreiche Akteure involviert, interne wie externe. Insgesamt ist der Betrieb von SAP-Systemen ein hochkomplexes Unterfangen, das jede Menge Raum für Sicherheitslücken lässt.
Sicherheitslücken durch SAP
SAP verfügt über eine gigantische Code-Basis. Wie bei jeder Software schleichen sich auch bei SAP Sicherheitsfehler ein. Trotz aller internen Bemühungen kann SAP diese nicht vollständig vermeiden. Das belegt der monatliche "SAP Patch Day", bei dem Patches für Lücken veröffentlicht werden, die überwiegend von Dritten gefunden und gemeldet wurden.
Sobald solch ein Patch veröffentlicht wird, gibt es Akteure, die Exploits für die zugrunde liegende Schwachstelle erstellen und veröffentlichen oder verkaufen. Dadurch sind SAP-Kunden teilweise bereits innerhalb von Stunden angreifbar. Werden die Patches für solche Lücken nicht zeitnah eingespielt, so besteht ein akutes Sicherheitsrisiko. Wie es scheint war Jaguar Land Rover bei einem kritischen Patch wohl nicht schnell genug.
Ein damit verbundenes Risiko ist natürlich, dass jemand eine neue SAP-Schwachstelle findet, sie aber nicht an SAP meldet, sondern verkauft. Dadurch wären zahlreiche Kunden potenziell verwundbar.
Aber seit einiger Zeit sind es nicht nur die Sicherheitslücken in SAPs Software, die Kunden gefährlich werden können. SAP will sich zum Cloud-Anbieter umbauen. Immer mehr Kunden entscheiden sich den Betrieb Ihrer SAP-Systeme an SAP abzugeben. In dem Glauben, das wäre sicherer. Wie unsere Penetrationstests zeigen, ist dies jedoch nicht immer der Fall. Insbesondere da viele RISE-Installationen gar nicht von SAP selbst betrieben werden, sondern von Partnern, denen das nötige Sicherheits-Know-how fehlt.
Sicherheitslücken durch Kunden
Jeder SAP-Kunde muss sich um eine Vielzahl von Sicherheitsbereichen kümmern, um seine
SAP-Landschaft zu schützen. Darunter fallen die korrekte Vergabe von administrativen Berechtigungen, die Netzwerksicherheit, Schnittstellen, Eigenentwicklungen, die Systemhärtung bzw. Absicherung der SAP-Basis, der sichere Betrieb von Add-Ons und wie oben erwähnt das Patch Management. Zu bedenken ist auch, dass insbesondere bei Eigenentwicklungen sehr häufig externe Mitarbeiter eingesetzt werden. In jedem dieser Bereiche kann man erhebliche Fehler machen. Leider mangelt es vielen Unternehmen an Zeit, Budget und Know-How, aber häufig auch an Risikobewusstsein, um diese Aufgabe hinreichend zu bewältigen. Ein Penetrationstest erweist sich hier häufig als Augenöffner. Selbst Kunden die mit automatisierten Tools arbeiten kommen oft der Masse an Problemen nicht hinterher, vor allem was den Code betrifft.
Sicherheitslücken durch Drittanbieter
Da die Software von SAP nicht alle Probleme löst, setzen fast alle Kunden auch Lösungen von Drittanbietern ein. Leider weisen viele dieser Lösungen – teilweise trotz Zertifizierung durch SAP – erhebliche Sicherheitslücken auf. Ein Problem dabei ist natürlich, dass die Hersteller häufig nur über unzureichende Sicherheitskenntnisse verfügen. Ein weiteres Problem ist aber, dass den Kunden diese Lücken in der Regel nicht auffallen. Oft wissen Kunden nicht einmal, welche Drittanbieterlösungen insgesamt im Einsatz sind. Geschweige denn auf welchen Systemen und in welchen Versionen. Wie sollen sich Unternehmen bei diesen Rahmenbedingungen vor Supply-Chain-Angriffen schützen?
Sicherheitslücken durch Wirtschaftsprüfer
Ja, sogar das gibt es. Der Wirtschaftsprüfer kommt ins Unternehmen, muss unbedingt seine eigene Software installieren, um Analysen durchzuführen und bringt dadurch kritische Sicherheitslücken mit in die SAP-Landschaft. Häufig bleibt dann diese Software auf den Systemen installiert, da der Wirtschaftsprüfer ja nächstes Jahr wiederkommt. Wir reden hier nicht von kleinen Wirtschaftsprüfungsunternehmen, sondern vom Kaliber Big 4.
Fazit
SAP-Sicherheit ist ein hochkomplizierter und vielschichtiger Bereich, den nur die wenigsten Unternehmen und Organisationen umfassend abdecken können. Es mangelt dabei vor allem an Sicherheitsbewusstsein, Experten und einer Strategie. Die daraus resultierenden Risiken sind insbesondere in Zeiten zunehmender Cyber-Angriffe für viele Unternehmen existenzbedrohend.
