RFC Sicherheit, Science-Fiction und Theater

Autor: Dominik Busse | 21. März 2017

18

Was haben RFC Schnittstellen und RFC Sicherheit mit dem Theaterstück der „Hauptmann von Köpenick“ und dem Science-Fiction-Film „Minority Report“ zu tun? Vermutlich mehr als Ihnen lieb ist!

RFC Sicherheit und Theater?!

rfc sicherheit

Deutschland, Berlin, 1906: Der sechsundvierzigjährige Schuster Wilhelm Voigt träumt von der Rückkehr in ein normales Leben. Nach diversen Verurteilungen und etlichen Gefängnisaufenthalten lebt er am Rande der Gesellschaft. Es sind nicht nur die finanziellen Mittel die ihm fehlen. Vor allem die fehlende Zugangsberechtigung zu seinem Sozialen System macht ihm zu schaffen. In Anbetracht seiner ausweglosen Situation entscheidet er sich für eine drastische Maßnahme.

Der ausgegrenzte Schuster zieht los und grast etliche Trödelhändler ab, um sich nach und nach eine militärische Uniform zusammenzustellen. Wenige Tage später schlüpft er in eben diese Verkleidung, wechselt erfolgreich seine Identität und schwindelt sich fortan als Hauptmann von Köpenick durch Berlin. Er kommandiert Soldaten, lässt das Rathaus stürmen und sogar den Bürgermeister festnehmen. An den Befehlen und deren Ausführung zweifelt zunächst keiner, denn seine wahre Identität ist verschleiert: Wegen einer simplen Verkleidung. Eine Verkleidung, die ihm alle notwendigen Berechtigungen gibt, die er für seinen Schwindel benötigt. Am Ende des Tages hat Wilhelm Voigt die Regierung Berlins erfolgreich kompromittiert.

RFC Sicherheit und Science-Fiction?!

USA, Washington, D.C., 2054: Die Washingtoner Polizei klärt längst keine Morde mehr auf: sie verhindert die Morde gleich im Voraus. Hierfür werden sogenannte „Precogs“ eingesetzt, die mittels Präkognition Morde in Visionen vorhersagen und diese melden, noch bevor sie passieren. Gleichzeitig nutzt die Regierung ein System aus öffentlichen Scannern, die alle Bürger jederzeit eindeutig durch Iris-Erkennung identifizieren können.

Die SAP Security Challenge - Stellen Sie sich der Herausforderung

Wir beherrschen die neuesten Sicherheitstechnologien - Security Spezialisten. Nehmen Sie die SAP Security Challenge an und verbessern Sie Ihre Sicherheit!

informieren

Als der Polizist John Anderton eines Tages selbst als Täter in einer Vision der „Precogs“ erscheint, flieht er aus dem Polizeigebäude und beschließt, der Ursache für die Vision auf den Grund zu gehen. Um den Kontrollen durch die Iris-Scanner und letztendlich seiner eigenen Festnahme zu entkommen, lässt er sich von einem Arzt illegal neue Augen  einsetzen und agiert fortan unter einer neuen Identität. Mithilfe der neuen Augen gelingt ihm letztendlich der Zutritt in den gesicherten Bereich der „Precogs“ und er kann mit seinen Nachforschungen beginnen. Durch dieses „Biohacking“  täuscht er nicht nur die biometrischen Sicherheitssysteme – er kompromittiert das höchste Kontrollsystem der Polizei.

Alles nur Geschichten!?

rfc sicherheit

„Tolle Geschichten!“, denken Sie nun. „Aber: Auf eine einfach Verkleidung fällt doch heute keiner mehr rein. Und überhaupt: Biometrische Sicherheitssysteme und Augentransplantation? Es ist nicht umsonst ein Science-Fiction-Film! Was hat das nun mit RFC Sicherheit zu tun?“. In Ordnung, ich kann Ihre Zweifel verstehen. Aber, wie gefällt Ihnen denn beispielsweise die folgende Geschichte.

RFC Sicherheit und die Kunst des Identitätswandels

Deutschland, überall, 2017: Johannes Voigt ist seit einigen Jahren Mitarbeiter in einem mittelständischen Unternehmen. Er gilt als zuverlässiger und gewissenhafter Entwickler aus der IT-Abteilung. In Wahrheit fühlt er sich immer häufiger ungerecht behandelt. Er beschließt, dass er seinen Frust nicht länger mit sich herumtragen möchte.

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Jetzt anfordern

Aus dem Tagesgeschäft in seiner Abteilung hat er bereits viele hilfreiche Informationen sammeln können: Die RFC Schnittstellen und die zugehörigen technischen RFC Benutzer kennt Johannes aus seiner Arbeit mit den Applikationen. Auch das Passwort für diverse technische RFC User hatte er schnell über den Flurfunk mitbekommen („Solange Passwörter nur per Telefon kommuniziert werden und niemals schriftlich ausgetauscht werden, sind wir sauber!“). Und dass die RFC User selbst in Produktivsystemen großzügig berechtigt sind, ist längst kein Geheimnis mehr („Lieber mehr Berechtigungen als zu wenig; die RFC Verbindungen müssen rennen, sonst gibt es Ärger aus den Fachbereichen!“).

Da Johannes als Entwickler Zugriff auf die SE37 hat, ist es kein Problem sich mithilfe des Funktionsbausteins BAPI_USER_CHANGE den notwendigen Zugriff zu erschleichen – getarnt als RFC User. Kurzum ändert er durch Aufruf des Funktionsbausteins den Benutzertyp eines technischen RFC Benutzers in einem Produktivsystem von <System> auf <Service>. Hierdurch wird der technische User zum Dialog-User und eine Anmeldung im SAP System ist uneingeschränkt möglich. Also meldet sich Johannes mit dem bekannten Passwort des RFC Users im Produktivsystem an. Dank sehr weitreichender Berechtigungen hat er fortan Zugriff auf allerlei kritische Tabellen, Transaktionen und Programme in Produktion. Mit der Identität des RFC Users beginnt Johannes mit der technischen Kompromittierung des Produktivsystems…

RFC Sicherheit: Alles nur erfunden – oder alltägliche Bedrohung?

rfc sicherheit

Ob nun eine simple Verkleidung, veränderte biometrische Eigenschaften oder ein gekaperter, technischer User im SAP System: die Grundlage der Kompromittierung ist dieselbe. Eine Person nutzt eine andere Identität, um Zugang und Berechtigungen zu geschützten Bereichen zu bekommen. Außerdem hätte das Übel in allen drei Geschichten durch Pro-Aktivität verhindert werden können. Nur…, wann haben Sie sich das letzte Mal Gedanken über die Sicherheit Ihrer RFC Schnittstellen gemacht? Können Sie mit Sicherheit sagen, dass alle Ihre technischen RFC User nur die Berechtigungen besitzen, die sie auch tatsächlich benötigen? Und wissen Sie eigentlich wer genau die Passwörter dieser User kennt? Können Sie zu 100% ausschließen, dass nicht jetzt in diesem Moment ein SAP User mit falscher Identität Ihre Produktivsysteme infiltriert?

Change now: Es geht um Pro-Aktivität!

Doch bevor Sie jetzt beginnen und sich auf die Suche nach dem „Identitäten-Wandler“ begeben (was ich wirklich nicht empfehlen möchte!), schlage ich vor, dass Sie die Wurzel des Übels fassen und Ihre RFC Sicherheit proaktiv stärken. Wenn Sie also mehr erfahren möchten, habe ich hier folgende 3 Tipps für Sie:

  1. Unser E-Book über SAP RFC-Schnittstellen
  2. Unser kostenloses Webinar zum Thema RFC-Schnittstellen bereinigen
  3. Tobias Harmes Blogbeitrag über unser Vorgehen zur Optimierung von RFC Schnittstellen

Wie immer freue ich mich auf Ihr Feedback und Ihre Kommentare direkt unterhalb dieser Zeilen!

rfc sicherheit

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Dominik Busse

Autor

Dominik Busse

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Security » RFC Sicherheit

RFC-Verbindung herstellen: SAP RFC ADS funktioniert nicht

Beim Test der ADS Verbindung in der SM59 wird der Status “Target service not allowed” angezeigt. Wir zeigen, wie Sie die RFC-Verbindung einrichten.
Artikel lesen
SAP Security » RFC Sicherheit

E-Book: Bereinigung von Berechtigungen für RFC-Schnittstellen

E-Book RFC-Schnittstellen
Sie stellen ein unterschätztes Sicherheitsrisiko dar: RFC-Schnittstellen. In unserem kostenlosen E-Book räumen wir mit Mythen und Missverständnissen auf.
Artikel lesen
SAP Security » RFC Sicherheit

RFC-Callback Positivliste generieren

Internes Kontrollsystem für Ihr SAP
RFC-Callback über die Konfiguration, Generierung und Aktivierung von Positivlisten mit SAP-Hausmitteln gezielt beschränken.
1
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage