SAP Penetration Test
Ein Penetrationtest (Pentest) ist ein simulierter Angriff auf das Netzwerk, SAP-System oder andere potenziell anfällige Bereiche des SAP-Systems. Das Unternehmen setzt beim Pentest einen Sicherheitsexperten als potenziellen Hacker ein. Dieser simuliert tatsächliche Angriffsszenarien und erkennt die Sicherheits-Schwachstellen im System.
Ziel von Penetration Tests
Das Ziel und der Zweck eines Pentests ist es, Schwachstellen im System und der Umgebung zu identifizieren, um vorhandene Risiken und Schwächen zu verstehen und zu beheben. Die Pentester arbeitet meistens als externer Tester. Der SAP-Test zeigt lediglich eine Momentaufnahme der potenziellen Sicherheitslücken.
Zusammenfassend lassen sich folgende Ziele ableiten:
- Schwachstellen-Identifikation
- Aufdecken von potenziellen Fehlen, die aus fehlerhafter Bedienung entstehen
- Erhöhung der Sicherheit des SAP-Systems
Vorteile
Die Vorteile eines Penetrationstests sind
- zunächst ein detaillierter Abschlussbericht, der die Schwächen in den verschiedenen Bereichen des Systems aufzeigt. Der Bericht beinhaltet zudem klare, priorisierte Schritte zur Verringerung der Schwachstellen. Dem Unternehmen fällt es dadurch leicht, Maßnahmen und Schritte zur Beseitigung der Schwachstellen durchzuführen.
- eine realitätsnahe Angriffssimulation.
- die Absicherung der Unternehmens-, Kunden- und Mitarbeiterdaten.
- die Erfüllung der DSGVO und anderer regulatorischer Anforderungen und dadurch
- der Aufbau einer Vertrauensbasis für Kunden und Geschäftspartner.
SAP Penetration Test - kontrollierte Überprüfung ihres Systems
Wir führen eine kontrollierte Überprüfung des Sicherheits-Zustandes Ihres SAP-Systems durch - mit unserem SAP Penetration Test.
Ablauf eines SAP Penetration Tests
Vorbereitung und Gestaltung
Der Ablauf und die Durchführung eines Pentests werden in enger Abstimmung zwischen Pentester und Unternehmen besprochen. Im Vorhinein werden individuelle Möglichkeiten und der Fokus des Pentests besprochen.
Angriffssimulation
Beim üblichen Black-Box Test greift der Pentester das System komplett von außen ohne jede Hilfe an. Der Nachteil dieser Methode ist die Abstimmung mit allen Unternehmensbereichen und die lange Laufzeit von mehreren Monaten. Alternativ zum Black Box Test kann das testende Unternehmen auch auf einen Grey Box und White Box Test setzen.
Beim Grey Box Test werden mit definierter Hacker-Software mehrere potenzielle Angriffsszenarien auf das SAP-System gestartet. Dies geschieht über die intern zugängliche Infrastruktur und entspricht einem Szenario, bei dem der Angreifer von innen heraus agiert (z.B. SysAdmin, etc.). Anschließend erfolgt der White Box Test. Hierbei wird ein SAP-Scanner eingesetzt, um Sicherheitslücken im SAP-System zu identifizieren.
Die anvisierten Ziele bei einem Pentest befinden sich auf der Infrastrukturebene (Datenbank, Anwendungsserver, sowie SAP-Gateway, etc.)
Analyse und Nachbereitung
Der SAP Pentest selbst liefert erst einmal Befunde. Die eigentliche Arbeit erfolgt mit der anschließenden Analyse dieser Befunde. Mit den Sicherheitsexperten werden Handlungsempfehlungen erarbeitet, um die gefundenen Schwachstellen zu beseitigen. Dies erfolgt typischerweise durch die Verschriftlichung eines Penetrationstest-Berichts.
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Typischer Aufbau eines Penetrationstest-Berichts
Ein Pentest-Bericht sollte neben Übersichtlichkeit und einer zusammenhängenden Protokollierung des Angriffs Maßnahmen zur Sicherheitsverbesserung beinhalten. Ein typischer Aufbau eines Berichts könnte wie folgt aussehen:
Zusammenfassung
In der Zusammenfassung werden die Ergebnisse des Pentest und die gefunden Schwachstellen dargestellt. Zudem werden die empfohlenen Verbesserungsmaßnahmen ohne ausführliche Erläuterung genannt.
Methoden
In den Methoden werden die Strategie des Tests, die verwendeten Tools und Eckdaten zu den getesteten Systemen vorgestellt.
Ergebnisse
Im Ergebnis Teil des Berichts werden die die gefundenen Schwachstellen ausführlich beschrieben. Zusätzlich werden die gefunden Schwachstellen hinsichtlich ihrer Relevanz gewichtet und kategorisiert.
Maßnahmenempfehlungen
Ausgehend von der Analyse werden Verbesserungsmaßnahmen und konkrete Implementationspläne erörtert und vorgestellt.
Unterstützendes Material
Um das Verständnis für Außenstehende zu erhöhen, wird dem Bericht unterstützendes Material wie Screenshots oder Quellenbezüge angehängt.
SAP Pentest Tools
Um einen Pentest an einem SAP-System durchzuführen können Tester unterschiedliche Tools auswählen. Besonders häufig trifft man auf
- SAP Penetration Testing Framework (SAP Pent-Test) – dies ist ein Framework, das speziell für Penetrationstests an SAP-Systemen entwickelt wurde. Es enthält eine Vielzahl von Tools und Methoden, die für die Durchführung von Penetrationstests an SAP-Systemen verwendet werden können.
- ERPScan Security Monitoring Suite ist ein von SAP zertifiziertes Tool. Es ermöglicht zyklische Pentests bekannter Schwachstellen von SAP-Systemen automatisiert durchzuführen.
- Burp Suite ist ein Tool das hauptsächlich für Sicherheitstestungen von Web-Applikationen verwendet wird. Es erlaubt Cloud-Applikationen innerhalb der SAP BTP (Business Technology Platform) zu testen.
- Metasploit ist ein vielseitiges Framework zur Herstellung von IT-Security. Es ermöglicht, Exploits und Payloads auf SAP-Systemen auszuführen und Schwachstellen zu indentifizieren.
- Nmap ist ein frei verfügbarer Portscanner. In SAP-Systemen lassen sich damit Schwachstellen in Web-basierten SAP-Anwendungen aufdecken.
Angriffsszenarien
Mit SAP Pentest können mehrere Angriffsszenarien durchgeführt werden, die auf verschiedene Schwachstellen fokussiert sind:
Zugang über Remote Function Call (RFC)
Durch einen RFC kann der Zugriff auf Funktionen in einem entfernten System erfolgen. In diesem Szenario kann ein Hacker bestimmte Kommandos ausführen und Daten auslesen lassen. Mit RFC sind aber auch SAP-eigene Protokolle oder Schnittstellen gemeint, mit denen verschiedene Funktionen abgewickelt werden können. Solche Schnittstellen sind API’s, die sich aus Programmen wie z.B. Microsoft Excel aufrufen lassen.
Überwinden der Passworthürde
Der Pentester kann sich Passwörter üblicherweise auf drei unterschiedlichen Wegen organisieren. Da es bei SAP Systemen oft reguläre Standardbenutzer mit Standardpasswörtern gibt, sind diese im Internet leicht auffindbar. Hat ein Unternehmen diese Passwörter nicht ausgetauscht, ist es für den Pentester sehr leicht das System zu hacken. Außerdem können die Passwörter aus einer Datenbank gestohlen werden. Der Pentester checkt, ob schwach verschlüsselte Passwörter in Benutzung sind. Die dritte Möglichkeit ist das Auslesen der Passwörter. Das ist oft der Fall, wenn die Verbindung zwischen Client und Server nicht ausreichend sicher ist.
Code Injection
Während des Pentest wird mit Code Scannern überprüft, ob es Schwachstellen in der Programmierung gibt. In diesem Fall kann versucht werden, über eine Code Injection diese Schwachstelle auszunutzen und in das System einzudringen. Dabei bindet der Hacker einen künstlichen Code in eine Applikation über ein normales Eingabeformular ein und führt diese dann aus. Im Zweifelsfall hat der Hacker dann Zugriff auf Datenbanken und kann diese manipulieren oder auslesen.
Rechtliche Aspekte
Das Einverständnis zur Durchführung eines Pentests muss das durchführende Unternehmen von der zu testenden Organisation einholen. Falls diese Einverständniserklärung nicht vorliegt, gilt der Pentest laut Rechtslage als illegal und stellt eine Straftat dar. Deshalb dürfen beim Pentesting keine IT-Systeme oder Netze von Dritten getestet werden.
Fazit
Trotz eines hohen zeitlichen Aufwands erweisen sich Pentests oft als sehr hilfreich. Wird ein Pentest regelmäßig durchgeführt, kann dieser erheblich zur Informationssicherheit im Unternehmen beitragen. Die gefundenen Schwachstellen können in der anschließenden Analyse mit den Sicherheitsexperten diskutiert werden und direkte Handlungsempfehlungen erarbeitet werden.
FAQ zu SAP Penetration Test
Was ist ein SAP Penetration Test?
Ein Penetrationtest (Pentest) ist ein simulierter Angriff auf das Netzwerk, SAP-System oder andere potenziell anfällige Bereiche des SAP-Systems. Das Unternehmen setzt beim Pentest einen Sicherheitsexperten als potenziellen Hacker ein. Dieser simuliert tatsächliche Angriffsszenarien und erkennt die Sicherheits-Schwachstellen im System.
Welche Vorteile bietet der SAP Penetration Test?
Zu den Vorteilen zählen ein detaillierter Abschlussbericht, der die Schwächen in den verschiedenen Bereichen des Systems aufzeigt. Der Bericht beinhaltet zudem klare, priorisierte Schritte zur Verringerung der Schwachstellen. Die Absicherung der Unternehmens-, Kunden- und Mitarbeiterdaten, welche mit der Durchführung der Penetration erreicht wird, ist eine solide finanzielle Investition für das durchführende Unternehmen.
Welches Ziel hat der SAP Penetration Test?
Das Ziel und der Zweck eines Pentests ist es, Schwachstellen im System und der Umgebung zu identifizieren, um vorhandene Risiken und Schwächen zu verstehen und zu beheben.
Links
- Hacken auf Bestellung – Wie funktioniert ein SAP Pentest?
- SAP Pentest Favoriten: Angriff via Code Injection
- SAP Pentest Favoriten: Zugang per RFC
- Standard SAP Pentest unverbindlich anfordern
- Software-Produkte für die SAP ABAP Code Security Analyse