SAP Penetration Test

Ein Penetrationtest (Pen-Test) ist ein simulierter Angriff auf das Netzwerk, SAP-System oder andere potenziell anfällige Bereiche des SAP-Systems. Das Unternehmen setzt beim Pentest einen Sicherheitsexperten als potenziellen Hacker ein. Dieser simuliert tatsächliche Angriffsszenarien und erkennt die Sicherheits-Schwachstellen im System.

Ziel von Penetration Tests

Das Ziel und der Zweck eines Pentests ist es, Schwachstellen im System und der Umgebung zu identifizieren, um vorhandene Risiken und Schwächen zu verstehen und zu beheben. Die Pentester arbeitet meistens als externer Tester. Der SAP-Test zeigt lediglich eine Momentaufnahme der potenziellen Sicherheitslücken.

Zusammenfassend lassen sich folgende Ziele ableiten:

  • Schwachstellen-Identifikation
  • Aufdecken von potentiellen Fehlen, die aus fehlerhafter Bedienung entstehen
  • Erhöhung der Sicherheit des SAP-Systems

Vorteile

  • Die Vorteile eines Penetrationstests sind zunächst ein detaillierter Abschlussbericht, der die Schwächen in den verschiedenen Bereichen des Systems aufzeigt. Der Bericht beinhaltet zudem klare, priorisierte Schritte zur Verringerung der Schwachstellen. Dem Unternehmen fällt es dadurch leicht, Maßnahmen und Schritte zur Beseitigung der Schwachstellen durchzuführen.
  • Die Absicherung der Unternehmens-, Kunden- und Mitarbeiterdaten, welche mit der Durchführung des Penetration erreicht wird, ist eine solide finanzielle Investition für das durchführende Unternehmen.
  • Durch die DSGVO und andere regulatorische Anforderungen, sind die Unternehmen dazu gezwungen immer mehr Standards in puncto Datensicherheit zu erfüllen.

Ablauf eines SAP Penetration Tests

Der Ablauf und die Durchführung eines Pentests werden in enger Abstimmung zwischen Pentester und Unternehmen besprochen. Im Vorhinein werden individuelle Möglichkeiten und der Focus des Pentests besprochen. Der Pentest selbst liefert erst einmal Befunde. Die eigentliche Arbeit erfolgt mit der anschließenden Analyse dieser Befunde. Mit den Sicherheitsexperten werden Handlungsempfehlungen erarbeitet, um die gefundenen Schwachstellen zu beseitigen.

Beim üblichen Black-Box Test greift der Pentester das System komplett von außen ohne jede Hilfe an. Der Nachteil dieser Methode ist die Abstimmung mit allen Unternehmensbereichen und die lange Laufzeit von mehreren Monaten. Alternativ zum Black Box Test kann das testende Unternehmen auch auf einen Grey Box und White Box Test setzen. Beim Grey Box Test werden mit definierter Hacker-Software mehrere potenzielle Angriffsszenarien auf das SAP-System gestartet. Dies geschieht über die intern zugängliche Infrastruktur und entspricht einem Szenario, bei dem der Angreifer von Innen heraus agiert (z.B. SysAdmin, etc.). Anschließend erfolgt der White Box Test. Hierbei wird ein SAP-Scanner eingesetzt, um Sicherheitslücken im SAP System zu identifizieren. Die anvisierten Ziele bei einem Pentest befinden sich auf der Infrastrukturebene (Datenbank, Anwendungsserver, sowie SAP-Gateway, etc.)

Angriffsszenarien

Mit SAP Pentest können mehrere Angriffsszenarien durchgeführt werden, die auf verschiedene Schwachstellen fokussiert sind:

Zugang über Remote Function Call (RFC)

Durch einen RFC kann der Zugriff auf Funktionen in einem entfernten System erfolgen. In diesem Szenario kann ein Hacker bestimmte Kommandos ausführen und Daten auslesen lassen. Mit RFC sind aber auch SAP-eigene Protokolle  oder Schnittstellen gemeint, mit denen verschiedene Funktionen abgewickelt werden können. Solche Schnittstellen sind API’s, die sich aus Programmen wie z.B. Microsoft Excel aufrufen lassen.

Überwinden der Passworthürde

Der Pentester kann sich Passwörter üblicherweise auf drei unterschiedlichen Wegen organisieren. Da es bei SAP Systemen oft reguläre Standardbenutzer mit Standardpasswörtern gibt, sind diese im Internet leicht auffindbar. Hat ein Unternehmen diese Passwörter nicht ausgetauscht, ist es für den Pentester sehr leicht das System zu hacken. Außerdem können die Passwörter aus einer Datenbank gestohlen werden. Der Pentester checkt, ob schwach verschlüsselte Passwörter in Benutzung sind. Die dritte Möglichkeit ist das Auslesen der Passwörter. Das ist oft der Fall, wenn die Verbindung zwischen Client und Server nicht ausreichend sicher ist.

Code Injection

Während des Pentest wird mit Code Scannern überprüft, ob es Schwachstellen in der Programmierung gibt. In diesem Fall kann versucht werden, über eine Code Injection diese Schwachstelle auszunutzen und in das System einzudringen. Dabei bindet der Hacker einen künstlichen Code in eine Applikation über ein normales Eingabeformular ein und führt diese dann aus. Im Zweifelsfall hat der Hacker dann Zugriff auf Datenbanken und kann diese manipulieren oder auslesen.

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Rechtliche Aspekte

Das Einverständnis zur Durchführung eines Pen-Tests muss das durchführende Unternehmen von der zu testenden Organisation einholen. Falls diese Einverständniserklärung nicht vorliegt, gilt der Pentest laut Rechtslage als illegal und stellt eine Straftat dar. Deshalb dürfen beim Pentest keine IT-Systeme oder Netze von Dritten getestet werden.

Fazit

Trotz eines hohen zeitlichen Aufwands, erweisen sich Pentest oft als sehr hilfreich. Wird ein Pentest regelmäßig durchgeführt, kann dieser erheblich zur Informationssicherheit im Unternehmen beitragen. Die gefundenen Schwachstellen können in der anschließenden Analyse mit den Sicherheitsexperten diskutiert werden und direkte Handlungsempfehlungen erarbeitet werden.

Hacken auf Bestellung – Wie funktioniert ein SAP Pentest? https://rz10.de/sap-berechtigungen/wie-funktioniert-ein-sap-pentest/

SAP Pentest Favoriten: Angriff via Code Injection: https://rz10.de/sap-berechtigungen/sap-pentest-favoriten-angriff-via-code-injection/

SAP Pentest Favoriten: Zugang per RFC: https://rz10.de/sap-berechtigungen/sap-pentest-favoriten-zugang-per-rfc/

Standard SAP Pentest unverbindlich anfordern: https://rz10.de/angebot/sap-penetration-test/

Software-Produkte für die SAP ABAP Code Security Analyse: https://rz10.de/sap-berechtigungen/abap-code-security-codeprofiler-vulnerability-analyzer/

 


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support