3 wichtige Tipps für den IT-Grundschutz im SAP-System
Autor: Marcel Schumacher | 16. Juli 2020
Im Großteil der SAP-Systeme unserer Kunden finden sich Eigenentwicklungen wieder. Selbstentwickelte ABAP-Programme stehen dabei meist in Verbindung mit Anpassungen der Geschäftsprozesse an das jeweilige Unternehmen. Das Problem hierbei ist, dass den Kunden oftmals die Gefahren, welche dabei entstehen können, nicht bekannt sind. In diesem Blogbeitrag erläutere ich Ihnen die drei häufigsten Gefährdungen in Bezug auf den IT-Grundschutz im SAP-System.
Gefährdungen in Zusammenhang mit dem IT-Grundschutz im SAP-System
Mangelnde Berechtigungsprüfungen
Die Berechtigungen von SAP-Usern werden nur dann geprüft, wenn eine entsprechende Berechtigungsprüfung in der Eigenentwicklung implementiert ist. Somit ist sicherzustellen, dass diese bei selbstentwickelten ABAP-Programmen nicht vergessen werden. Falls die Implementierung versäumt wird, existiert keine Möglichkeit zu überprüfen, ob ein Benutzer wirklich dazu berechtigt ist eine Aktion auszuführen.
Eine der größten auftretenden Problematiken ist, dass oftmals das gesamte Berechtigungskonzept nicht mehr greift. Daraufhin können unberechtigte Personen auf alle Daten des SAP-Systems zugreifen. Hierbei kann nicht nur gegen Compliance-Anforderungen verstoßen werden, sondern auch ein enormer Schaden hinsichtlich einer möglichen Löschung der Datensätze entstehen.
Summieren sich solche Vorfälle, kann das für schwerwiegende Probleme bei der nächsten Wirtschaftsprüfung sorgen. Der IT-Grundschutz ist durch solche Fälle demnach deutlich gefährdet.
Injection-Schwachstellen
Eine Injection-Schwachstelle ist ein Angriff über die Eingabefelder einer Anwendung. Die Vorgehensweise des Angreifers ist in der Regel folgendermaßen:
Zuerst versucht er über die Eingabefelder Steuerzeichen bzw. Kommandos einzuschleusen. Nach erfolgreicher Übergabe der unerwarteten Befehle lässt sich somit der geplante Programmablauf stören oder sogar unterbrechen.
Die sogenannten Injection-Schwachstellen gelten als das potenziell größte Sicherheitsrisiko in Eigenentwicklungen. Denn durch die Möglichkeit eines solchen Eindringens in die ABAP-Anwendung, können Angreifer ein SAP-System mitunter vollständig übernehmen.
Sicherheitsmechanismen im SAP-Standard
Schutzmechanismen wie zum Beispiel die Mandantentrennung, Identity Management, Rollen und Berechtigungen können Angreifer mit Leichtigkeit umgehen. Es stellt sich heraus, dass die Mechanismen des SAP-Standards keine Pauschallösung gegen ungewollte Zugangsberechtigungen auf dem entsprechenden System sind.
Unser Experte Tobias Harmes hat im Jahr 2019 hierzu einen sehr interessanten Blogbeitrag verfasst. Der Beitrag erläutert, wie es möglich ist, dass ein User der lediglich die Berechtigung „S_DEVELOP“ besitzt, innerhalb von 5 Minuten „SAP_ALL“ erlangt.
Handlungsempfehlung bezüglich IT-Grundschutz im SAP-System
All diese Gefahren können möglicherweise Sicherheitslücken in Ihrem SAP-System darstellen. Die meisten Angriffe und entsprechenden Schwachstellen sind sehr komplex. Dadurch existieren verschiedene Varianten, um die Lücke auszunutzen. In den meisten Fällen lassen sich die unterschiedlichen Gefahren ohne spezielle Schulungen kaum erkennen und beheben. Am besten nutzen Sie hinsichtlich der Komplexität und der Wichtigkeit des Themas die Beratung durch einen Experten.