Gefahrenquelle Eigenentwicklungen

Autor: Daniel Schildnitz | 24. September 2020

1 | #AUTHORITY-CHECK

Die Anzahl der hochkritischen Sicherheitsrisiken im eigenentwickelten ABAP-Code ist erschreckend. In SAP-Systemen sind es im Schnitt ganze 16 so genannter Killerfehler pro Anwendung, die für Hackerangriffe eine willkommene Einladung sind.

In nahezu jedem SAP-Produktivsystem gibt es auch eine Vielzahl an Eigenentwicklungen. Im Schnitt rund 2 Millionen Zeilen eigener Code. Die Menge ist nicht gerade problematisch, allerdings befinden sich in diesem Code oftmals eine hohe Anzahl an Sicherheitslücken. Genauer gesagt in etwa 2000 Sicherheitslücken pro SAP-System, laut Virtual Forge, die seit vielen Jahren weltweit Eigenentwicklungen analysieren und entsprechende Benchmarks veröffentlichen. Diese machen Unternehmen nicht nur anfällig für Hackerangriffe, sondern führen auch zu Problemen bei der Wirtschaftsprüfung.

Fehlende Berechtigungsprüfungen

Der größte Anteil an Sicherheitslücken kommt durch fehlende oder ungenügend programmierte Berechtigungsprüfungen in Eigenentwicklungen zu Stande. Dadurch können Mitarbeiter auf Daten zugreifen, für die sie eigentlich keine Berechtigung haben sollten. Der dadurch entstehende Schaden, hätte in den meisten Fällen durch einen simplen Authority Check im Code verhindert werden können. Diese Schwachstelle kann allerdings nur von innen heraus ausgenutzt werden. Um ein Vielfaches gefährlicher sind die Fehler, die es ermöglichen, auch von außen auf das SAP-System zuzugreifen. Findet ein Hacker auch nur eine solche Schwachstelle, ist es ihm möglich, komplette Datenbestände unbemerkt zu stehlen, zu manipulieren oder diese vollständig zu löschen.

Vor allem für Finanzdienstleister wie Banken und Versicherungen kann ein solcher Fehler im Code schnell zu existenziellen Schäden heranwachsen. Zum einen, da sie für unautorisierte Zahlungsvorgänge haften, die durch Diebstahl entstanden sind. Zum anderen durch Verlust von Vertrauen der Kunden und somit einem hohen Imageverlust. Das verloren gegangene Vertrauen wieder herzustellen ist oft nur sehr schwer möglich – wenn überhaupt. Andere Unternehmen haben möglicherweise nicht direkt eine existenziellen Bedrohung durch Sicherheitsrisiken im Code, es macht dennoch Sinn das Thema IT-Security und Datenschutz nicht zu vernachlässigen.

Sicherheitsvorkehrungen für Eigenentwicklungen

Passwort-Richtlinien, Zwei-Faktor-Authentisierung, komplexe Firewall-Systeme oder Antiviren-Software hören sich zwar gut an und es ist auf jeden Fall sinnvoll, sich darüber Gedanken zu machen. Solange Angreifer allerdings bereits kritische Fehler im ABAP-Code finden, reichen die noch so gut durchdachten Sicherheitsmaßnahmen nicht mehr aus. Dabei ist eine vollständige Prüfung des eigens entwickelten ABAP-Codes mit dem richtigen Ansprechpartner überhaupt nicht so kompliziert, wie man anfangs vermuten würde. Dafür gibt es speziell entwickelte Software, die innerhalb weniger Minuten den gesamten Programmcode scannt, Fehler ausfindig macht und diese teilweise sogar automatisch korrigiert, um mögliche Sicherheitslücken zu schließen.

Entwicklerschulung: Develop Secure ABAP

Wie in jeder Software stellen einzelne, unsicher programmierte Anwendungen ein Sicherheitsrisiko für das Gesamtsystem dar. In unserer Schulung Develop Secure ABAP  liefern wir Ihnen das Handwerkszeug zur sicheren ABAP-Entwicklung und sensibilisieren Ihre ABAP-Entwickler für das Thema Softwaresich ...

Dadurch kann in überschaubarer Zeit jeglicher bereits entwickelte Code von kritischen Fehlern bereinigt werden. Eine zusätzliche empfehlenswerte Präventivmaßnahme ist außerdem die Schulung der eigenen Entwickler. Dadurch erlangen diese einen besseren Blick für Sicherheitsrisiken und können diese von vornherein verhindern. Bei einer externen Umsetzung von ABAP-Erweiterungen sollten unbedingt entsprechende Qualitätsstandards an den Code im Vertrag aufgenommen werden. Diese Richtlinien gilt es dann bei der Übergabe zu kontrollieren und gegebenenfalls bei Vernachlässigung einzufordern.

Sicherheitspatches

Als letzten Punkt möchte ich darauf hinweisen, dass es ratsam ist, alle von SAP veröffentlichten Security Patches möglichst zeitnah einzuspielen, sowie ein kontinuierliches Monitoring der eigenen SAP-Systeme vorzunehmen. Denn viele Unternehmen merken erst viel zu spät, dass ihr System angegriffen wurde. Für die Umsetzung eines Notfallplans – der trotz noch so guter Vorsichtsmaßnahmen bereitliegen sollte – ist es dann oft schon zu spät.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Daniel Schildnitz

Autor

Daniel Schildnitz

B.Sc. Angewandte Informatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support