SAP Security im Wandel – SAP HANA Berechtigungen
Autor: Alexander Depold | 23. Januar 2018
Seit den letzten Jahren ist SAP HANA eines der großen Themen im SAP Umfeld. Viele Kunden stehen aktuell vor der Frage, ob Sie Ihr SAP System migrieren sollen oder nicht. Neben der eigentlichen Umstellung an sich, gibt es aber zahlreiche andere Themen bei denen Sie sich vorab schon informiert haben sollten, da diese den Erfolg von SAP HANA bei Ihnen beeinflussen. Was wissen Sie bereits über SAP HANA?
SAP HANA Szenario
Doch warum sprechen wir überhaupt über HANA Security? Warum ist es so wichtig, sich mit der neuen Technologie auch neue Sicherheitsstrategien zu überlegen? Mit HANA ist es möglich, Daten schnell zu analysieren. BW-Szenarien profitieren in erster Linie von der verwendeten In-Memory-Datenbank (IMDB), da sich hier Geschwindigkeitsvorteile beim Datenzugriff besonders positiv auswirken. Im Vergleich zu einem klassisches ERP / R3 Szenario wird die normale DB gegen HANA ausgetauscht. Es resultieren die gewünschten Geschwindigkeitsvorteile. Bei der Umstellung ist jedoch mit einem Migrationsaufwand zu rechnen. Verursacht wird dies, durch kundeneigene Entwicklungen im System. HANA ist jedoch keine Weiterentwicklung von SAP ERP, HANA ist die nächste Stufe eines ERP Systems.
In einem ERP-Systeme steckt bekanntlich das Kapital der Unternehmen. Daher ist auch ein neues HANA-System wie alle anderen ERP Systeme für Angreifer interessant. Zum einen enthält ein solches System die kritischen Geschäftsdaten die sich für eine Spionage anbieten. Darüber hinaus sind die meisten Geschäftsprozesse in einem solchen System abgebildet und bieten eine Angriffsfläche für Sabotage. Hinzu kommt, Nutzer kennen sich mit der neuen Technologie anfangs nicht gut aus. Dies gilt ebenso für Administratoren in dem Bereich einer neuen Technologie. Angreifer haben schnell einen gefährlichen Wissensvorsprung vor diesen Nutzergruppen. In SAP HANA gibt es viel neues, obwohl auf vieles existierendes von SAP ERP zurückgegriffen wird, daher besteht hier ein Risiko.
Workshop: SAP HANA Roadmap - Ihr Schritt zur Digitalisierung
Wir helfen Ihnen bei der Einführung, Ihrer SAP HANA Roadmap. Von der ersten Analyse bis zur Migration. Jetzt Infos holen!
Neue Risiken in SAP HANA
Neben den bekannten Risiken bestehen auch neue Risiken durch die Verwendung von SAP HANA. Ein sehr gutes Beispiel sind häufig verwendete Webanwendungen, die etwas neues im SAP Bereich darstellen. HANA Systeme bestehen im Gegensatz zu einem SAP ERP System hauptsächlich aus Webanwendungen, die in den vorherigen Versionen eher als optional zu betrachtet wurden. Diese Webanwendungen können durch diverse Suchmaschinen im Internet aufgefunden werden. Das gilt übrigens auch für das SAP Portal oder Netweaver. Es gibt URL-Schemata die zum Auffinden des Systems beitragen. Dies gilt auch für andere SAP Systeme, die Webanwendungen verwenden. Damit ist auch die neue Technologie für typische Webangriffe verwundbar. Zu nennen sind hier SQL Injection, ABAP Code Injection oder XSS.
Alle Risiken, die für ein normales SAP System bekannt sind, gelten auch für ein SAP-HANA System. Die Daten werden unverschlüsselt im RAM abgelegt. Erst dadurch gewinnt das System diesen Geschwindigkeitsvorteil. Hieraus resultieren Risiken wie ein auslesen durch Memory-scraping-malware. Diese greifen Daten im Arbeitsspeicher ab. Verschlüsselung kostet Performance, daher wird diese standardmäßig nicht verwendet. Gerade während einer Migration läuft HANA in einem Parallelsystem, daher kommt zu Ihrer Landschaft mindestens ein neues System dazu. Beachten Sie darüber hinaus: HANA hat eigene Tools und eigene Einstellmöglichkeiten die gekannt und konfiguriert werden müssen. Unterm Strich muss beim Betrieb des Systems einfach mehr beachtet werden. Viele Einstellmöglichkeiten resultieren nicht selten in mehr Fehlern.
Drei – Punkte – Plan zur HANA Sicherheit
1. Rollen und Berechtigungen
Im einem bisherigen SAP System zählen Rollen und Berechtigungen sicherlich auch zu den Hauptsäulen eines sicheren Systems. Rollen und Berechtigungen funktionieren aber anders in einem HANA System. Es gibt zwei Nutzertypen:
1. Standard (eingeschränkt): Mit diesem Nutzertyp gibt es verschiedene Zugriffsmethoden auf die Datenbank. Hier werden beispielsweise die Technologien JDBC oder HTTP verwendet, um zwei Beispiele zu nennen. Diese Zugriffsmethode hängt ausschließlich von den Rechten ab, die dem Nutzer zugewiesen sind.
2. Systemuser: Nutzer dieser Nutzergruppe sind vergleichbar mit SAP*. Sie fungieren im System als Administrator. Daher sollten sie schnellstmöglich deaktiviert / auf inaktiv gesetzt werden, sobald der Systembetrieb sichergestellt ist. Die Behebung dieses Sicherheitsrisikos sollte Ihnen noch aus dem SAP ERP Umfeld bekannt sein.
In einem HANA-System gibt es Privilegien statt Berechtigungen. Der Unterschied besteht erst einmal in der Begrifflichkeit. Trotzdem werden die Berechtigungen auch anders zugeordnet (direkt / indirekt) über die Zuordnungen von Rollen. Diese sind somit Ansammlungen von Privilegien. Wie in älteren SAP-Systemen müssen die Systemuser deaktiviert werden und bestimmte Rollen die schon bestehen eingeschränkt werden. Im Vergleich zu einem SAP ERP System werden statt große Anwendungen kleine Apps berechtigt. Hier sollte auf jeden Fall auf eine individuelle Berechtigungsvergabe geachtet werden. Für die Nutzer sollte es selbstverständlich sein, sichere Passwortregeln implementiert zu haben.
2. Einstellungen
Eine Absicherung des Systems bringt auch die Absicherung der darunter liegenden Infrastruktur mit sich. Vom Netzwerk bis zum Betriebssystem des Hosts muss alles abgesichert werden. Bei der Betrachtung der Systemlandschaft fällt auf, dass die neue Technologie viele Verbindungen mit bringt, die abzusichern sind. Auch das SAP Gateway, welches für die Verbindung zwischen Backend und Frontend zuständig ist, ist ein Sicherheitsrisiko und muss betrachtet werden. Alle Sicherheitseinstellungen der bisherigen und zukünftigen Komponenten müssen auf HANA Kompatibilität validiert werden. Sichere Kommunikation der Verbindungen erhalten Sie dann, wenn Sie den Zugriff einschränken wo möglich. Verschlüsselung der Daten eines HANA Systems ist standardmäßig deaktiviert. Achten Sie darauf, dass sie sensiblen Daten trotzdem verschlüsseln. Vor allem Daten die archiviert werden. Wenn ein Angriff auf Ihr System erfolgt, sollten forensische Analysen gefahren werden können, daher sollten Sie das Audit Log aktivieren. Darüber hinaus sollten nur wenig Nutzer Zugriff darauf haben.
3. Anwendungen
Ein SAP HANA System lebt von Anwendungen. Wenn Sie diese Anwendungen entwickeln, sollten Sie frühzeitig daran denken, diese absichern. HTTPS zu verwenden statt HTTP gehört zu den Basics. Darüber hinaus sorgen Sie für eine sichere Authentifizierung und implementieren einen Secure Software Development Lifecycle um die Sicherung in Ihren Eigenentwicklungen sicher zu stellen. Bei Ihren Anwendungen fangen Sie besser früh an, diese auf Risiken zu untersuchen und betreiben diesen Sicherungsprozess regelmäßig. Den Zugriff auf Quelltexte können Sie im weiteren Verlauf analysieren und einschränken. Bauen Sie sich ein Risikoregister auf und behandeln sie Sicherheitslücken risikobasiert. Je später Sie ein Risiko entdecken, desto teurer wird die Behebung.
Weitere Informationen zum SAP Security ergänzend zum Artikel finden sie hier. Haben Sie weitere Fragen oder Anregungen zur Thematik? Möchten Sie, dass wir weiter auf die Thematik eingehen? Ich freue mich auf Ihr Feedback!