Hacken auf Bestellung – Wie funktioniert ein SAP Pentest?

Autor: Tobias Harmes | 26. April 2019

24 | #podcast

Das SAP-System des eigenen Unternehmens freiwillig hacken lassen? SAP Penetration Tests können Schwachstellen aufdecken und helfen Sicherheit zu gewährleisten. Wir liefern heute Antworten rund um das Thema SAP Pentests.

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Warum wird ein SAP Pentest gemacht?

Mithilfe eines SAP Penetration Tests (kurz Pentest) kann das SAP System eines Unternehmens auf eventuelle Sicherheitsrisiken getestet werden. Dabei werden die Werkzeuge eines Hackers genutzt und kontrollierte Angriffe gegen das jeweilige SAP System durchgeführt. Anschließend kann man die Ergebnisse für die Verbesserung des Systems nutzen.

SAP Penetration Test - kontrollierte Überprüfung ihres Systems

Wir führen eine kontrollierte Überprüfung des Sicherheits-Zustandes Ihres SAP-Systems durch - mit unserem SAP Penetration Test.

Wie läuft so ein SAP Pentest ab?

Die Tests werden in enger Abstimmung mit den jeweiligen Unternehmen unter Einhaltung von Datenschutz und rechtlichen Vorgaben durchgeführt. Vorher werden die individuellen Möglichkeiten und Fokussierungen besprochen. Nach der Durchführung der eigentlichen Tests werden die Ergebnisse ausführlich besprochen und analysiert. Den Pentest selbst könnte man daher als Röntgenaufnahme erklären. Die anschließende Diagnose und Therapie erfolgt dann durch die Analyse der Experten und durch entsprechende Handlungsempfehlungen, die zu mehr Sicherheit beitragen.

Es gibt verschiedene Möglichkeiten einen Pentest durchzuführen: den Grey Box Test, White Box Test und den Black Box Test. Der Black Box Test ist sehr aufwendig. Hierbei greift der Pentester das Gesamtsystem an. Die Perspektive entspricht hierbei einem Eindringling von außen. Der Grey Box Test entspricht hingegen der Perspektive eines Eindringlings von innen (z.B. SysAdmin). Dabei versucht der Pentester über die interne Infrastruktur verschiedene Angriffe auf das SAP System durchzuführen. Anschließend empfiehlt sich die Durchführung eines White Box Tests als Nachbereitung und Verifizierung des Grey Box Tests. Hier wird üblicherweise ein automatisiertes Prüfwerkzeug eingesetzt, welches das SAP-System anhand eines Regelwerkes auf mehrere Tausend bekannte Bedrohungen prüfen kann.

Was sind Beispielangriffe im Pentest?

Bei den SAP Pentest gibt es mehrere Hauptangriffsvektoren, die sich auf unterschiedliche Art Zugriff verschaffen können. Wir können drei große Themenbereiche vorstellen: Zugang per RFC, Angriff via Code Injection und Zugriff durch Überwinden der Passworthürde.

Die Passworthürde kann beispielsweise durch drei Möglichkeiten überwunden werden. Bei SAP Systemen gibt es bei regulären ERP-Installationen Standardbenutzer mit Standardpasswörtern, die leicht im Internet gefunden werden können. Ob User mit diesen Standardpasswörtern in Benutzung sind, kann durch einen Pentest überprüft und korrigiert werden. Außerdem können Passwörter aus Datenbanken gestohlen werden. Bei einem Pentest wird unter anderem kontrolliert, ob es schwach verschlüsselte Passwörter gibt und ob diese durch Passwort-Cracker ermittelt werden können. Zudem gibt es noch die Möglichkeit Passwörter auszulesen. Das ist dann möglich, wenn die Verbindung zwischen Client und Server nicht ausreichend abgesichert ist.

Bei einer Code Injection bindet der Hacker einen künstlichen Code in eine Applikation über ein normales Eingabeformular ein und kann diese dann auf dem Server ausführen. Im schlimmsten Fall hat der Hacker dann Zugriff auf Datenbanken und kann diese auslesen oder manipulieren. Das Unternehmen kann also Opfer von enormen Datendiebstählen werden. Während des Pentests wird anhand von Code Scannern erprobt, ob es Schwachstellen in der Programmierung gibt.

Im Webinar erfahren Sie, wie genau ein Pentest durchgeführt wird, welche (Angriffs-) Möglichkeiten es gibt und was unsere Best-Practices in diesem Bereich sind.

Der Zugang per Remote Function Call (RFC) ermöglicht potenziellen Hackern den Zugriff auf Funktionen in einem entfernten System. Auf diese Weise können Daten ausgelesen, Kommandos ausgeführt werden oder auch Benutzer angelegt werden. Mit RFC sind auch SAP-eigene Protokolle und Schnittstellen gemeint, mit denen Funktionsaufrufe und deren Implementierung abgewickelt werden können. Diese Schnittstellen sind API‘s, also aufrufbare Schnittstellen, die sich aus verschiedenen Programmen wie z.B. auch Microsoft Excel aufrufen lassen.

Wann und wie oft sollte man einen SAP Pentest durchführen?

Wie oft man einen SAP Pentest durchführen sollte, hängt davon ab, welchen Hintergrund der Test hat. Der Test empfiehlt sich beispielsweise für eine generelle Bestandsaufnahme, aber auch, falls Compliance-Vorgaben umgesetzt werden müssen. Wenn man kontinuierlich hohe Sicherheitsstandards erreichen möchte, sollten SAP Pentests regelmäßig (das heißt mindestens zweimal im Jahr) durchgeführt werden.

Fazit

Die Praxis zeigt, dass sich bei fast allen Pentests diverse Schwachstellen innerhalb der SAP Sicherheit identifizieren lassen. Obwohl der Zeitaufwand für die Durchführung des Tests relativ hoch ist, gestaltet sich der Output als sehr nützlich und wichtig. Zudem steigen die Relevanz und das Interesse an Themen der IT-Sicherheit. Besonders in Zeiten, in denen Cyberkriminalität steigt und der Datenschutz immer wichtiger wird.

Bei regelmäßiger Durchführung können SAP Pentests erheblich zur IT-Sicherheit im Unternehmen beitragen. Werden Schwachstellen aufgedeckt, können diese durch die anschließende Analyse und die entsprechenden Handlungsempfehlungen direkt behoben werden. So kann das SAP System bereinigt werden, bevor größerer Schaden entsteht.

RZ10.de Partnerprodukt: SAP Penetration Test

Weitere Informationen

Pentest Favoriten: Zugang per RFC

Pentest Favoriten: Angriff via Code Injection

Pentest Favoriten: Bekannte Passwörter und unsichere Passwortspeicherung

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice