- 21. März 2017

RFC Sicherheit, Science-Fiction und Theater

Was haben RFC Schnittstellen und RFC Sicherheit mit dem Theaterstück der „Hauptmann von Köpenick“ und dem Science-Fiction-Film „Minority Report“ zu tun? Vermutlich mehr als Ihnen lieb ist!

RFC Sicherheit und Theater?!

rfc sicherheit

Deutschland, Berlin, 1906: Der sechsundvierzigjährige Schuster Wilhelm Voigt träumt von der Rückkehr in ein normales Leben. Nach diversen Verurteilungen und etlichen Gefängnisaufenthalten lebt er am Rande der Gesellschaft. Es sind nicht nur die finanziellen Mittel die ihm fehlen. Vor allem die fehlende Zugangsberechtigung zu seinem Sozialen System macht ihm zu schaffen. In Anbetracht seiner ausweglosen Situation entscheidet er sich für eine drastische Maßnahme.

Der ausgegrenzte Schuster zieht los und grast etliche Trödelhändler ab, um sich nach und nach eine militärische Uniform zusammenzustellen. Wenige Tage später schlüpft er in eben diese Verkleidung, wechselt erfolgreich seine Identität und schwindelt sich fortan als Hauptmann von Köpenick durch Berlin. Er kommandiert Soldaten, lässt das Rathaus stürmen und sogar den Bürgermeister festnehmen. An den Befehlen und deren Ausführung zweifelt zunächst keiner, denn seine wahre Identität ist verschleiert: Wegen einer simplen Verkleidung. Eine Verkleidung, die ihm alle notwendigen Berechtigungen gibt, die er für seinen Schwindel benötigt. Am Ende des Tages hat Wilhelm Voigt die Regierung Berlins erfolgreich kompromittiert.

RFC Sicherheit und Science-Fiction?!

USA, Washington, D.C., 2054: Die Washingtoner Polizei klärt längst keine Morde mehr auf: sie verhindert die Morde gleich im Voraus. Hierfür werden sogenannte „Precogs“ eingesetzt, die mittels Präkognition Morde in Visionen vorhersagen und diese melden, noch bevor sie passieren. Gleichzeitig nutzt die Regierung ein System aus öffentlichen Scannern, die alle Bürger jederzeit eindeutig durch Iris-Erkennung identifizieren können.

Als der Polizist John Anderton eines Tages selbst als Täter in einer Vision der „Precogs“ erscheint, flieht er aus dem Polizeigebäude und beschließt, der Ursache für die Vision auf den Grund zu gehen. Um den Kontrollen durch die Iris-Scanner und letztendlich seiner eigenen Festnahme zu entkommen, lässt er sich von einem Arzt illegal neue Augen  einsetzen und agiert fortan unter einer neuen Identität. Mithilfe der neuen Augen gelingt ihm letztendlich der Zutritt in den gesicherten Bereich der „Precogs“ und er kann mit seinen Nachforschungen beginnen. Durch dieses „Biohacking“  täuscht er nicht nur die biometrischen Sicherheitssysteme – er kompromittiert das höchste Kontrollsystem der Polizei.

Alles nur Geschichten!?

rfc sicherheit

„Tolle Geschichten!“, denken Sie nun. „Aber: Auf eine einfach Verkleidung fällt doch heute keiner mehr rein. Und überhaupt: Biometrische Sicherheitssysteme und Augentransplantation? Es ist nicht umsonst ein Science-Fiction-Film! Was hat das nun mit RFC Sicherheit zu tun?“. In Ordnung, ich kann Ihre Zweifel verstehen. Aber, wie gefällt Ihnen denn beispielsweise die folgende Geschichte.

RFC Sicherheit und die Kunst des Identitätswandels

Deutschland, überall, 2017: Johannes Voigt ist seit einigen Jahren Mitarbeiter in einem mittelständischen Unternehmen. Er gilt als zuverlässiger und gewissenhafter Entwickler aus der IT-Abteilung. In Wahrheit fühlt er sich immer häufiger ungerecht behandelt. Er beschließt, dass er seinen Frust nicht länger mit sich herumtragen möchte.

Aus dem Tagesgeschäft in seiner Abteilung hat er bereits viele hilfreiche Informationen sammeln können: Die RFC Schnittstellen und die zugehörigen technischen RFC Benutzer kennt Johannes aus seiner Arbeit mit den Applikationen. Auch das Passwort für diverse technische RFC User hatte er schnell über den Flurfunk mitbekommen („Solange Passwörter nur per Telefon kommuniziert werden und niemals schriftlich ausgetauscht werden, sind wir sauber!“). Und dass die RFC User selbst in Produktivsystemen großzügig berechtigt sind, ist längst kein Geheimnis mehr („Lieber mehr Berechtigungen als zu wenig; die RFC Verbindungen müssen rennen, sonst gibt es Ärger aus den Fachbereichen!“).

Da Johannes als Entwickler Zugriff auf die SE37 hat, ist es kein Problem sich mithilfe des Funktionsbausteins BAPI_USER_CHANGE den notwendigen Zugriff zu erschleichen – getarnt als RFC User. Kurzum ändert er durch Aufruf des Funktionsbausteins den Benutzertyp eines technischen RFC Benutzers in einem Produktivsystem von <System> auf <Service>. Hierdurch wird der technische User zum Dialog-User und eine Anmeldung im SAP System ist uneingeschränkt möglich. Also meldet sich Johannes mit dem bekannten Passwort des RFC Users im Produktivsystem an. Dank sehr weitreichender Berechtigungen hat er fortan Zugriff auf allerlei kritische Tabellen, Transaktionen und Programme in Produktion. Mit der Identität des RFC Users beginnt Johannes mit der technischen Kompromittierung des Produktivsystems…

RFC Sicherheit: Alles nur erfunden – oder alltägliche Bedrohung?

rfc sicherheit

Ob nun eine simple Verkleidung, veränderte biometrische Eigenschaften oder ein gekaperter, technischer User im SAP System: die Grundlage der Kompromittierung ist dieselbe. Eine Person nutzt eine andere Identität, um Zugang und Berechtigungen zu geschützten Bereichen zu bekommen. Außerdem hätte das Übel in allen drei Geschichten durch Pro-Aktivität verhindert werden können. Nur…, wann haben Sie sich das letzte Mal Gedanken über die Sicherheit Ihrer RFC Schnittstellen gemacht? Können Sie mit Sicherheit sagen, dass alle Ihre technischen RFC User nur die Berechtigungen besitzen, die sie auch tatsächlich benötigen? Und wissen Sie eigentlich wer genau die Passwörter dieser User kennt? Können Sie zu 100% ausschließen, dass nicht jetzt in diesem Moment ein SAP User mit falscher Identität Ihre Produktivsysteme infiltriert?

Change now: Es geht um Pro-Aktivität!

Doch bevor Sie jetzt beginnen und sich auf die Suche nach dem „Identitäten-Wandler“ begeben (was ich wirklich nicht empfehlen möchte!), schlage ich vor, dass Sie die Wurzel des Übels fassen und Ihre RFC Sicherheit proaktiv stärken. Wenn Sie also mehr erfahren möchten, habe ich hier folgende 3 Tipps für Sie:

  1. Unser E-Book über SAP RFC-Schnittstellen
  2. Unser kostenloses Webinar zum Thema RFC-Schnittstellen bereinigen
  3. Tobias Harmes Blogbeitrag über unser Vorgehen zur Optimierung von RFC Schnittstellen

Wie immer freue ich mich auf Ihr Feedback und Ihre Kommentare direkt unterhalb dieser Zeilen!

rfc sicherheit

Mein Name ist Dominik Busse und ich bin zertifizierter Managing Consultant bei mindsquare. Mein fachlicher Schwerpunkt sind SAP Berechtigungen.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Kostenloses E-Book zum Thema SAP RFC-Schnittstellen als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.