Angriffe auf das SAP-System erkennen
Autor: Jonas Krüger | 2. Juni 2021
Cyberangriffe können in Unternehmen viel Schaden anrichten. Durch die Veröffentlichung und Sabotage von Informationen, gefährden sie die Vertraulichkeit und Integrität von Unternehmensdaten. Um interne wie auch externe Angriffe rechtzeitig zu erkennen, gibt es unterschiedliche Methoden, die im Folgenden erläutert werden.
Möglichkeiten zur Erkennung von Angriffen
Im Durchschnitt dauert es 180 Tage bis Administratoren einen Angriff auf das SAP-System erkennen. Denn die meisten IT-Angriffe werden durch Zufall entdeckt. In der Zwischenzeit dringen die Angreifer immer tiefer in die IT-Infrastruktur des Unternehmens ein und eröffnen permanent neue Schwachstellen.
SAP Security Audit-Log
Eine Möglichkeit, um Angriffe auf das SAP-System frühzeitig zu erkennen, ist die regelmäßige Betrachtung und Analyse von Log-Dateien. Mithilfe dieser Log-Dateien können Spuren der Angriffe ermittelt werden. Hierfür ist eine gezielte Aktivierung und Konfiguration des SAP Security Audit-Logs erforderlich sowie eine Sicherung vor Manipulation und Löschung. Durch die Aktivierung des Security Audit Logs können diverse Aktivitäten und Kennzahlen protokolliert werden. Die gesammelten Informationen, wie beispielsweise Änderungen in Benutzerstammsätzen, Änderungen an der Auditkonfiguration oder RFC-Aufrufe, werden regelmäßig in einer Audit-Datei gespeichert. Im Rahmen eines Audit-Analyse-Reports erfolgt eine Zusammenfassung und Evaluierung dieser Informationen. Grundsätzlich bietet das SAP Seurity Audit Log viele Möglichkeiten zum individuellen Customizing.
SIEM-Tools
Aber auch die Nutzung von SIEM-Tools helfen bei der Datenanalyse in Echtzeit. Sie laufen außerhalb des SAP und sichern die Daten, welche aus verschiedenen Systemen zusammenkommen. Firewalls, Server, Router, IDS, IPS und ähnliche Anwendungen sind hierfür gängige Quellen. Auf diesem Weg ist es möglich, mithilfe von Korrelationsmodellen, maschinellem Lernen und Künstlicher Intelligenz, diese Daten zu korrelieren, um Angriffsmuster rechtzeitig zu erkennen. Weiterhin unterstützen SIEM-Tools Unternehmen bei der Forensik sowie bei der Einhaltung von gesetzlichen Vorgaben, Richtlinien und Compliance Regularien der IT-Sicherheit.
SAP Enterprise Threat Detection (ETD)
Neben der Aktivierung des SAP Security Audit-Logs und der Nutzung von SIEM-Tools gibt es weitere Arten der Sicherheitsprüfung im SAP. Ein Beispiel hierfür ist SAP Enterprise Threat Detection (ETD). SAP ETD hilft Unternehmen, in Echtzeit Cyberangriffe zu identifizieren, analysieren und neutralisieren. Dabei greift ETD bei Angriffen, welche andere IAM-Tools nicht unbedingt erkennen können, da beispielsweise wichtige Security Notes nicht eingespielt wurden. Des Weiteren können mit SAP ETD auch interne Prozesse im Unternehmen überwacht werden, um ungewöhnliche Verhaltensmuster durch definierte Muster abzuwenden.
SAP Einbruchserkennung
Die zeitnahe Erkennung von Angriffsversuchen auf das System wird in vielen Branchen zudem durch verschiedene Regulierungen (wie z.B. KRITIS-Verordnung) oder auch interne IT-Sicherheitsrichtlinien vorgeschrieben.
Mit unserem Service der SAP Einbruchserkennung analysieren wir regelmäßig sicherheitsrelevante Logs der SAP-Systeme, werten diese aus und können auf Basis der Feststellungen konkrete Handlungsempfehlungen aussprechen und bei Bedarf auch umsetzen. Dabei werden alle Aktivitäten, Feststellungen und Maßnahmen regelmäßig in einem Sicherheitsbericht dokumentiert. Dadurch können Sie sich – in Gewissheit über die Sicherheit Ihrer Systeme – auf das Tagesgeschäft konzentrieren.
Was man im Vorfeld tun kann
Wenn man einen Überblick über den aktuellen Sicherheitsstand der SAP-Landschaft haben möchte, bietet sich ein Penetration Test (kurz Pentest) an. Pentests haben zum Ziel, Schwachstellen im System und der Umgebung zu identifizieren. Dabei werden simulierte, gezielte Angriffe auf das SAP-System gefahren. Dadurch sollen vorhandene Risiken und Schwächen identifiziert, verstanden und anschließend auch behoben werden. Ein Pentest wird meistens von einem externen Tester durchgeführt und zeigt eine Momentaufnahme der potenziellen Sicherheitslücken.
In unserem Webinar Best Practices für Pentests im SAP-Umfeld erfahren Sie unter anderem, welche Möglichkeiten ein Penetration Test bei der Vorbeugung von Sicherheitsvorfällen bietet. Sie erhalten zudem einen Überblick über die Arten der Sicherheitsprüfung im SAP, die für Unternehmen existieren, um im Falle eines Angriffes das Schadensausmaß effektiv zu ermitteln und zukünftig zu verringern. Sollten Sie Fragen oder Beratungsbedarf zum Thema Angriffserkennung oder Pentest haben, können Sie uns auch gerne eine Mail an info@rz10.de schreiben.