Die wichtigsten SAP Sicherheitsprotokolle und ihr Nutzen
Autor: Yannick Rech | 19. Oktober 2021
Schwerwiegende Sicherheitslücken werden von Unternehmen häufig erst spät erkannt. In diesem Zusammenhang hilft die regelmäßige Überwachung und Analyse von Systemzugriffen. Mithilfe von sicherheitsrelevanten SAP Logs, wie beispielsweise dem Security Audit Log (SAL), können Sicherheitslücken im SAP-System schneller ermittelt und behoben werden.
Warum lohnt es sich, zu protokollieren?
Im Sicherheitskontext von Unternehmen spielt das Thema „Protokollierung“ immer wieder eine wichtige Rolle. Diesbezüglich betonen auch Instanzen wie die DSAG oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bedeutung der Überwachung von unternehmerischen Systemen.
So weist die DSAG in Kapitel 3.8 „Überwachung der Wirksamkeit des Zugriffsschutzes“ ihres Prüfleitfaden auf die Notwendigkeit der regelmäßigen Überwachung und Analyse von Zugriffen auf das SAP-System hin. Da Sicherheitslücken häufig erst spät erkannt werden, soll durch eine regelmäßige Überwachung und Analyse der Zugriffe innerhalb des SAP-Systems das Risiko schwerwiegender Sicherheitsereignisse minimiert werden. Diese Sicherheitslücken können beispielsweise aufgrund fehlender oder falsch eingestellter sicherheitsrelevanter Parameter auftreten.
Auch das BSI widmet sich in seinem Grundschutzkatalog für SAP dem Thema Logging. Konkret werden hier die Funktionen des Security Audit Logs (SAL) erläutert. Mithilfe einer geeigneten Einstellung der Filter unterstützt es beim Protokollieren sicherheitskritischer Ereignisse. Außerdem empfiehlt das BSI, passende Profilparameter für das SAL zu setzen.
Wie helfen Protokollierungen und Logs beim Thema Sicherheit?
Kommt es zu einem Angriff, bei dem Daten wie beispielsweise die Benutzerstammdaten-Tabelle (USR02) entwendet werden, bleibt das in der Regel unbemerkt. Es handelt sich bei diesem einfachen Download allerdings schnell um ein großes unternehmerisches Sicherheitsrisiko, da in dieser Tabelle neben Nutzerstammdaten auch Password-Hashes hinterlegt sind. Die Passwörter der User sind zwar nicht als Klartext abgespeichert, mithilfe der Daten kann der Angreifer aber einen Brute-Force-Angriff starten, der keine Anmelde-Versuchs-Beschränkung unterliegt. Gelangt der Angreifer auf diesem Weg an die User-Passwörter, so kann er sich unbemerkt mit einem Account anmelden und diverse Transaktionen durchführen.
Wird der Angriff entdeckt, so beginnt das Unternehmen mit der Analysephase: Mithilfe der zur Verfügung stehenden Logs werden eine Vielzahl an Findings im Rahmen des Angriffes ausfindig gemacht. Im Rahmen dieser detektivischen Maßnahmen empfiehlt sich die Orientierung am Security Audit Log, um zunächst den User zu betrachten, der das Finding generiert hat. Weiterhin müssen auch andere User betrachtet werden sowie auffällige und vom SAL als kritisch eingestufte RFC-Calls ausgewertet werden. Das macht eine korrekte Log-Konfiguration auch unerlässlich, ansonsten kann keine Aufklärung eines Angriffs erreicht werden.
In diesem ca. 1-stündigen Webinar klären wir, welche Möglichkeiten SAP Kunden beim Security Monitoring haben. Wir zeigen die Unterschiede aus dem Standard, SIEM sowie SAP ETD und helfen Ihnen, die passende Lösung für sich zu finden.
Im nächsten Schritt erfolgt die Behebung der sicherheitskritischen Findings, die bis zur Behebung aktiv protokolliert und alarmiert werden sollten. In diesem Zusammenhang müssen sowohl innerhalb als auch außerhalb des SAP-Systems alle Mittel in Bewegung gesetzt werden. Ohne rechtzeitiges Handeln könnten beispielsweise Geldtransfers durch die Angreifer durchgeführt werden.
Präventionsmaßnahmen, wie die Zuweisung von Sonderrechten zum Download einer USR02-Tabelle und die Änderung der Mitarbeiterpasswörter dienen dazu, die aufgetretene Schwachstelle im Unternehmen zu schließen und für eine nachhaltige Verhinderung von Sabotagen zu sorgen. Auch hier ist ein aktives Logging von großer Bedeutung.
Sicherheitsrelevante SAP Logs
Im Rahmen der forensischen Analyse ist es durch den Einsatz verschiedener sicherheitsrelevanter SAP Logs möglich, detektivischen Maßnahmen zu treffen.
Systemlog
Das Systemlog ist standardmäßig im SAP-System aktiv und über die Transaktion SM21 aufrufbar. Sein technischer Fokus ist unter anderem auf Systemdowntimes und Dumps ausgelegt. Der Systemlog kann den SAP Basis-Administratoren bei der Ermittlung von Security Findings helfen, indem er einen Überblick über die Auswirklungen der Findings liefert.
Gateway-Log
Das Gateway-Log ist ebenfalls standardmäßig im SAP-System aktiv und kann durch die Transaktion SLG1 aufgerufen werden. Es bildet RFC Calls ab, also externe System-Aufrufe auf das unternehmerische System. Demnach ist das Gateway-Log die Hauptschnittstelle bezüglich der Angriffe und Aufrufe von außen. Bei Unregelmäßigkeiten sollte man auch hier in eine tiefgehende Analysephase einsteigen.
Änderungsbelege
Auch die Änderungsbelege gehören zu den sicherheitsrelevanten SAP Logs. Diese sind, wie das Systemlog und das Gateway-Log, standardmäßig aktiv. Ihr detektivischer Fokus ermöglicht eine detaillierte Analyse der Eigenschaften von Business Partnern, Usern und Rollen. Diesbezüglich liefern Änderungsbelege beispielsweise Auskunft über Veränderungen der User-Rechte im Rahmen eines Angriffes.
Security Audit Log
Im Gegensatz zu den bereits vorgestellten SAP Logs ist das Security Audit Log im Default SAP-System nicht standardmäßig aktiv, sodass ein manuelles Einschalten erforderlich ist. Weiterhin kann es in der Transaktion SM20 oder rsau_read_log abgerufen werden. Dies richtet sich nach dem Wert des NetWeaver Stacks. Ab 7.5 ist rsau_read_log die Transaktion, um das Log aufzurufen. Liegt der NetWeaver Stack unter 7.5, so ist SM20 die entsprechende Transaktion. Das Security Audit Log hat sowohl einen detektivischen als auch einen präventiven Nutzen und stellt das Hauptsicherheitsprotokoll im SAP dar.
Weitere relevante Protokolle sind ST03N, das Transportlog, Betriebssystem-Protokolle und ggf. Berechtigungs-Traces.
Fazit
Grundsätzlich erweist sich der Einsatz diverser SAP Logs im Sicherheitskontext von Unternehmen als besonders sinnvoll, um Angriffe schnell ausfindig zu machen und im Anschluss präventiv zu bekämpfen. Diesbezüglich betonen sowohl die Leitfäden der DSAG als auch das BSI die Notwendigkeit der Protokollierung, um das Risiko schwerwiegender Sicherheitslücken zu minimieren.
Weitere Informationen zum SAP Security Monitoring erhalten Sie in unserem Webinar “Best Practices Sicherheitsprotokolle im SAP”. Hier geht es zur Anmeldung
