Sicherheit für Ihr SAP-System: die 6 Säulen der SAP Security
Autor: Lucas Hoppe | 20. Juli 2023
Ein Ausfall des SAP-Systems – bedingt durch einen Cyber-Vorfall – bedeutet meist auch einen kompletten Ausfall der Betriebsfähigkeit. In diesem Beitrag erfahren Sie, wie Sie eine effektive Sicherheitsstrategie für SAP implementieren und so Risiken minimieren und Ihr Unternehmen vor Bedrohungen schützen können.
Fahrplan für ein effektives SAP-Sicherheitskonzept
Bevor Sie ein Sicherheitskonzept umsetzen, sollten Sie sich im Klaren darüber sein, wie sie dieses Ziel erreichen können. Dabei helfen Ihnen die folgenden Punkte:
- Schutzbedarfe kennen
- Was muss geschützt werden?
- Welche Anforderungen haben Sie?
- Überprüfung aktueller Sicherheitssituation
- Wie sicher sind Ihre SAP-Systeme aktuell?
- Passt Ihr aktuelles Sicherheitskonzept zu Ihren Schutzbedarfen?
- Maßnahmen aufbereiten
- Erstellung eines Maßnahmenkatalogs für die gewünschte Sicherheitssituation
- Umsetzung und Kontrolle
- Umsetzung der aufbereiteten Maßnahmen und Definition von sinnvollen Kontrollen
Im folgenden Abschnitt erhalten Sie einen Überblick über die sechs grundlegenden Säulen der SAP Security, die Ihrem Unternehmen helfen, das ERP-System vor Bedrohungen zu schützen.
1. Die Grundlagen
Zu den Grundlagen der SAP Security gehört die grundlegende Konfiguration von SAP Standardusern, Transportsystemen, Security Patches, Virenscanning und Kennwortsicherheit. Im Unternehmensalltag haben diese Grundlagen häufig keine Priorität und ihnen wird nur zum erstmaligen Systemaufbau und bei der Konfiguration Beachtung geschenkt. Dabei birgt die Nichtbeachtung dieser Grundlagen große Gefahren, da alle folgenden Maßnahmen ebenfalls nicht greifen können.
Sollten zum Beispiel SAP Standarduser nicht korrekt konfiguriert sein, kann dies zu massiven Sicherheitsproblemen führen, da die Standardpasswörter für SAP Standarduser frei im Internet einzusehen sind. Unbefugte können sich dadurch Zugriff auf all Ihre wichtigsten Unternehmensdaten verschaffen.
Um solche Sicherheitslücken im Bereich der SAP-Security-Grundlagen zu verhindern, können Sie jedoch einige Maßnahmen ergreifen. Erstellen Sie zunächst ein Konzept, wie Sie die genannten Grundlagen in Ihrem System einstellen. Halten Sie sich an dieses Konzept und kontrollieren Sie regelmäßig, dass die genannten Maßnahmen eingehalten werden.
2. Prozesse und IKS
Im SAP gibt es viele sicherheitsrelevante Prozesse, die dokumentiert und definiert werden müssen. Dazu gehören z. B. Userlifecycle-Prozesse, wie
- die Anlage neuer Benutzer im System,
- die Zuweisung von Berechtigungen an Benutzer,
- der Abteilungswechsel von Mitarbeitern
- und der Austritt von Benutzern aus dem System, z. B. nach der Sperrung eines Nutzers.
Wichtig dabei ist auch ein effektives IKS – ein internes Kontrollsystem, dass die internen Vorgaben zur Sicherheit im SAP-System überwacht. In der Praxis kann das z. B. bedeuten, dass es ein definiertes Berechtigungskonzept gibt, das Regeln zur Vergabe von kritischen Berechtigungen enthält. Diese im Berechtigungskonzept definierten Regeln müssen überprüft und eingehalten werden – das übernimmt ein IKS.
In der Realität sieht das häufig noch anders aus. Häufig werden Prozesse nicht ordentlich definiert oder dokumentiert. Ein IKS ist zudem häufig nicht vorhanden, wodurch es auch keine Kontrollen von Berechtigungen gibt.
Letztendlich kann eine Vernachlässigung dieser Punkte dazu führen, dass sich niemand für die oben genannten Prozesse verantwortlich fühlt und somit eine Nachvollziehbarkeit nicht bewerkstelligt werden kann, was letztendlich zu Problemen in der Wirtschaftsprüfung führt. Ohne regelmäßige Kontrolle durch ein IKS verwässern zusätzlich die Sicherheitskonzepte des Unternehmens und die Arbeit, die in die initiale Einrichtung etwaiger Sicherheitsmaßnahmen gesteckt wurde, war umsonst.
Um solche Entwicklungen zu vermeiden, können Sie folgende Maßnahmen ergreifen:
- Prozesse und Verantwortlichkeiten definieren, dokumentieren, ausrollen und einhalten
- Aufbau eines IKS auf Basis der SAP-Sicherheitsvorlagen, das regemäßig, automatisierte Kontrollen durchführt
3. Berechtigungen
Die dritte Säule der SAP Security sind Berechtigungen. Sie steuern den Zugriff auf Daten und Programme im SAP-System und werden mittels verschiedener Berechtigungsrollen, für z. B. Transaktionen, an Benutzer vergeben.
In der Unternehmensrealität gibt es häufig ein historisch gewachsenes Berechtigungskonzept, das bedeutet, dass es mehr Rollen als Benutzer gibt oder Benutzer gibt, die überberechtigt sind. Letztendlich sorgt das nicht nur für Sicherheitslücken, sondern auch für Probleme in der Wirtschaftsprüfung, da Prüfer mehr Mängel finden.
Durch die Vernachlässigung von Berechtigungen kann es zu Problemen in der Administration der Benachrichtigungen kommen, die dadurch immer aufwendiger und komplexer wird. Außerdem sind die Daten im SAP nicht mehr ausreichend geschützt, was wirtschaftliche Gefahren birgt. Um dieser Gefahr entgegenzuwirken, können Sie folgende Maßnahmen etablieren:
- ein schriftlich definiertes Berechtigungssystem festlegen,
- ein arbeitsplatzbezogenes Berechtigungskonzept mit passgenauen Inhalten
- und ein effektives Redesign-Projekt, um diese Maßnahmen durchzuführen.
4. Systemkonfiguration
Um die Sicherheit der SAP-Systemkonfiguration zu garantieren, sollten Sie zwei Bereichen besondere Aufmerksamkeit schenken:
- Systemparameter: Systemweite Einstellungen zu verschiedenen, sicherheitsrelevanten Aspekten im SAP-System, wie z. B. Passwortrichtlinien, die die Sicherheit im SAP-System extrem steigern.
- RFC-Schnittstellen: Technologien, die die Kommunikation zwischen SAP-Systemen untereinander oder zwischen SAP und anderen, externen Systemen ermöglichen. In jeder RFC-Schnittstelle ist ein Benutzer angegeben, mit der die Schnittstelle sich im System authentifiziert. Dafür braucht der Benutzer die richtigen Berechtigungen. Um die Sicherheit i SAP-System zu erhöhen, können RFC-Schnittstellen zusätzlich verschlüsselt werden.
Im Unternehmensalltag gibt es häufig keine Übersicht über die eingestellten Parameter und über die Aktivität von RFC-Schnittstellen. Nach einer einmaligen Einrichtung folgt oft keine weitere Prüfung und etwaige Sicherheitsrisiken sind unbekannt. Das kann zu einer unsicheren Systemkonfiguration führen, in der bspw. Login-Daten nicht verschlüsselt sind, wodurch Unbefugte Zugriff auf sensible Unternehmensdaten erlangen können. Auch unsichere RFC-Schnittstellen stellen ein Sicherheitsrisiko dar, weil Unbefugte sich über unverschlüsselte Schnittstellen in Ihr System einwählen können.
Um dies zu vermeiden, ist es wichtig, dass Sie die SAP-Systemparameter nach dem DSG konfigurieren, einen Sollzustand festlegen, nach dem Sie die Parameter einstellen. RFC-Schnittstellen sollten Sie ausführlich dokumentieren und verschlüsseln, um einen Zugriff Unberechtigter zu vermeiden. Außerdem sollten Sie darauf achten, dass die jeweiligen Benutzer die richtigen Berechtigungen haben, um auf die Schnittstellen zugreifen zu können.
5. Code Security
Im SAP werden Berechtigungen, die an Benutzer vergeben werden, im Programmcode geprüft. Im SAP-Stammcode sind solche Prüfungen automatisch enthalten, in Eigenentwicklungen jedoch nicht. Dort müssen Entwickler aktiv Berechtigungsprüfungen in den Programmcode einbauen. Ohne solche in den Code eingebauten Berechtigungsprüfungen wirken die vergebenen Berechtigungen nicht.
In den meisten Unternehmen sind solche Berechtigungsprüfungen in Eigenentwicklungen jedoch nicht vorhanden, da bei Eigenentwicklungen häufig die Funktionalität und nicht die Sicherheit im Vordergrund steht. Zusätzlich gilt es oft als zu umständlich, passende Berechtigungsprüfungen zu programmieren. Dadurch wird jedoch der Zugriff der Benutzer auf Programme und Daten nicht kontrolliert. Zusätzlich wird einer der zentralen Sicherheitsaspekte im SAP – Berechtigungen – einfach umgangen, da es keine Berechtigungsprüfungen gibt.
Potenzielle Maßnahmen, um diesen Risiken entgegenzuwirken, können wie folgt aussehen:
- Für bereits existierende Eigenentwicklungen gibt es bestimmte Tools, die Ihre Programme auf fehlende Berechtigungsprüfungen und Sicherheitslücken scannen.
- Um den Programmcode nachhaltig sicher zu gestalten, sollten Sie in Ihren Entwicklungsrichtlinien für SAP festgeschriebene Vorgaben definieren, die langfristig für ein sicheres Coding sorgen.
6. Logging
Als Logging wird die automatische Protokollierung von System- und Prozessmeldungen, um bestimmte Ereignisse oder Fehlermeldungen nachzuvollziehen, genannt. Das Ziel des Loggings ist die Nachvollziehbarkeit und eine aktive Angriffs- und Anomalieerkennung. Im SAP gibt es zahlreiche Sicherheitslogs, wobei das Wichtigste das Security Audit Log ist, das als Hauptspeicher für alle sicherheitsrelevanten Ereignisse im SAP dient.
In vielen Unternehmen sind die Logs jedoch nicht richtig konfiguriert. Dadurch erfolgt im SAP keine regelmäßige Protokollierung der Logs statt. Selbst wenn es gut konfigurierte Logs gibt, findet häufig keine regelmäßige Auswertung statt, da eine manuelle Logauswertung sehr aufwendig sein kann. Das verhindert eine Nachvollziehbarkeit von Sicherheitsvorfällen, so werden potenzielle Angriffe auf das System häufig nicht erkannt.
Um diese Gefahren zu vermeiden, ist es wichtig,
- die Logs richtig zu konfigurieren
- und regelmäßige und toolgestützte Auswertungen der Sicherheitslogs vorzunehmen.
Fazit: Weshalb eine effektive Sicherheitsstrategie für SAP so wichtig ist
In Zeiten der Digitalisierung und angesichts der enormen Menge an unternehmenswichtigen Daten und Finanzprozessen, die im SAP-System verarbeitet werden, ist eine effektive Sicherheitsstrategie von großer Bedeutung. Eine solche Strategie für Ihr Unternehmen sollte auf den vorgestellten sechs unerschütterlichen Säulen basieren: Grundlagen wie die Konfiguration von Standardusern und Kennwortsicherheit, die Definition und Kontrolle sicherheitsrelevanter Prozesse und Verantwortlichkeiten, die Vergabe von Berechtigungen mit einem klaren Berechtigungskonzept, die sichere Konfiguration des Systems und der RFC-Schnittstellen, die Implementierung von Berechtigungsprüfungen im Programmcode und eine korrekte Konfiguration und regelmäßige Auswertung der Sicherheitslogs. Durch die Umsetzung dieser Maßnahmen können Sie die Risiken für Ihr Unternehmen minimieren und Ihr SAP-System vor Bedrohungen schützen.
SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit
Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.