Security-Log-Auswertung: Warum Sie jeden Cent wert ist
Autor: Yannick Rech | 26. Juli 2021
Für IT-Verantwortliche in mittelständischen Unternehmen wächst das Budget selten auf Bäumen. Jedes Projekt muss hier gut durchdacht und gut geplant sein, damit es einen entsprechenden Mehrwert für Unternehmen generiert. Im Beitrag zeigen wir, warum die Auswertung Ihrer System-Logs eines der besten Investments in die Sicherheit Ihres Unternehmens ist
Zugegebenermaßen: Wenn es um Hacker-Angriffe geht, denkt man primär nicht an SAP-Systeme. Die lassen sich auch nur schwer mit dem allgemeinen Bild des Hoodie-tragenden Hackers vereinbaren. Das Gegenteil zeigt folgender Fall: Das Unternehmen Norsk Hydro wurde 2019 Ziel eines Hackerangriffs indem auch das SAP-System komprimittiert wurde.
In diesem speziellen Fall griff sogenannte Ransomware das System an und sorgte für die betriebliche Unbrauchbarkeit. Dabei breitete sich die Software wie ein Virus im gesamten SAP aus und verschlüsselt alle Daten des Systems. Lieferbestände, Business Partner, Bestellungen, User, SAP-Standard-Tabellen. Kurz gesagt, ihr SAP-System ist völlig unbrauchbar, sollten Sie nicht die Lösegeldforderungen bezahlen.
Vergangene Angriffe auf SAP-Systeme
Stefan Pietsch, Vorstand der DSAG, hat es bereits im Jahr 2018 so formuliert: “Es ist nicht eine Frage “ob” das SAP eines Unternehmens attackiert wird, sondern “wann”.”
Das Beispiel Norsk Hydro zeigt nicht nur, dass die Hacker auf die SAP-Systeme abzielen könnten, sondern auch, dass nicht nur kritische Infrastruktur, wie das Klinikum Düsseldorf (bekannter Hackangriff am 11.09.2020) das Ziel der Angreifer sind.
Derzeit hat die TU Berlin seit Wochen mit den Folgen Hack-Attacke zu kämpfen. Dabei ist auch das SAP-System betroffen, welches von dem verantwortlichen Krisenstab als Erstes wieder hochgefahren werden soll.
In diesem ca. 1-stündigen Webinar klären wir, welche Möglichkeiten SAP Kunden beim Security Monitoring haben. Wir zeigen die Unterschiede aus dem Standard, SIEM sowie SAP ETD und helfen Ihnen, die passende Lösung für sich zu finden.
Der Mythos der Zielgruppe
Letztlich sind die IT-Systeme für so gut wie jedes Unternehmen ab einer gewissen Größe überlebenswichtig. Auch Angreifer sind sich dessen bewusst und wissen ganz genau: Fallen die Systeme aus, heißt es für Opfer: “Verlieren wir jeden Tag Geld und Kunden, oder geben wir dem Angreifer das, was er fordert?”
Zu glauben man sei für mögliche Angriffe zu klein oder zu irrelevant, weil es sich ja gar nicht lohnen würde, ist ein großer Irrglaube. Dieser Mythos der Zielgruppe, dass der Fokus von Angreifern auf anderen Ziele liegt, ist eben nur ein Mythos. Im seltenen Fall geht es hier um individuelle, jahrelang geplante Attacken. Stattdessen werden routinierte, immer gleiche Angriffsschemata verwendet, um gezielt, bekannte Sicherheitslücken anzutesten. Auf der Darknet-Seite “Hidden Answers” erhielt beispielsweise ein Post von 2017, indem die Frage nach SAP Schwachstellen gestellt wurde, bereits innerhalb von Tagen dutzende Antworten inklusive Videomaterial. Viele solcher Attacken sind dementsprechend sehr gut in den Log- und Systemdaten erkennbar, wenn diese denn regelmäßig und genau ausgewertet werden.
Security Audit Log Auswertung
Ihre Security Audit Logs sollten also nicht nur angeschaltet sein, damit im Falle einer Attacke die Log-Dateien zur forensischen Analyse verwendet werden können, sondern sollten aktiv ausgewertet werden. Nur so können konsequent IT-Sicherheitsbedrohungen wirklich vermindert werden. Genau hierfür dient unser Service der SAP Einbruchserkennung. SAP-Security-Experten werten dabei Ihre Systemlogs regelmäßig aus und identifizieren sicherheitskritische Feststellungen. Die Ergebnisse werden in einem Ergebnisbericht mit Lösungsvorschlägen zur Verbesserung bereitgestellt und präsentiert. Security Consultants stehen Ihnen anschließen zur Umsetzung der Verbesserungen zur Verfügung.
Sollten Sie Fragen oder Beratungsbedarf haben, können Sie uns gerne eine Mail an info@rz10.de schreiben.