Warum Sicherheit durch Passwörter nicht mehr ausreicht
Autor: Yannick Rech | 9. Oktober 2020
Passwörter sind die standardisierte Log-In Sicherheit, die jedes SAP-System zu bieten hat. Diese sind jedoch seit Jahren nicht mehr sicher und sollten augenblicklich ersetzt oder erweitert werden. Doch welche Möglichkeiten haben Sie, um Ihre SAP-Sicherheit zu stärken?
Warum sind Passwörter out?
Schon als 1972 SAP gegründet wurde, wurden die Zugänge mit einfachen Passwörtern geschützt. In den 50 Jahren danach endete der Vietnamkrieg, die Sowjetunion ging unter, die Finanzkrise trat ein, Großbritannien verließ die EU und COVID-19 hält die Welt in Atem. Dass die Log-In-Methode, die damals als die sicherste Methode galt, heute nicht mehr am sichersten ist, scheint nicht verwunderlich. Woher kommt es also, dass viele Unternehmen weiterhin daraufsetzen?
Durch die Gesetzgebung und Anforderung seitens der eigenen Revision, wird IT-Sicherheit im SAP-Umfeld oftmals mit Berechtigungen gleichgesetzt. Gänzlich falsch ist das nicht, denn Berechtigungen sind ohne Zweifel ein Teil der SAP-Sicherheit. Doch die Berechtigungen sind eben nur ein Teil der IT-Sicherheit. Ebenfalls wichtig ist es, dass Angreifer von außen nicht innerhalb von ein paar Stunden die Passwörter Ihrer User geknackt haben und so Zugang zu Ihren Unternehmensdaten erhalten.
Die Sicherheit, die Passwörter vor 50 Jahren geliefert haben, ist kaum mehr mit der Sicherheit heutzutage zu vergleichen. SAP verwendete seit der Gründung drei verschiedene Hash-Verfahren. Gerade die ersten zwei, falls sie noch von Ihnen verwendet werden, sind besonders anfällig für Brute-Force Attacken.
Moderne Angreifer versuchen oftmals gar nicht mehr die Passwortverschlüsselung zu knacken. Stattdessen versuchen sie mit Hilfe von Manipulation dem Ziel des Angriffs weitere Informationen zu entlocken oder veranlassen sogar dazu, Informationen und Passwörter zu teilen. Phishing fällt als unpersönliche Art des Social-Engineerings auch darunter. Da man solche Angriffe nur sehr schwer präventiv unterbinden kann, sollte dafür gesorgt werden, dass sich solche Angriffe nicht lohnen.
Leichte Anpassungen Ihres Log-In-Prozesses können schon ausreichen, um die meisten dieser Angriffe im Keim zu ersticken.
Wie kann ich mich absichern?
Um die Zugriffssicherheit Ihres SAP-Systems zu steigern, gibt es mehrere Möglichkeiten.
Lokale Passwortsafes
Lokale Passwortsafes wie “Kee Pass2” erhöhen Ihre Sicherheit um ein Vielfaches, wenn sie richtig konfiguriert und gehandhabt werden. Das bedeutet, dass konkret jeder Nutzer eine solche Software auf seinem Rechner abgespeichert hat und diese mit einem komplexen Passwort schützt. Dieses Passwort darf der User nirgendwo anders verwenden und es sollte keine Klarwörter enthalten. Einloggen kann der User sich nur von seinem Computer in diesen Safe und die Daten, die darin hinterlegt sind, liegen ausschließlich auf diesem Computer. Die Passwörter, die dann für die SAP-Systeme verwendet werden, sollten automatisch generiert werden (vom Passwortsafe). Der User nimmt diese Zahlen- und Buchstabenfolgen und setzt sie als Passwörter für das SAP-System ein. Dadurch kennt der User die SAP-Passwörter gar nicht selber und kann sie auch nur dann abrufen, wenn er an seinem PC ist und seinen Passwortsafe entsperren kann. Außerdem enthalten die Passwörter keine Wörter mehr, sondern sind rein zufällig generiert.
2-Faktor-Authentifizierung
Bei der 2-Faktor-Authentifizierung erhält der User nachdem er sich herkömmlich mit Username und Passwort angemeldet hat, eine Benachrichtigung auf sein Smartphone, die er bestätigen muss. Diese Benachrichtigung ist auf dem Handy noch mit einem lokalen Sicherungsmechanismus abgesichert.
Durch diese Sicherung muss der User für den Zugriff das SAP-Passwort kennen, sein Handy muss sich in seinem Besitz befinden und er muss die Sicherungsmethode des Smartphones kennen. Bekannt sein wird Ihnen diese Art der Absicherung bereits aus dem Finanzbereich wo jedes herkömmliche Online-Banking dadurch abgesichert ist. Wenn bereits Privatkonten eine solche Sicherheit verdienen, warum sollte es dann Ihr SAP-System nicht?
Attribute Based Access Control (ABAC)
Das kontextbasierte Zugangsmanagement ist eine eher auf dem internationalen IT-Markt verbreitete Form des Log-In-Prozesses. Im SAP-Raum ist diese Methode zwar vorhanden, aber noch nicht verbreitet. Ein Trend hinsichtlich dieser Methode ist aber eindeutig zu erkennen.
Die Idee dahinter ist, dass je nach der Situation unter der der Log-In stattfindet, die Sicherheit variabel angepasst wird. Meldet sich ein User aus dem Firmennetz mit seinem PC an, reicht ein einfaches Passwort aus. Meldet sich der User aus einem öffentlichen Netz oder nachts an, wird 2-Faktor-Authentifizierung notwendig. Auf diese Art und Weise geht nur dann Zeit für den Mehraufwand des Log-In’s verloren, wenn die Wahrscheinlichkeit eines Angriffs oder Missbrauchs höher ist.
Identity Management
Identity Management (IDM) in Kombination mit Single-Sign-On (SSO) ist die Zukunft der Log-In Sicherheit und des User-Lifecycle-Managements. Dabei sind alle Tools und Zugänge Ihrer Mitarbeiter – sei es Salesforce, SAP oder SuccessFactors – eingebunden und der User meldet sich nur einmal auf seinem Computer an. Dieser Log-In auf dem Computer sendet dann ein Zertifikat, welches anstatt dutzender unsicherer Passwörter genutzt wird. Diese Zertifikate werden generiert und sind deutlich komplexer als einfache Passwörter. Dadurch muss der Angreifer im Besitz des Computers sein, Zugang zu diesem bekommen und so die Zertifikatssoftware umgehen, bevor er Zugriff auf Ihre Firmennetze bekommt.
Identitiy Management ist jedoch noch viel mehr als nur die Sicherung der Zugänge, sondern hinterlässt auch seine Spuren in der Rollenverwaltung, der Benutzerverwaltung und weiterem.
Wir helfen Ihnen bei der Einführung
Sie verwenden noch herkömmliche Passwörter ohne weitere Absicherung und würden das gerne ändern? Kommen Sie gerne auf uns zu und verabreden Sie ein unverbindliches Beratungsgespräch – wir sprechen gemeinsam über Möglichkeiten, um Ihre SAP-Sicherheit zu verbessern. Haben Sie noch Fragen? Schreiben Sie uns eine Mail an info@rz10.de