Warum Sicherheit durch Passwörter nicht mehr ausreicht

Autor: Yannick Rech | 9. Oktober 2020

17

Passwörter sind die standardisierte Log-In Sicherheit, die jedes SAP-System zu bieten hat. Diese sind jedoch seit Jahren nicht mehr sicher und sollten augenblicklich ersetzt oder erweitert werden. Doch welche Möglichkeiten haben Sie, um Ihre SAP-Sicherheit zu stärken?

Warum sind Passwörter out?

Schon als 1972 SAP gegründet wurde, wurden die Zugänge mit einfachen Passwörtern geschützt. In den 50 Jahren danach endete der Vietnamkrieg, die Sowjetunion ging unter, die Finanzkrise trat ein, Großbritannien verließ die EU und COVID-19 hält die Welt in Atem. Dass die Log-In-Methode, die damals als die sicherste Methode galt, heute nicht mehr am sichersten ist, scheint nicht verwunderlich. Woher kommt es also, dass viele Unternehmen weiterhin daraufsetzen?

Durch die Gesetzgebung und Anforderung seitens der eigenen Revision, wird IT-Sicherheit im SAP-Umfeld oftmals mit Berechtigungen gleichgesetzt. Gänzlich falsch ist das nicht, denn Berechtigungen sind ohne Zweifel ein Teil der SAP-Sicherheit. Doch die Berechtigungen sind eben nur ein Teil der IT-Sicherheit. Ebenfalls wichtig ist es, dass Angreifer von außen nicht innerhalb von ein paar Stunden die Passwörter Ihrer User geknackt haben und so Zugang zu Ihren Unternehmensdaten erhalten.

Die Sicherheit, die Passwörter vor 50 Jahren geliefert haben, ist kaum mehr mit der Sicherheit heutzutage zu vergleichen. SAP verwendete seit der Gründung drei verschiedene Hash-Verfahren. Gerade die ersten zwei, falls sie noch von Ihnen verwendet werden, sind besonders anfällig für Brute-Force Attacken.

Moderne Angreifer versuchen oftmals gar nicht mehr die Passwortverschlüsselung zu knacken. Stattdessen versuchen sie mit Hilfe von Manipulation dem Ziel des Angriffs weitere Informationen zu entlocken oder veranlassen sogar dazu, Informationen und Passwörter zu teilen. Phishing fällt als unpersönliche Art des Social-Engineerings auch darunter. Da man solche Angriffe nur sehr schwer präventiv unterbinden kann, sollte dafür gesorgt werden, dass sich solche Angriffe nicht lohnen.

Leichte Anpassungen Ihres Log-In-Prozesses können schon ausreichen, um die meisten dieser Angriffe im Keim zu ersticken.

Wie kann ich mich absichern?

Um die Zugriffssicherheit Ihres SAP-Systems zu steigern, gibt es mehrere Möglichkeiten.

Lokale Passwortsafes

Lokale Passwortsafes wie “Kee Pass2” erhöhen Ihre Sicherheit um ein Vielfaches, wenn sie richtig konfiguriert und gehandhabt werden. Das bedeutet, dass konkret jeder Nutzer eine solche Software auf seinem Rechner abgespeichert hat und diese mit einem komplexen Passwort schützt. Dieses Passwort darf der User nirgendwo anders verwenden und es sollte keine Klarwörter enthalten. Einloggen kann der User sich nur von seinem Computer in diesen Safe und die Daten, die darin hinterlegt sind, liegen ausschließlich auf diesem Computer. Die Passwörter, die dann für die SAP-Systeme verwendet werden, sollten automatisch generiert werden (vom Passwortsafe). Der User nimmt diese Zahlen- und Buchstabenfolgen und setzt sie als Passwörter für das SAP-System ein. Dadurch kennt der User die SAP-Passwörter gar nicht selber und kann sie auch nur dann abrufen, wenn er an seinem PC ist und seinen Passwortsafe entsperren kann. Außerdem enthalten die Passwörter keine Wörter mehr, sondern sind rein zufällig generiert.

Webinar: Wie kann ich SAP einfach in meine IT-Security integrieren?

Im Webinar erhalten Sie einen Überblick, wie Sie SAP in Ihre IT Security integrieren können und welche Tools dabei unterstützen können.
Jetzt anmelden!

2-Faktor-Authentifizierung

Bei der 2-Faktor-Authentifizierung erhält der User nachdem er sich herkömmlich mit Username und Passwort angemeldet hat, eine Benachrichtigung auf sein Smartphone, die er bestätigen muss. Diese Benachrichtigung ist auf dem Handy noch mit einem lokalen Sicherungsmechanismus abgesichert.

Durch diese Sicherung muss der User für den Zugriff das SAP-Passwort kennen, sein Handy muss sich in seinem Besitz befinden und er muss die Sicherungsmethode des Smartphones kennen. Bekannt sein wird Ihnen diese Art der Absicherung bereits aus dem Finanzbereich wo jedes herkömmliche Online-Banking dadurch abgesichert ist. Wenn bereits Privatkonten eine solche Sicherheit verdienen, warum sollte es dann Ihr SAP-System nicht?

Attribute Based Access Control (ABAC)

Das kontextbasierte Zugangsmanagement ist eine eher auf dem internationalen IT-Markt verbreitete Form des Log-In-Prozesses. Im SAP-Raum ist diese Methode zwar vorhanden, aber noch nicht verbreitet. Ein Trend hinsichtlich dieser Methode ist aber eindeutig zu erkennen.

Die Idee dahinter ist, dass je nach der Situation unter der der Log-In stattfindet, die Sicherheit variabel angepasst wird. Meldet sich ein User aus dem Firmennetz mit seinem PC an, reicht ein einfaches Passwort aus. Meldet sich der User aus einem öffentlichen Netz oder nachts an, wird 2-Faktor-Authentifizierung notwendig. Auf diese Art und Weise geht nur dann Zeit für den Mehraufwand des Log-In’s verloren, wenn die Wahrscheinlichkeit eines Angriffs oder Missbrauchs höher ist.

Identity Management

Identity Management (IDM) in Kombination mit Single-Sign-On (SSO) ist die Zukunft der Log-In Sicherheit und des User-Lifecycle-Managements. Dabei sind alle Tools und Zugänge Ihrer Mitarbeiter – sei es Salesforce, SAP oder SuccessFactors – eingebunden und der User meldet sich nur einmal auf seinem Computer an. Dieser Log-In auf dem Computer sendet dann ein Zertifikat, welches anstatt dutzender unsicherer Passwörter genutzt wird. Diese Zertifikate werden generiert und sind deutlich komplexer als einfache Passwörter. Dadurch muss der Angreifer im Besitz des Computers sein, Zugang zu diesem bekommen und so die Zertifikatssoftware umgehen, bevor er Zugriff auf Ihre Firmennetze bekommt.

Identitiy Management ist jedoch noch viel mehr als nur die Sicherung der Zugänge, sondern hinterlässt auch seine Spuren in der Rollenverwaltung, der Benutzerverwaltung und weiterem.

Wir helfen Ihnen bei der Einführung

Sie verwenden noch herkömmliche Passwörter ohne weitere Absicherung und würden das gerne ändern? Kommen Sie gerne auf uns zu und verabreden Sie ein unverbindliches Beratungsgespräch – wir sprechen gemeinsam über Möglichkeiten, um Ihre SAP-Sicherheit zu verbessern. Haben Sie noch Fragen? Schreiben Sie uns eine Mail an info@rz10.de


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Yannick Rech

Autor

Yannick Rech

B. Sc. Wirtschaftsinformtiak

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Security

Single-Sign-on mit KeePass: Passwörter sicher speichern

Mit einem kleinen Trick lässt sich ein Single-Sign-On einfach implementieren. Wir zeigen Ihnen das Vorgehen mit dem Tool KeePass.
7 #SSO
Artikel lesen
SAP Security

SAP-Passwortregeln: Security Policies via SECPOL

Seit dem EHP 6 sind die sogenannten “Security Policies” hinzugekommen. Damit können Sicherheitsrichtlinien benutzerabhängig umgesetzt werden.
3
Artikel lesen
IT Security

Wie lernen User gute Cyber-Gewohnheiten?

Wie gelingt die Sensibilisierung für die IT Sicherheit? Wie vermeidet man es, Opfer von Cyber-Angriffen durch Social Engineering zu werden?
#Informationssicherheit
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage