Wie kommen Angreifer ins SAP?

Autor: Jonas Krüger | 10. Mai 2021

25

Die IT-Sicherheit ist für jedes Unternehmen ein wichtiger Bereich, dem zunehmend mehr Aufmerksamkeit geschenkt wird. Oft fehlt aber eine konkrete Übersicht über mögliche Schwachstellen. In diesem Artikel nennen wir typische Einfallstore ins SAP und in die Cloud, damit Sie Ihr System in Zukunft gezielter und bewusster schützen können.

Security-Gefahren bedrohen nicht nur SAP-Systeme. Auch die Cloud ist immer häufiger von dem Problem betroffen. Sowohl bei Angriffen auf das SAP-System als auch auf die Cloud lassen sich die möglichen Einfallstore grob in zwei Kategorien einteilen. Auf der einen Seite stehen dabei die technischen Angriffsoptionen. Kommt es zu einer Attacke, ist das meist die erste Option, an die gedacht wird. Dem gegenüber stehen aber auch Probleme im Social Engineering. Hier stellt nicht die IT selbst die Schwachstelle dar, sondern das oftmals fahrlässige Verhalten von Mitarbeitern.

Risiken durch technische Schwachstellen

Technische Angriffe können beispielsweise über die URL der Cloud Anwendung erfolgen. Aber auch mobile Funktionen wie eine Fiori Anwendung über das Handy bergen ein höheres Risiko für Attacken. Bei einer Prüfung der Security können außerdem auch Hyperscaler einen Bereich darstellen, der auf Schwachstellen gecheckt werden sollte. All diese Themen sind rund um die Nutzung und Sicherung der Cloud zu beachten.

Achtung: Wer Security im SAP-Bereich abwinkt, weil nur wenige Hacker über dieses spezielle Wissen verfügen, muss sich bei der Cloud einer deutlich höheren Anzahl an möglichen Hackern bewusst sein. Über das Internet entstehen viele neue Angriffssituationen, die nicht unterschätzt werden sollten.

Eine zweite Möglichkeit bei Attacken besteht darin, dass Angreifer sich über einen VPN Zugang in die Situation eines Endbenutzers begeben. Ausgehend von diesem Netzwerk können sie dann ungehindert auf die SAP Systeme und Datenbanken zugreifen. Diese Option ist bei Hackern weiterhin sehr beliebt.

Möglich ist dabei allerdings nicht nur ein externer, sondern auch ein interner Angriff. Denkbar wäre etwa die Attacke eines Mitarbeiters, der Spionage betreibt. Deshalb sollte ebenfalls geprüft werden, inwiefern Mitarbeiterberechtigungen Schaden auf das System nehmen könnten.

Im Webinar erfahren Sie, wie genau ein Pentest durchgeführt wird, welche (Angriffs-) Möglichkeiten es gibt und was unsere Best-Practices in diesem Bereich sind.

Risiken durch Mitarbeiterverhalten – Social Engineering

Neben unterschiedlichen technischen Angriffspunkten und schwachen Netzwerksituationen bestehen auch Gefahren im Social Engineering. Für Angreifer ist dieser Weg deutlich günstiger, als beispielsweise einen Hacker aus dem Dark Net zu beauftragen. Fokussiert sich die Attacke auf die Mitarbeiter als menschliche Schwachpunkte des Systems, hat man es nicht nur mit Phishing-Mails zu tun. Die Versuche, über das Personal an Informationen und schließlich in das System zu kommen, werden immer komplexer.

Beispielsweise kann über Portale wie Xing oder LinkedIn herausgefunden werden, wer welche Position im Unternehmen vertritt und wer im SAP-System hinter einem entsprechenden Admin steckt. Im nächsten Schritt wird das Profil der Person zum Beispiel auf Hobbys oder Beziehungen gescannt, die womöglich Hinweise über Passwörter verraten. Außerdem ist es möglich, über die offen einsehbaren Kontakte eine falsche Mailadresse einzurichten, die zunächst vertrauensvoll wirkt. Dieser Weg ist immer noch sehr beliebt, um Trojaner einzuführen.

Ausgangspunkte für Hackerangriffe müssen aber nicht immer böswilliger Natur sein. Manchmal ist auch ungeschicktes und naives Verhalten der Grund für eine Sicherheitsschwachstelle. Eine reale Anekdote handelt hier etwa von einem Unternehmen, das seine Tagespasswörter immer offen ins Büro hängte. Leider wurde das bei einer Pressekonferenz in den entsprechenden Räumlichkeiten nicht bedacht, sodass bei der Ausstrahlung im Fernsehen alle Passwörter im Hintergrund zu sehen waren. Was von außen nach einem guten Witz klingt, war für das betroffene Unternehmen eine absolute Katastrophe.

Sicherheitslücken aufdecken mit Pentests

Ganz gleich, wie schwer oder leicht Unternehmen es Hackern machen, die SAP-Systeme und die Cloud sind beliebte Angriffspunkte für interne und externe Attacken. Um dieser Gefahr entgegenzutreten und die Risiken vorzubeugen, müssen Unternehmen die IT-Security laufend prüfen, sichern und verbessern.

Eine Art, potenzielle Schwachstellen zu erkennen, liegt in der Durchführung eines Penetration Tests (Pentest). Hier werden die verschiedenen Angriffsarten simuliert, um mögliche Einfallstore rechtzeitig zu erkennen und zu patchen. Dabei werden die Werkzeuge eines Hackers genutzt und kontrollierte Angriffe gegen das jeweilige SAP-System durchgeführt. Anschließend kann man die Ergebnisse nutzen, um die SAP-Sicherheit zu stärken.

In unserem kostenlosen Webinar „Best Practices für Pentests im SAP-Umfeld“ informieren wir Sie über den Ablauf eines Pentests mit unseren SAP Security Experten. Dabei beachten wir sowohl technische Schwachstellen als auch Risiken durch das Mitarbeiterverhalten. Hier können Sie sich anmelden. Sollten Sie Fragen oder Beratungsbedarf haben, können Sie uns auch gerne eine Mail an info@rz10.de schreiben.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Jonas Krüger

Autor

Jonas Krüger

B.Sc. Angewandte Informatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice