Wie Sie auf Sicherheitsvorfälle im SAP-System reagieren
Autor: Robin Wenzel | 1. Oktober 2020
Nach der Entdeckung eines Angriffs oder sogar Einbruchs in das SAP-System, stehe ich häufig vor der Frage: "Wie weit kann ich meinem System eigentlich noch vertrauen?". Häufig kann ich nicht nachvollziehen welche Daten manipuliert wurden oder welche Hintertüren sich der Angreifen geöffnet hat um erneut ins System zu gelangen. Diese Maßnahmen können Sie sofort ergreifen, um sich vor diesem Szenario zu schützen.
Das Problem
Die meisten Sicherheitsvorfälle im SAP-System werden erst sehr spät und dann nur durch Zufall aufgedeckt. Der Angreifer hatte bis dahin bereits viel Zeit, um Schaden im System anzurichten. In der Presse steht dann häufig: „Der Ursprung des Angriffs reicht mindestens X Monate in die Vergangenheit“, in Kombination mit: „[…] es wurden mindestens X Millionen Kundendatensätze gestohlen“. Im Klartext bedeutet das: Wir wissen nicht, wie schlimm das Ausmaß ist, können es auch nicht nachvollziehen, aber der Schaden ist immens. Auch im SAP-System sind solche Vorfälle keine Seltenheit, selbst wenn die Berechtigungen aufgeräumt sind.
Ursache
Viele Unternehmen haben die Logs, die ihnen nicht nur das Nachvollziehen des Ausmaßes eines Angriffs dokumentieren, sondern auch dessen Entdeckung ermöglichen hätten, nicht konfiguriert. Falls sie konfiguriert sind, werden sie zumindest nicht systematisch ausgewertet. Häufig auch, weil sie kein passendes Werkzeug zur Hand haben, mit dem sich die enorme Datenmenge effizient verarbeiten lässt.
Überprüfen Sie mit unserem SAP Security Check in nur einem Tag mit uns den Sicherheitsstand Ihres SAP Systems.
Standardisierter SAP Security Check
Sie erreichen mich per Telefon 0211.9462 8572-25 oder per E-Mail cremer@rz10.de.
Empfehlung bei Sicherheitsvorfällen
Konfigurieren Sie das Security Audit Log selbst. Auch, wenn Sie aktuell keine Zeit und kein Budget für dessen Auswertung haben. Dadurch haben Sie jedoch eine Informationsgrundlage, um auch bei zufällig entdeckten Angriffen eine forensische Analyse des Vorfalls durchführen zu können. Ganz nebenbei beugen Sie damit der Situation vor Ihrem Geschäftsführer beichten zu müssen, dass Sie nicht genau nachvollziehen können, seit wann sich der Angreifer im System befindet. Und Sie zusätzlich nicht wissen, wie groß der Schaden ist, aber vom Schlimmsten auszugehen ist.
Mit dem Wissen, dass Sie für den Ernstfall wenigstens eine Datengrundlage für die Kalkulation des entstandenen Schadens besitzen, sollten Sie langfristig über ein Tool zur automatischen Analyse der Log-Daten auf Angriffsmuster nachdenken. Damit können Sicherheitsvorfälle bereits in den Grundzügen zuverlässig erkannt werden. Zufallsfunde werden damit obsolet. Eine mögliche Lösung ist unsere Einbruchserkennung.
Kurzfristige Lösung
Wir helfen Ihnen im Falle eines erkannten Angriffs auf Ihr SAP-System sofort und unkompliziert. Kurzfristig unterstützen unsere erfahrenen Experten Sie vor Ort oder remote. Wir helfen bei der Analyse des Vorfalls, um die Tragweite für das SAP-System festzustellen und Sofortmaßnahmen zu definieren, die eine schnellstmögliche Rückkehr zum ordnungsgemäßen Betrieb gewährleisten. Optional helfen wir bei der Ergreifung langfristiger Maßnahmen zur Reaktion auf IT-Sicherheitsvorfälle und deren Prävention. Wenn Sie noch Fragen haben, schreiben Sie uns gerne eine Mail an info@rz10.de