Wie Sie auf Sicherheitsvorfälle im SAP-System reagieren

Autor: Robin Wenzel | 1. Oktober 2020

1 | #sap etd, #Security Audit Log

Nach der Entdeckung eines Angriffs oder sogar Einbruchs in das SAP-System, stehe ich häufig vor der Frage: "Wie weit kann ich meinem System eigentlich noch vertrauen?". Häufig kann ich nicht nachvollziehen welche Daten manipuliert wurden oder welche Hintertüren sich der Angreifen geöffnet hat um erneut ins System zu gelangen. In diesem Artikel zeige ich Ihnen Maßnahmen, die Sie sofort ergreifen können, um sich vor diesem Szenario zu schützen.

Das Problem

Die meisten Sicherheitsvorfälle im SAP-System werden erst sehr spät und dann nur durch Zufall aufgedeckt. Der Angreifer hatte bis dahin bereits viel Zeit, um Schaden im System anzurichten. In der Presse steht dann häufig: “Der Ursprung des Angriffs reicht mindestens X Monate in die Vergangenheit”, in Kombination mit: “[…] es wurden mindestens X Millionen Kundendatensätze gestohlen”. Im Klartext bedeutet das: Wir wissen nicht, wie schlimm das Ausmaß ist, können es auch nicht nachvollziehen, aber der Schaden ist immens. Auch im SAP-System sind solche Vorfälle keine Seltenheit, selbst wenn die Berechtigungen aufgeräumt sind.

Ursache

Viele Unternehmen haben die Logs, die ihnen nicht nur das Nachvollziehen des Ausmaßes eines Angriffs dokumentieren, sondern auch dessen Entdeckung ermöglichen hätten, nicht konfiguriert. Falls sie konfiguriert sind, werden sie zumindest nicht systematisch ausgewertet. Häufig auch, weil sie kein passendes Werkzeug zur Hand haben, mit dem sich die enorme Datenmenge effizient verarbeiten lässt.

Luca Cremer
Sicherheitsanalyse Ihres SAP Systems
Fachbereichsleiter Luca Cremer
Überprüfen Sie mit unserem SAP Security Check in nur einem Tag mit uns den Sicherheitsstand Ihres SAP Systems.

Standardisierter SAP Security Check

Sie erreichen mich per Telefon 0211.9462 8572-25 oder per E-Mail cremer@rz10.de.

Empfehlung bei Sicherheitsvorfällen

Konfigurieren Sie das Security Audit Log selbst. Auch, wenn Sie aktuell keine Zeit und kein Budget für dessen Auswertung haben. Dadurch haben Sie jedoch eine Informationsgrundlage, um auch bei zufällig entdeckten Angriffen eine forensische Analyse des Vorfalls durchführen zu können. Ganz nebenbei beugen Sie damit der Situation vor Ihrem Geschäftsführer beichten zu müssen, dass Sie nicht genau nachvollziehen können, seit wann sich der Angreifer im System befindet. Und Sie zusätzlich nicht wissen, wie groß der Schaden ist, aber vom Schlimmsten auszugehen ist.

Mit dem Wissen, dass Sie für den Ernstfall wenigstens eine Datengrundlage für die Kalkulation des entstandenen Schadens besitzen, sollten Sie langfristig über ein Tool zur automatischen Analyse der Log-Daten auf Angriffsmuster nachdenken. Damit können Sicherheitsvorfälle bereits in den Grundzügen zuverlässig erkannt werden. Zufallsfunde werden damit obsolet. Eine mögliche Lösung ist unsere Einbruchserkennung.

Kurzfristige Lösung

Wir helfen Ihnen im Falle eines erkannten Angriffs auf Ihr SAP-System sofort und unkompliziert. Kurzfristig unterstützen unsere erfahrenen Experten Sie vor Ort oder remote. Wir helfen bei der Analyse des Vorfalls, um die Tragweite für das SAP-System festzustellen und Sofortmaßnahmen zu definieren, die eine schnellstmögliche Rückkehr zum ordnungsgemäßen Betrieb gewährleisten. Optional helfen wir bei der Ergreifung langfristiger Maßnahmen zur Reaktion auf IT-Sicherheitsvorfälle und deren Prävention. Wenn Sie noch Fragen haben, schreiben Sie uns gerne eine Mail an info@rz10.de


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Robin Wenzel

Autor

Robin Wenzel

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support