FAQ
Angesichts der zunehmenden Digitalisierung und der damit verbundenen Abhängigkeit von komplexen IT-Systemen ist es für Unternehmen und Organisationen heute unerlässlich, ein fundiertes Bewusstsein für die damit verbundenen Sicherheitsrisiken und die erforderlichen Abwehrmaßnahmen zu entwickeln. Unser Ziel ist es, Ihnen ein tiefgehendes Verständnis dieser Thematiken zu vermitteln und praxisnahe Lösungsansätze aufzuzeigen, um die Integrität und Sicherheit Ihrer digitalen Infrastruktur zu gewährleisten.
Was ist eine typische SAP®-Installation?
Eine typische SAP®-Installation, wie ein Application Server ABAP (AS ABAP) oder SAP® S/4 HANA-System, umfasst etwa 150 Millionen Zeilen Programmcode und nutzt die proprietäre Programmiersprache ABAP. Diese Systeme sind oft das Rückgrat großer Unternehmen und unterstützen eine Vielzahl von Geschäftsprozessen wie Finanzbuchhaltung, Vertrieb, Materialwirtschaft und Personalwesen. Die Komplexität und der Umfang dieser Systeme machen ihre Sicherheit zu einer kritischen Herausforderung.
Welche weiteren Lösungen bietet SAP® neben ABAP-Systemen?
SAP® bietet eine Vielzahl weiterer Lösungen an, darunter SAP® Router, SAP® Cloud Connector, SAP® Web Dispatcher, SAP® GUI, verschiedene Cloud-Produkte und Lösungen basierend auf dem Application Server Java (AS Java). Diese Produkte erweitern die Funktionalität der Kern-ERP-Systeme und ermöglichen eine bessere Integration, Flexibilität und Skalierbarkeit der IT-Infrastruktur. Sie unterstützen Unternehmen dabei, moderne Geschäftsanforderungen zu erfüllen und gleichzeitig die Betriebskosten zu optimieren.
Warum sind SAP®-Systeme ein Ziel für kriminelle Bedrohungsakteure?
SAP®-Systeme speichern wichtige Geschäftsdaten, darunter Finanzinformationen, Kunden- und Lieferantendaten sowie Produktionsinformationen. Diese Daten sind für kriminelle Bedrohungsakteure äußerst wertvoll, da sie für wirtschaftliche Spionage, Erpressung oder betrügerische Aktivitäten genutzt werden können. Die Kompromittierung eines SAP®-Systems kann schwerwiegende finanzielle und reputative Schäden für ein Unternehmen verursachen.
Welche Sicherheitsbedenken gibt es bei den Schnittstellen von SAP®-Systemen?
Die Vielzahl von Schnittstellen zu Kunden, Lieferanten und Partnerunternehmen erhöht die Angriffsfläche von SAP®-Systemen erheblich. SAP®-Produkte tauschen Daten über das proprietäre RFC-Protokoll aus, wobei vorkonfigurierte Netzwerkverbindungen oft sehr hohe Berechtigungen haben. Unzureichend gesicherte Schnittstellen können Angreifern ermöglichen, auf vertrauliche Daten zuzugreifen oder schädliche Aktionen innerhalb des Systems durchzuführen. Es ist daher wichtig, alle Schnittstellen regelmäßig zu überprüfen und abzusichern.
Was sind die Bedrohungen durch mit dem Internet verbundene SAP®-Systeme?
AS ABAP-Systeme verfügen über integrierte Webserver, die eine Anmeldung über ein Web-Interface ermöglichen. Dies stellt ein Risiko dar, da Angreifer versuchen könnten, durch Brute-Force-Attacken Benutzerkonten zu kompromittieren oder durch Denial-of-Service-Angriffe die Verfügbarkeit des Systems zu beeinträchtigen. Darüber hinaus können Schwachstellen in den Webkomponenten des Systems ausgenutzt werden, um unautorisierten Zugriff zu erlangen oder schädlichen Code einzuschleusen.
Wie können ältere SAP®-Installationen anfällig für Angriffe sein?
Ältere Installationen von SAP®-Systemen haben oft ungesicherte Gateways und veraltete Sicherheitskonfigurationen, die Angreifern eine einfache Möglichkeit bieten, das System zu kompromittieren. Durch einen einfachen Portscan können Angreifer herausfinden, welche Dienste auf dem System laufen und potenzielle Schwachstellen ausnutzen. Es ist daher essenziell, regelmäßige Sicherheitsupdates und -patches durchzuführen sowie Sicherheitsüberprüfungen zu implementieren.
Welche internen Bedrohungen bestehen für SAP®-Systeme?
AS ABAP-Systeme haben hoch privilegierte Standardbenutzerkonten, deren Zugangsdaten oft im Internet zu finden sind. Diese Konten werden häufig nicht ausreichend gesichert oder deren Passwörter nicht regelmäßig geändert, was das Risiko eines internen Angriffs erhöht. Mitarbeiter könnten unbefugt auf diese Konten zugreifen und kritische Daten manipulieren oder exfiltrieren. Ein effektives Identity- und Access-Management sowie regelmäßige Schulungen der Mitarbeiter sind daher unerlässlich.
Wie können externe Entwickler eine Gefahr für SAP®-Systeme darstellen?
Die Programmiersprache ABAP bietet umfassenden Zugriff auf alle Daten und Funktionen eines SAP®-Systems. Externe Entwickler, die für die Anpassung und Erweiterung des Systems verantwortlich sind, könnten durch Unwissenheit oder Vorsatz schadhaften Code einbringen. Dies könnte zu Datenverlust, Systemausfällen oder anderen sicherheitsrelevanten Vorfällen führen. Strenge Entwicklungsrichtlinien, Code-Reviews und Sicherheitsüberprüfungen sind notwendig, um solche Risiken zu minimieren.
Welche Risiken bestehen durch Hosting- und Cloud-Anbieter?
Externe Dienstleister, die den Betrieb von SAP®-Systemen übernehmen, können umfassenden Zugriff auf die Systeme erlangen. Dies birgt das Risiko, dass diese Anbieter schadhafte ABAP-Programme einspielen oder unautorisierten Zugriff auf sensible Daten haben. Eine sorgfältige Auswahl der Anbieter, vertragliche Sicherheitsvereinbarungen und regelmäßige Sicherheitsaudits sind entscheidend, um das Vertrauen und die Sicherheit der ausgelagerten SAP®-Systeme zu gewährleisten.
Welche zusätzlichen Sicherheitsmaßnahmen sind bei SAP®-Schnittstellen erforderlich?
SAP®-Systeme verfügen oft über Schnittstellen zu Partnern, Kunden und Zulieferern, die über das RFC-Protokoll Daten austauschen. Designfehler im RFC-Protokoll können ausgenutzt werden, um unautorisierten Zugriff zu erhalten oder Daten zu manipulieren. Es sind daher zusätzliche Sicherheitsmaßnahmen wie Verschlüsselung, Authentifizierung und regelmäßige Sicherheitsüberprüfungen erforderlich, um diese Schnittstellen zu schützen und den Missbrauch zu verhindern.
