Schwachstelle ERP-System

SAP wird von 92 Prozent der Forbes Global 2000-Unternehmen eingesetzt. Dazu gehören Unternehmen, die 78 Prozent der weltweit produzierten Lebensmittel und 82 Prozent der weltweit hergestellten medizinischen Geräte vertreiben. In den SAP-Systemen sind große Mengen personenbezogener Daten beispielsweise in den Modulen Enterprise Resource Planning, Human Capital Management, Sales, SRM und CRM sowie in weiteren Modulen hinterlegt. In vielerlei Hinsicht könnte man ein SAP-System als Träger des geistigen Eigentums und der Erfolgsgeheimnisse eines Unternehmens bezeichnen, die die Grundlage für die Bereitstellung seiner Produkte und Dienstleistungen bilden.

SAP ist auch ein unverzichtbares Werkzeug für die Unternehmensplanung, beispielsweise für die Fertigung in ERP, das Product Lifecycle Management, Business Intelligence, die Materialverwaltung und vieles mehr. Dies unterstreicht die Notwendigkeit, SAP-Systeme wirksam vor Cyberangriffen und Cyberkriminellen zu schützen. Und dies aus gutem Grund: In einem Blog werden die Kosten eines ERP-Ausfalls auf 380. 000 Euro pro Jahr und pro Unternehmen geschätzt. Auch wenn diese Pauschalisierung sicherlich zu kritisieren ist, ist es nicht von der Hand zu weisen, dass die Kosten für eine mangelnde Verfügbarkeit hoch sind und im Zweifel bei Großunternehmen noch deutlich höher ausfallen dürften.

Aufgrund der weltweit verbreiteten Nutzung von SAP und der sensiblen Daten, die es für Unternehmen aus unterschiedlichsten Branchen verwaltet, ist es ein attraktives Ziel für Cyberkriminelle. Eine Analyse der SAP-Bedrohungsvektoren und der damit verbundenen Bedrohungsakteure zeigt, dass ein erhebliches SAP-spezifisches Fachwissen vorhanden ist, das es Cyberkriminellen ermöglicht, SAP-Systeme auf sehr raffinierte Weise anzugreifen. Sie haben es auf die sogenannten Kronjuwelen großer Unternehmen abgesehen und können möglicherweise kritische Infrastrukturen stören.

Lesetipp: Ein CISO Berichtet - So geht Notfall-Management in der Praxis

Zum Schutz der Unternehmen, die SAP einsetzen, ist es wichtig, die Grundlagen der SAP-Sicherheit und ihre Schwachstellen zu verstehen und zu wissen, wie man einen ganzheitlichen 360-Grad-Ansatz für die Sicherheit anwendet, einschließlich eines modernen SAP SIEM.

Grundlagen der SAP-Sicherheit

SAP Security umfasst die Organisationen, Prozesse, Anwendungen, zugrunde liegende Systeme und IT/OT-Umgebung. Daher ist das Bewusstsein für die SAP-Sicherheit auf allen Ebenen und nicht nur der IT-Ebene von entscheidender Bedeutung, ebenso wie die Etablierung einer Security Governance. Diese trägt dazu bei, die Grundlage von Strategien, Richtlinien und Standards für SAP zu schaffen. Wenn es um SAP-Sicherheit geht, sind Datenschutz und Datensicherheit entscheidende Themen. Sie sind essenziell für den Schutz des geistigen Eigentums eines Unternehmens und die Erfüllung von Audit-Anforderungen sowie der gesetzlichen Vorschriften wie der DSGVO.

Und natürlich umfasst SAP Security Funktionen wie

• Benutzer- und Identitätsmanagement,

• Zugriffskontrolle und Berechtigungen,

• Codesicherheit,

• Netzwerksicherheit,

• Betriebssystem- und Datenbanksicherheit, sowie

• Endpunkt-/Client-Sicherheit.

Ein weiteres Element, das bei der Erörterung der SAP-Sicherheit berücksichtigt werden muss, sind Themen wie die Härtung von SAP-Systemen.

Um SAP-Systeme richtig zu schützen, ist ein ganzheitlicher Ansatz erforderlich. Das bedeutet, dass zunächst eine SAP Security-Governance-Strategie zu bewerten und zu etablieren ist, die die Erstellung von Richtlinien und das Risikomanagement umfasst. Darüber hinaus müssen Richtlinien und Konzepte zur Aufgabentrennung sowie deren Einhaltung anhand von Reporting in Echtzeit überwacht werden. Schließlich ist die Überwachung des Zugriffs auf wichtige Daten wie das geistige Eigentum eines Unternehmens oder der Zugriff auf personenbezogene Daten entscheidend.

SAP selbst stellt die gängigsten SAP-Sicherheitstools zur Verfügung. SAP Solution Manager und SAP Governance Risk and Compliance (SAP GRC). Größere SAP-Umgebungen werden in der Regel mit dem SAP Focused Run verwaltet. SAP hat zudem SAP Enterprise Threat Detection veröffentlicht, das als SAP SIEM also SAP Security Information und Event Management beworben wird, um die Anforderung zu erfüllen, SAP-Sicherheitsereignisse und -aktivitäten nahezu in Echtzeit zu überwachen.

SAP-Sicherheit ist ungleich Cybersicherheit

In der Vergangenheit basierte die SAP-Sicherheit auf den von SAP selbst bereitgestellten Tools. Das ist darauf zurückzuführen, dass sich die SAP-Security hauptsächlich auf das Identitätsmanagement, die Zugriffskontrolle und die von der SAP-Abteilung verwalteten Berechtigungen konzentriert. Die SAP-Abteilung ist oft ein Teil der Finanzorganisation oder der Abteilung für den IT-Betrieb. SAP-Sicherheit ist nur selten ein gemeinsames Projekt mit dem Cybersicherheits-Team, das die IT- und Informationssicherheit in der gesamten Unternehmensinfrastruktur verwaltet.

Unternehmen versäumen es oft, die Kräfte dieser beiden Schlüsselabteilungen zu bündeln, um ihre wertvollsten und anfälligsten Assets zu schützen. Während es den Cybersecurity-Abteilungen an Wissen über SAP-Sicherheit mangelt, hapert es in SAP-Abteilungen oft an grundlegendem Wissen über Cybersecurity. Dies wird zusätzlich dadurch verstärkt, dass die meisten SAP-Anwender sich weiterhin auf einfache SAP-Sicherheitstools verlassen und nicht einmal die SAP Enterprise Threat Detection einsetzen. SAP Enterprise Threat Detection unterstützt die dringend benötigte Überwachung von SAP-Systemen in Bezug auf Compliance, Systemeinstellungen und Systemaktivitäten nahezu in Echtzeit. Dennoch vergrößert es nur die Kluft zwischen SAP-Sicherheit und Cybersicherheit als Ganzes.

Die Cybersicherheitslücke

Ein SIEM, wie es von vielen Cybersicherheits-Teams eingesetzt wird, ist ein Monitoring-System, in dem alle Arten von sicherheitsrelevanten Informationen in Echtzeit gesammelt und analysiert werden. Es sammelt Daten von allen Arten von Netzwerkgeräten, Identitäts- und Zugriffsverwaltungssystemen, Endpunkten, Servern und Datenbanken, IT-Infrastrukturen, Betriebssystemen und Anwendungen.Es ist darauf ausgelegt, Millionen von Ereignissen pro Tag zu empfangen und zu analysieren und Bedrohungen auf der Grundlage vordefinierter Regeln und Anomalien im Benutzerverhalten zu erkennen.

Im Gegensatz dazu konzentriert sich SAP Enterprise Threat Detection ausschließlich auf die Überwachung von SAP-Sicherheitsinformationen. Es unterstützt nicht die Korrelation von SAP-Daten und -Ereignissen mit den vom SIEM im Cybersicherheits-Team gesammelten Daten. Das isoliert die SAP-Sicherheit auf einer "eigenen Insel" und schafft eine Lücke zwischen der SAP-Sicherheit und der Cybersicherheit, ohne die entscheidenden, kontextbezogenen Sicherheitsinformationen aus der umgebenden IT-Infrastruktur und ohne die Kompetenzen des Cybersicherheitsteams zu nutzen.

Die siloartige Struktur der Sicherheitsinformationen ist ein erhebliches Hindernis für einen ganzheitlichen, 360-Grad-Ansatz bei der Sicherheit. Die Lücke verlangsamt die Erkennung und Reaktion auf Cybersecurity-Vorfälle und kann SAP-Systeme anfällig machen für Cyberkriminelle, die diese Lücke ausnutzen könnten. Um sie zu schließen und eine ganzheitliche Sicht auf die Sicherheit zu unterstützen, sind SAP SIEM-Lösungen mit wesentlich umfangreicheren Funktionen erforderlich als es bisherige Lösungen verfügen.

Darüber hinaus ist eine Kombination von SAP-Sicherheitsinformationen mit den kontextbezogenen Sicherheitsinformationen aus der umgebenden IT-Infrastruktur wichtig, die dann im SIEM gespeichert werden. SAP-Sicherheitsdaten werden mit diesen Daten und den Kompetenzen des Cybersicherheits-Teams kombiniert, um die Lücke zu schließen und die Erkennung und Reaktion auf Vorfälle zu verbessern und zu beschleunigen. Sie ermöglicht es SAP-Sicherheitsteams, Analysen in SIEM-Plattformen zu nutzen, einschließlich verhaltensbasierter Erkennungsmethoden, die den standardmäßigen regelbasierten Ansatz (bekannte Bedrohungen) durch die Fähigkeit ergänzen, bislang unbekannte Bedrohungen und unbekanntes, aber verdächtiges Verhalten zu erkennen. Ein Beispiel für ein solches Szenario ist das Detektieren eines hochprivilegierten SAP-Kontos, das eine ungewöhnliche Finanztransaktion innerhalb der zulässigen Grenzen als Ergebnis eines Phishing-Angriffs ausführt.

Ein SIEM-Analyst im Cybersicherheitsteam kann mit SAP-Sicherheitsinformationen arbeiten. Ein SAP SIEM mit erhöhtem Funktionsumfang unterstützt die Zuordnung identifizierter Bedrohungen mit Standards wie dem MITRE ATT&CK-Framework und hilft dem Analysten, den Angriff zu verstehen und dann mit entsprechenden Gegenmaßnahmen zu beheben. Ein modernes SAP SIEM bietet zudem die Werkzeuge in Form von vordefinierten Playbooks und Workflows, welche Reaktionsprozesse formalisieren, um unmittelbare Reaktion auf Vorfälle zu ermöglichen und sogar deren Behebung zu automatisieren.

Das bedeutet, dass neue Fähigkeiten erforderlich sein werden, die das Fachwissen über SAP-Sicherheit und Cybersicherheit kombinieren. Die Integration von SAP in ein SIEM ist jedoch der einzige Ort, an dem SAP-Sicherheit und Cybersicherheit zusammenkommen können, um eine ganzheitliche Sicht und mehr Effizienz in der Cybersicherheit zu schaffen. Obwohl fortschrittliche Analysen, MITRE ATT&CK Mapping und Automatisierung bei der Entdeckung von Sicherheitsvorfällen und Systemausfällen helfen werden, besteht kein Zweifel, dass die Fähigkeiten von Fachkräften in beiden Bereichen, SAP-Sicherheit und Cybersecurity, in Zukunft auf dem Markt noch mehr als jetzt gefragt sein werden. (bw)