SAP-Sicherheit: 5 Schritte, um ganz sicher Opfer eines Hackerangriffs zu werden
(Eine nicht ganz ernst gemeinte Handlungsanweisung.)
Seien wir doch mal ehrlich: IT-Sicherheit ist gerade ein ziemlicher Medienhype. Aber ist da wirklich was dran? Schlagzeilen, die von Millionen verlorener Datensätze sprechen, betreffen doch immer die anderen – ob nun Equifax im fernen Amerika oder chinesische Hacker, die sich organisiert in große Technologie-Firmen hacken. Alles Panikmache.
Hackerangriffe: Keine Gefahr für Ihre SAP-Sicherheit – oder doch?
Natürlich gibt es einzelne Hacker. Das sind aber doch meistens Kids, die nichts mit ihrer Zeit anfangen können. Auf SAP-Systeme sind die gar nicht aus, denen geht es doch nur um den Spaß. Maßnahmen, um SAP-Systeme zu schützen, kosten dagegen nur unnötig Aufwand und Nerven und bringt im Endeffekt gar nichts. Aber machen Sie sich selbst ein Bild:
1. SAP Gateway absichern
Gateway absichern? Warum? Natürlich kann theoretisch und unter bestimmten Voraussetzungen jeder in die SAP-Systeme eindringen, und das sogar ohne Passwort und Username. Aber die Wahrscheinlichkeit ist doch ziemlich gering. Externe Berater sind im SAP-Umfeld ja sowieso selten. Und auf die eigenen Mitarbeiter ist doch Verlass. Insider-Angriffe – noch so ein unbewiesener Hype. Was soll denn bitte passieren? Wenn das Produktionssystem stillsteht und alle Geschäftsprozesse manuell erledigt werden müssten, wie es vor 50 Jahren der Fall war – was soll‘s? Damals hat es schließlich auch funktioniert.
2. SAP-Systeme und Applikationen absichern
Die Hersteller werden sich schon etwas dabei gedacht haben, als sie die Systeme programmiert haben. Egal ob Betriebssystem, Netzwerk oder Datenbank – natürlich ist Verlass darauf, dass in zig Millionen Zeilen Code garantiert kein Fehler steckt. Die eigenen Entwickler sind selbstverständlich über jeden Verdacht erhaben – die wissen, wie man korrekt und sicher programmiert. Die Administratoren, die ja sowieso nur kaputte Drucker reparieren müssen, haben sogar einen noch einfacheren Job. Wozu gibt es Handbücher und Wizards, die bei den Einstellungen helfen? Da kann man nicht viel falsch machen, eine extra Absicherung bindet nur Ressourcen, bringt aber nichts.
3. SAP-Berechtigungen korrekt setzen
Nicht nur, dass Medien und Fachleute auf dem Thema Sicherheit herumreiten. Compliance ist noch so ein Modewort ohne Substanz. Was ist schon dabei, wenn ein Sachbearbeiter einen Lieferanten anlegen und gleichzeitig Rechnungen überweisen kann – und das ohne Limitprüfung. Im Gegenteil spart es ja eine Menge Aufwand, gleich allen Mitarbeitern volle Berechtigungen zu geben. Wer kann denn schon mit SAP_ALL ein SAP-System komplett lahmlegen? Doch nur echte Experten. Und ein Angriffsziel sind ihre Systeme nicht – wer will schon die sensiblen Daten eines kleinen Mitteständers abgreifen? Böse Insider, die bei einem Jobwechsel Daten klauen? Alles Verschwörungstheorien! Wobei man sich schon wundern könnte, wie der direkte Konkurrent so schnell auf die Preisänderungen reagiert – und das fast zeitgleich mit dem Wechsel des ehemaligen Vertriebschefs zu ebendiesem Konkurrenten…
4. Echtzeitüberwachung etablieren
Natürlich nutzen moderne Unternehmen ein e-Recruiting Portal, welches täglich von tausenden Nutzern besucht wird. Und ja, das Portal hat eine direkte Verbindung zum SAP-System, in dem die wichtigsten Daten liegen. Aber Bots, die automatisiert gängige Schwachstellen durchsuchen oder Nutzer und Passwörter im Millisekunden-Takt durchprobieren? Das erscheint doch arg unwahrscheinlich. Warum also Geld in ein SIEM-System investieren, das nur unglaublich viele Daten erzeugt, durch die sich niemand auch nur annähernd durchwühlen kann. Filter, Korrelationen von ungewöhnlichen Aktivitäten, Hinweise auf gezielte Angriffe – alles Buzzwords, die von den Herstellern in die Welt gesetzt werden, um Panik zu schüren. Und dann muss jemand auch noch ständig in Alarmbereitschaft sein. Für den unwahrscheinlichen Fall, dass ein Angreifer die IT-Infrastruktur mal überwindet, muss er dann zusätzlich noch eine Sicherheitslücke im SAP-System oder anderen Applikationen finden. Das fällt den Administratoren sicherlich sofort auf. Die wiederum haben ja genügend Zeit, und ein kaputter Drucker kann auch mal ein paar Minuten warten.
5. Sicherheitsupdates installieren
Vielleicht sind nicht alle Softwarehersteller unfehlbar, aber wenn mal eine Sicherheitslücke auftritt – lassen Sie sich Zeit mit dem Einspielen des Fixes. So schnell ist kein Hacker, dass er zwei Wochen nach Veröffentlichung des Patches schon ein Werkzeug zur Ausnutzung bereit hielte. Für SAP-Systeme gilt das doppelt – schließlich wird auch der bösartigste Hacker dafür Verständnis zeigen, dass Ihr SAP-System Ihre Produktion steuert und sie es deswegen nicht einfach mal eben durchstarten können. Außerdem kosten die vielen manuellen Tätigkeiten beim Einspielen der Patches richtig viel Zeit – und Zeit ist Geld. Dagegen ist die Gefahr, bei stillstehender Produktion nur ein paar Millionen zu verlieren, ein akzeptables Risiko.
SAP-Systeme vollumfänglich absichern und so vor Hackerangriffen schützen
Die fünf Argumente waren nicht sehr überzeugend? Sehr gut, denn wie sicher klar geworden ist, sollten sie das auch nicht. Ganz im Gegenteil: In Zeiten, in denen fast wöchentlich ein neuer Hackangriff oder Datenverlust öffentlich wird, spielt IT-Sicherheit eine immer wichtigere Rolle. Die oben genannten Punkte spiegeln dabei nur einige der Themen wider, auf die jeder IT-Verantwortliche gesteigerten Wert legen sollten. Gerade SAP-Systeme müssen umfänglich abgesichert werden, denn dort lagern bei den meisten Firmen die wichtigsten und sensibelsten Daten.
Link zu unseren Webinaren: https://sast-solutions.de/events-webinare.html