SAP-Systeme sind der Lebensnerv von etwa 400.000 Unternehmen. Dabei nutzen etwa 23 von 25 Unternehmen des Forbes Global 2000 Index SAP-Systeme. 87 Prozent des weltweiten Handels werden in SAP-Systemen abgewickelt. 70 Prozent aller Unternehmensdaten werden weltweit innerhalb von SAP gespeichert und 77 Prozent der weltweiten Transaktionseinnahmen abgewickelt. Die geschäftskritische Natur dieser Systeme ist eindeutig und der Schutz stellt IT-Sicherheitsteams vor eine Herausforderung.

Vom digitalen Enterprise Ressource Planning (ERP) über die Personalverwaltung bis hin zu Vertrieb, Stakeholder Relationship Management (SRM) und Customer Relationship Management (CRM) – SAP-Systeme speichern wertvolle Daten. Diese zentralen Säulen für Geschäftsplanung, Produktlebenszyklusmanagement und Business Intelligence-Anwendungen enthalten sehr schützenswerte Daten, darunter geistiges Eigentum, Kundendaten, Mitarbeiterdaten, Finanzdaten und andere hochsensible Informationen. Und genau das macht sie zu einem bevorzugten Ziel für Bedrohungsakteure.

Ein Angreifer, der erfolgreich in SAP-Systeme eindringt, kann dem Unternehmen auf verschiedene Weise erheblichen Schaden zufügen. Ganz gleich, ob sie Firmengeheimnisse stehlen, Finanzbetrug begehen oder den Betrieb stören, betroffene Unternehmen sind ihnen dann ausgeliefert.

Status der SAP Enterprise Thread Detection

Es ist wenig überraschend, dass Bedrohungsakteure ihre Bemühungen, Schwachstellen in SAP zu finden und auszunutzen, verstärkt haben. In letzter Zeit haben sie SAP-eigene Protokolle ins Visier genommen, um dann Betriebssystembefehle mit den Rechten des SAP-Administrators auszuführen. Angreifer haben bereits Backdoor-Benutzer in der SAP J2EE User Management Engine erstellt, die dann verwendet werden, um Zugang zu SAP-Portalen und Prozessintegrationsplattformen zu erhalten.

Es ist von entscheidender Bedeutung, dass Unternehmen neue und sich weiterentwickelnde Bedrohungen wie diese wahrnehmen und aktiv bekämpfen. Dies ist jedoch nach wie vor eine Herausforderung für viele Organisationen. Bereits seit März 2015 hat SAP die Schutzbemühungen für seine Kunden erkannt und SAP Enterprise Threat Detection (ETD) veröffentlicht. Dabei handelt es sich im Wesentlichen um eine Plattform für das Sicherheitsinformations- und Ereignis-Management (SIEM), die in SAP selbst integriert ist und Kunden prinzipiell die Möglichkeit bietet, Angriffe auf ihre Anwendungen und Daten zu erkennen und darauf zu reagieren.

Wie viele andere SIEM-Lösungen nutzt ETD-Protokolldaten, um Einblicke in verdächtige Aktivitäten in SAP-Systemen zu erhalten. So kann Bedrohungen generell entgegengewirkt werden, bevor ein ernsthafter Schaden entsteht. Dank der jüngsten Aktualisierungen kann die Plattform nun kontextbezogene Daten wie die Rolle oder den Standort eines Systems, auf dem ein verdächtiger Angriff stattgefunden hat, nutzen, um die Analyse und Bewertung genauer und die Abhilfemaßnahmen effizienter zu machen.

In diesem Sinne erfüllt das anwendungsspezifische ETD SIEM von SAP einen guten Zweck. Allerdings birgt dieses isolierte Tool die Gefahr, die Sicherheitsteams ein falsches Gefühl der Sicherheit locken, denn aus der Verwendung von SAP ETD ergeben sich mehrere umfassendere Herausforderungen.
Entgegen der langläufigen Meinung sind SAP-Systeme keine Blackbox-Systeme. Sie sind miteinander verbunden und stehen in Verbindung mit Systemen von Lieferanten und Kunden, internen und externen Mitarbeitern, mobilen Geräten, dem technischen Support von SAP und verschiedenen anderen Netzwerken.

Der Kern des Problems liegt darin, dass die ETD-Plattform ausschließlich SAP-bezogene Sicherheitsinformationen überwachen kann. Mit anderen Worten, ETD ist nicht in der Lage, SAP-bezogene Sicherheitsereignisse mit anderen relevanten Informationen zu vergleichen, zu kontrastieren und zu korrelieren. Erschwerend kommt hinzu, dass viele der SAP-Einzelprodukte auch ihre eigene Sicherheitsnomenklatur und Regelwerke haben.

Von der ERP-Zentralkomponente über das Business Warehouse bis hin zum Human Capital Management sind die SAP-Systeme komplex, vielschichtig und auf die jeweiligen Einsatzzwecke zugeschnitten, was zu einem Mangel an Standardisierung oder universeller Datenstruktur führt. Während eine Anwendung sicherheitsrelevante Informationen auf eine bestimmte Weise erfasst, kann eine andere einen anderen ganz Ansatz verfolgen.

Letztlich machen es diese Realitäten den Sicherheitsteams schwer die von SAP ETD erfassten und aufgezeichneten Protokolle sinnvoll zu interpretieren. Sicherheitsteams haben oft nicht die Zeit, das Wissen oder die Ressourcen, um diese differenzierten Protokolle in Handlungen zu übersetzen. Aus diesem Grund ist die SAP-Sicherheit oft isoliert, was bedeutet, dass sie nicht in der Lage ist, wichtige kontextbezogene Sicherheitsinformationen aus der umgebenden IT-Infrastruktur zu nutzen.

Trennung von IT-Sicherheit und SAP-Systemen birgt Cyber-Risiken

Unternehmen, bei denen dies der Fall ist, haben in der Regel eine gespaltene Sicherheitsstrategie, die die Sicherheitsteams daran hindert, die Verteidigungsstrategie ihres Unternehmens aus einem ganzheitlichen Blickwinkel zu betrachten. Während die Sicherheitsteams auf der IT-Systemseite einen vollständigen Überblick haben, haben sie oft keinen guten Überblick darüber, was auf der SAP-Applikationsseite passiert.

Dies bringt mehrere Probleme und Bedrohungen mit sich. Da die Sicherheitsteams nicht sehen können, wie sich die Nutzer und SAP-Systemdatenströme im Kontext verhalten, können sie Probleme nicht erkennen und verhindern. Das Patchen von SAP kann dazu sehr zeitaufwendig sein. Es kann dazu führen, dass die Produktion gestoppt werden muss, was viele Unternehmen dazu veranlasst, dies trotz des erheblichen Sicherheitsrisikos zu vermeiden oder in die Länge zu ziehen.

Die Realität von Ineffizienzen, die sich aus der Isolation ergeben, ist auch eine zusätzliche Arbeitsbelastung für die zunehmend unter Druck stehenden Sicherheitsteams. Und der Mangel an Transparenz und Korrelation zwischen den Systemen bringt operative Herausforderungen mit sich. Denken Sie an einen Verkauf – wenn die Erteilung eines Auftrags nicht zwischen einem SAP-System und einem anderen kommuniziert wird, kann die gesamte Produktionskette eines Unternehmens von Engpässen, Verzögerungen, stornierten Aufträgen, Verlusten und Reputationsschäden betroffen sein. Die Probleme sind also klar und zahlreich und erstrecken sich über mehrere Bereiche.

Eine kürzlich durchgeführte Twitter-Umfrage ergab, dass vier von zehn Befragten der IT Security (40 Prozent) zugaben, dass ihr Unternehmen geschäftskritische Systeme wie SAP nicht in eine kombinierte Überwachung der Cyber-Sicherheit einbezieht, während ein weiteres Viertel (27 Prozent) sich nicht sicher war, ob das SAP-System überhaupt in die Überwachung der Cyber-Sicherheit einbezogen wurde.

Auf die Frage, wie sie SAP-Protokolle auf Cyber Security-Ereignisse oder Cyber-Bedrohungsaktivitäten überprüfen, gaben drei von zehn (30 Prozent) der Befragten an, dass sie SAP-Protokolle oder RALs (Read Access Loggings) in keiner Weise überprüfen, während weitere drei von zehn (30 Prozent) sagten, sie wüssten nicht, ob diese überwacht würden.

Absicherung von SAP mit Business Critical Security

Diese Statistiken sorgen bei Aufsichtsräten und Compliance Verantwortliche für höchste Beunruhigung. Wenn wichtige SAP-relevante Sicherheitsinformationen nicht in zentralisierte Sicherheitsüberwachungsstrategien einbezogen werden, sind die Unternehmen chancenlos beim Eintritt von Bedrohungen, Risiken und Angriffen auf geschäftskritische Anwendungen.

Die Überbrückung dieser Lücken und das Aufbrechen potenzieller Silos zur Integration von SAP-Systemen ist daher zwingend erforderlich. Durch die Korrelation von SAP-Daten mit den Daten der allgemeinen IT-Sicherheit wird es möglich, Ereignisse in der gesamten Unternehmenslandschaft zu überwachen und Angriffe zu erkennen. Aber wie genau kann es erreicht werden, ohne die Sicherheitsteams weiter zu belasten?

Hier kommt Business Critical Security (BCS) ins Spiel – eine Lösung, die geschäftskritische SAP-Anwendungen in die allgemeinen IT-Sicherheitsstrategien einbezieht und dafür sorgt, dass wichtige Softwareanwendungen zentral überwacht werden können. BCS ermöglicht es den Sicherheitsteams von Unternehmen mithilfe von Dashboards die MITRE Framework Pfade leicht zu verfolgen und sie erhalten kontextbezogene Einblicke, die im Sinne einer Single-Point-of-Truth Logik funktionieren. Dieser vollständige Überblick hilft den Sicherheitsteams nicht nur, sich besser in den Daten zurechtzufinden, sondern verbessert auch die Sicherheitsreaktionsprotokolle und unterscheidet potenzielle Risiken von kritischen Schwachstellen, die sonst gezielt ausgenutzt werden könnten.

BCS ist in der Lage, Änderungen an kritischen Geschäftsobjekten, den Zugang zu sensiblen Mitarbeiterinformationen, Benutzeranmeldungen und das Abfließen sensibler Daten kontinuierlich zu überwachen und kann Sicherheitsteams und auch Compliance Teams schnell und effektiv auf wichtige Vorfälle aufmerksam machen. Die Kombination mit einer übergreifend agierenden SOAR Engine verkürzt die Reaktionszeiten.

Wenn SAP eine Fülle von persönlichen und sensiblen Daten speichert, ist der Schutz dieser Daten vor Missbrauch unerlässlich, um die Compliance-Vorschriften und Datenschutzgesetze einzuhalten. Hier kann BCS sofort und automatisch Prüfpfade erstellen und so die Einhaltung von DSGVO, CCPA und anderen Datenschutzstandards erheblich erleichtern.

Im Hinblick auf SAP ist die vielleicht einzigartigste Lösung, die BCS anbietet, die Fähigkeit, die IT Security Silos zu überwinden und so sicherzustellen, dass alle relevanten Informationen automatisch in einer standardisierten Weise durch einfache Integration in einem SIEM übergreifend erfasst und bewertet werden können.

Wenn die Kombination der Silos erreicht ist, können Sicherheitsteams des SOC in die Lage versetzt werden, eine umfassende Security Orchestration, Automation und Response (SOAR) und User and Entity Behavioral Analytics (UEBA) anzuwenden, um so optimal aufgestellt zu sein.
Mit der Kombination dieser Technologien verfügt das SOC über automatisierte Funktionen zur Erkennung, Untersuchung und Reaktion auf Bedrohungen.

Dazu können genaue risikobasierte Analysen für SAP-Anwendungen bereitgestellt werden. Im Falle von UEBA können Basisparameter für normales Verhalten festgelegt werden, die auf jeden einzelnen Benutzer geschäftskritischer Anwendungen zugeschnitten sind, wobei verdächtige oder potenziell bösartige Aktionen automatisch gekennzeichnet werden. Ein Beispiel hierfür wäre die Kennzeichnung eines hoch privilegierten SAP-Kontos, das eine ungewöhnliche finanzielle Transaktion ausführt, obwohl diese sich geschickt innerhalb, der aus SAP-Systemsicht zulässiger Grenzen bewegt.

Durch die Überbrückung der Silos wird sichergestellt, dass alle Sicherheits-Tools und -experten an einem Strang ziehen und einen bestmöglichen Schutz bieten. Angesichts der zunehmenden Konzentration von Bedrohungsakteuren auf SAP-Systeme sollten Unternehmen versuchen, die Sichtbarkeit, Erkennung und Reaktionsmöglichkeiten für das SOC-Team aktiv zu schaffen, und potenzielle blinde Flecken in der Sicherheitskette beseitigen, nur so können moderne Bedrohungslagen wirksam abgewehrt werden.

Sven Bagemihl ist Regional Director für die Region CEMEA bei Logpoint.

Logpoint