skip to Main Content

SAP-SicherheitWenn Sie SAP in Ihrem Unternehmen einsetzen, werden Sie von einer sorgfältigen Betrachtung der SAP-Sicherheit und Compliance profitieren. Die aktuelle Bedrohungslandschaft der Cybersicherheit erfordert dies. SAP ist das Herzstück eines Unternehmens. Die am besten geführten Unternehmen nutzen SAP, wodurch das ERP-System heutzutage eines der beliebtesten Angriffsziele für erfahrene Cyber-Angreifer ist.

Häufige SAP-Sicherheitsrisiken

SAP-Sicherheitsmaßnahmen umfassen das gesamte Spektrum an Geschäftsprozessen, Benutzeridentitäten, Rollen und Berechtigungen, Systemen, Daten und der zugrunde liegenden Infrastruktur. All diese Elemente bergen ein Risiko für SAP. Sie alle erfordern Risikominderungsstrategien und Gegenmaßnahmen.

Risikolage – Rollen und Zugriffssteuerung

Wer kann auf SAP zugreifen? Auf welche Funktionen kann jeder dieser Benutzer zugreifen? Dies sind die grundlegenden Fragen in Bezug auf die SAP-Zugriffssteuerung. Ein sinnvolles Maß an SAP-Sicherheit lässt sich nur gewährleisten, wenn diese Fragen verbindlich und präzise beantwortet werden können. Ein bewährtes Verfahren besteht darin, den Benutzerzugriff regelmäßig zu überprüfen. Prüfer sollten rollenbasierte Zugriffsregeln sowie Transaktionen (T-Codes) und Berechtigungsobjektebenen bewerten.

Der Benutzerzugriff spielt auch eine wichtige Rolle in der Funktionstrennung (SoD), eine wichtige Kontrollmaßnahme, die für die Einhaltung des Sarbanes-Oxley Act erforderlich ist. Funktionstrennung bedeutet, Zugriffs- und SAP-Systemprivilegien so aufzuteilen, dass keine Einzelperson alle Schritte einer Finanztransaktion ausführen kann, z. B. einen Scheck für eine Rechnung ausstellen. Ohne Funktionstrennung könnte ein SAP-Benutzer einen Betrug begehen. Zwar ist SoD keine inhärente Cybersicherheitsvoraussetzung, aber SoD hängt von der Zugriffssteuerung ab, die für die Sicherheit notwendig sind.

Benutzerrollen und Zugriffssteuerung betreffen Dritte wie Anbieter, Geschäftspartner und Auftragnehmer. In der vernetzten, digitalen Welt von heute ist es oft unerlässlich, externen Mitarbeitern das eigene SAP-System zur Interaktion bzw. Integration zur Verfügung zu stellen. Die Praxis bringt jedoch die entsprechenden Sicherheitsrisiken mit sich. Zum Beispiel kann man unmöglich wissen, ob externe Benutzer die unsichere Gewohnheit haben, Passwörter zu teilen. Außerdem können Sie nicht wissen, ob ein Mitarbeiter eines Dritten seine Firma verlassen hat. Natürlich soll diese Person keinen Zugriff auf Ihre SAP-Daten haben.

Die temporäre FireFighter-Benutzer-ID ist eine weitere potenzielle Angriffsfläche, die mit starken SAP-Sicherheitsrichtlinien geschützt werden muss. Da sie im Falle eines Problems erhöhte Zugriffsrechte gewährt, ist sie eine mächtige Waffe für einen böswilligen Akteur. Eine gute Vorgehensweise ist es, die Anzahl der Benutzer zu begrenzen, die die Vorteile von FireFighter nutzen können. Alternativ kann es sinnvoll sein, die FireFighter-Nutzung nach Bereichen zu unterteilen. Sie könnten z. B. eine FireFighter-ID für den Zugriff auf die Datenbank und eine andere für den Zugriff auf die Anwendung haben.

Systemische SAP-Sicherheitsprobleme

Die SAP-Anwendung, -Daten und -Infrastruktur bergen Sicherheitsrisiken für Unternehmen. Sie können zum Beispiel eine Frist für die Eröffnung und den Abschluss von Finanztransaktionsaufzeichnungen anwenden. Aber selbst bei einer solch einfachen Kontrollmaßnahme können Risiken entstehen. Wenn sich Geschäftsprozesse oder Workflows ändern, können Kontrollmaßnahmen Vorgänge beeinträchtigen oder die Qualität der erstellten Daten mindern, z. B. wenn eine Transaktion in zwei getrennten Buchungsperioden auftaucht. Dies ist kein Sicherheitsproblem wie die Anfälligkeit für einen Cyberangriff, aber Sicherheit bedeutet auch, dass dem Unternehmen Daten mit einer hohen Datensicherheit zur Verfügung gestellt werden. Fehler bei Kontrollmaßnahmen können diesen InfoSec-Grundsatz beeinträchtigen.

Alternativ können Anwendungskontrollen Eingänge in das Back-End von SAP öffnen, wodurch das System Bedrohungen ausgesetzt wird. Benutzerdefinierte Objekte wie Formulare und Benutzeroberflächen können unvorhergesehene „Hintertüren“ für böswillige Akteure schaffen. Es empfiehlt sich, alle vorgeschlagenen Anpassungen genau zu prüfen, um festzustellen, ob Dritte oder nicht autorisierte Benutzer (einschließlich Maschinen) auf Daten zugreifen und Prozeduraufrufe in der SAP-Umgebung auslösen können.

Die grundlegende Hardware und das Netzwerk selbst können die Sicherheitslage einer SAP-Instanz beeinflussen. Hier können hochentwickelte und dauerhafte Bedrohungen große Auswirkungen auf Organisationen haben, die SAP ausführen. Zu den Bedrohungen gehören Rootkits, Betriebssystemangriffe, Firmware-basierte Angriffe, Datenbankangriffe, Ransomware, netzwerkbasierte Malware und vieles mehr. Die Konnektoren zwischen verschiedenen Teilen des SAP-Systems wirken sich ebenfalls auf das Risiko aus. Wenn sie nicht gut geschützt sind, können sie anfällig für unbefugten Zugriff sein, wodurch Systemdaten gefährdet werden.

Sicherheit in SAP-Umgebungen steigern

Es gibt viel zu tun, wenn Sie sich um das volle Ausmaß der SAP-Sicherheit kümmern müssen. Wir wollen Ihnen dabei helfen, die bestmögliche Sicherheitslage zu erreichen, und haben daher eine dreistufige Abfolge an bewährten Verfahren für Sie entwickelt:

  • Grundlegende Risiken ermitteln – Überprüfen Sie heikle Rollen und seien Sie sich darüber im Klaren, dass die stärksten Rollen in Ihrem System die größte Schwachstelle darstellen. Überprüfen Sie benutzerdefinierte Transaktionen, die z. B. mit Y oder Z beginnen. Führen Sie eine SoD-Risikoanalyse durch und prüfen Sie, ob es Projektbeteiligte gibt, deren Zugangsberechtigungen nicht richtig ausgerichtet sind.
  • Kontrollmaßnahmen definieren – Erstellen Sie eine Audit-Liste zu Benutzerzugriffsrechten, um zu klären „Wo“, „Wann“ und „Warum“ es zum Zugriff kommt. Weisen Sie risikomindernde Kontrollmaßnahmen zu, einschließlich Ablaufdaten, damit ein SoD auch dann greift, wenn sich Personen im Unternehmen bewegen. Überprüfen Sie die Kontrollmaßnahmen und stellen Sie sicher, dass sie noch aktiv sind. Machen Sie dies ein- oder zweimal im Jahr.
  • Systemrisikobewertung durchführen – Überprüfen Sie einfache, aber schwerwiegende Probleme wie schwache Kennwörter. Überprüfen Sie, ob die Profilparameter in Cloud- und lokalen Bereitstellungen konsistent sind, z. B. die Sperre von Produktionssystemen, um versehentliche oder nicht autorisierte Änderungen zu verhindern. Entfernen Sie alle Entwicklerschlüssel und beschränken Sie sie während der Entwicklung.

Sind verwaltete SAP-Sicherheitsdienste die richtige Wahl?

Managed Security Services (MSS) bieten eine Alternative zur Eigenverwaltung aller Elemente der SAP-Sicherheit. Mit MSS kümmert sich ein Unternehmen wie Symmetry um einige oder alle Ihre Sicherheitsanforderungen. Stellen Sie sicher, dass der von Ihnen ausgewählte Anbieter die oben beschriebenen bewährten Verfahren durchführt.

Ben Uher, Client Manager of Security & Controls

Ben Uher manages the SAP Security and Controls Practice at Symmetry where he leads a team of permanent Consultants in delivering SAP Security and GRC offerings to global organizations. His deep knowledge in everything SAP Security and GRC related has come from the opportunity to work with over 150 Organizations running SAP throughout various cycles of their implementations. Variation in industry, sector and size has provided a breadth of opportunity and experience in almost every facet of SAP technology spanning HANA, Fiori, ERP, BW/BI, HCM and SCM amongst others. Most importantly, Ben is driven based on results and continually strives to provide exceptional support for the organizations that rely on him and his team as trusted advisers for SAP Security and GRC support.