Patrick Boch. Sicherheit beim Einsatz von SAP-Systemen. - Leseprobe -

Transkript

1 Patrick Boch Sicherheit beim insatz von SAP-Systemen

2 Übersicht über die Arbeitshilfen SAP-Check.xls Checkliste SAP-Sicherheit Das Klammersymbol Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie. Detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN im Text verweist auf die entsprechende Datei im Anhang. by TÜV Media GmbH, TÜV Rheinland Group, TÜV, TUV und TUV sind eingetragene Marken der TÜV Rheinland Group. ine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen. Gesamtherstellung: TÜV Media GmbH, Köln 2015 Den Inhalt dieses -Books finden Sie auch in dem Handbuch Information Security Management, TÜV Media GmbH, Köln. Die Inhalte dieses -Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet und zusammengestellt. ine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. s wird betont, dass wir keinerlei influss auf die Inhalte und Formulierungen der verlinkten Seiten haben und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte und Richtlinien sowie die einschlägige Rechtssprechung.

3 Sicherheit beim insatz von SAP-Systemen Sicherheit beim insatz von SAP-Systemen rhæhter Schutzbedarf 1 Motivation Die Absicherung der SAP-Systemlandschaft sollte auf keinen Fall vernachlåssigt werden, da SAP-Systeme die wertvollsten Daten eines Unternehmens enthalten. Diese Daten sind es auch, auf die Angreifer es abgesehen haben, und die Anzahl der Angriffe auf SAP-Systeme hat in den letzten Jahren teilweise dramatisch zugenommen. Umso wichtiger ist es, alle Aspekte der Absicherung von SAP-Systemen in Betracht zu ziehen. Dieses -Book beschreibt die wichtigsten Bereiche, instellungen und Ûberlegungen, die dabei beachtet werden sollten. Dazu gehæren neben der Konfiguration der SAP-NetWeaver-Basis vor allem der Umgang mit kritischen Berechtigungen und die Absicherung zwischen SAP und IT-Landschaft im Allgemeinen, sei es in Bezug auf die Datenbank, das Betriebssystem, das interne Netzwerk oder in der Kommunikation mit externen Services oder dem Internet. Arbeitshilfe: Checkliste SAP-Sicherheit Autor: -Mail: Patrick Boch patrick.boch@virtualforge.com nterprise-resource-planning-systeme (RP-System) enthalten in der Regel mit die sensibelsten und wertvollsten Daten eines Unternehmens oder einer Behærde. Daher haben diese Daten und die damit arbeitenden Systeme einen erhæhten Schutzbedarf. in Großteil der hierzulande im insatz befindlichen RP-Systeme basiert auf den Produkten der SAP AG. In Bezug auf die Sicherheit der entsprechenden Systeme nimmt SAP dabei technologisch eine Sonderstellung ein: SAP-Systeme werden auf Standard-Hardware, mit Standard-Datenbanken auf Standard-Betriebssystemen betrieben und sind inzwischen auch in den Standard-Netzwerken verankert. Aus diesem Grund wird bei Fragen zum Thema SAP- Sicherheit meist auf zwei Argumente verwiesen: TÛV Media GmbH Seite 1

4 Sicherheit beim insatz von SAP-Systemen Fadenscheinige Argumente Offene SAP-Welt Die normale IT-Sicherheit deckt alle mæglichen Schwachstellen ab und: Die Angreifer mçssen ja in jedem Fall erstmal durch die Firewall! Fçr die SAP-Systeme existiert ein Berechtigungskonzept, damit sind die Daten gesichert. Das ist allerdings nur die halbe Wahrheit. Zwar sind sowohl eine durchdachte IT-Sicherheit als auch ein Berechtigungskonzept wichtige Bausteine fçr ein umfassendes SAP-Sicherheitsgerçst. Aber die zunehmende Komplexitåt der SAP- Anwendungen (s. Abbildung 1) erfordert ein eigenes Konzept und eigene Maßnahmen. Die Zeiten, in denen SAP-Systeme außerhalb der bereits in den Unternehmen existierenden Betriebs- und Administrationsstrukturen betrieben wurden, sind schon seit Jahren Geschichte. Mit Portalen und Self-Service-Funktionalitåten æffneten sich die SAP-Systeme immer mehr der Außenwelt. Heutzutage sind Lieferantenportale oder -Recruiting-Anwendungen keine Seltenheit mehr und ermæglichen einen Zugriff auf die SAP-Systeme auch von außerhalb des Unternehmens. Dennoch sind die Teams, die fçr den SAP-Betrieb verantwortlich zeichnen, organisatorisch oft noch abgekapselt vom allgemeinen IT-Betrieb und von der IT-Sicherheitsabteilung. Zudem liegt das Hauptaugenmerk der SAP-Abteilung zunåchst auf dem reinen Betrieb Sicherheitsaspekte werden håufig nebenbei gehandhabt. Zur Verteidigung der SAP- Teams muss allerdings vorgebracht werden, dass die Abhångigkeit der Unternehmen von der Verfçgbarkeit der SAP- Server dafçr sorgt, dass selbst dringend notwendige Sicherheits-Updates nicht mal eben eingespielt werden kænnen oder instellungen nicht kurzfristig geåndert werden kænnen. Dennoch erfordern gerade die Komplexitåt und die Vielzahl der Schnittstellen eines modernen SAP-Systems ein beson- TÛV Media GmbH Seite 2

5 Sicherheit beim insatz von SAP-Systemen Abb. 1: Komplexitåt von SAP-Landschaften Beispiele fçr Schwachstellen ders Augenmerk auf das Thema Sicherheit. Zumal ein unsicheres SAP-System alle sonstigen Sicherheitsmaßnahmen schnell ad absurdum fçhren kann. in paar Beispiele: In einer igenentwicklung eines Unternehmens wurden Programmzeilen entdeckt, die die kompletten Quartalsergebnisse der Firma an eine private -Mail-Adresse verschickten. Der Mitarbeiter, dem die Adresse gehærte, war seit Jahren nicht mehr fçr das Unternehmen tåtig. SAP selbst hat auf eine Sicherheitslçcke im SAP-Gateway hingewiesen, durch die es mæglich war, beliebige Betriebssystemkommandos auf dem Server auszufçhren ohne ein einziges Mal Benutzernamen oder Passwort eingeben zu mçssen. in Penetrationstest eines Unternehmens ergab unsichere Konfigurationseinstellungen im Solution Manager der SAP-Systeme. Die Brisanz: Die Firma hatte den Betrieb TÛV Media GmbH Seite 3

6 Sicherheit beim insatz von SAP-Systemen der SAP-Systeme ausgelagert, durch die Lçcke konnte beim Hosting-Dienstleister auf mehr als 40 Systeme anderer Kunden, darunter gegebenenfalls auch Wettbewerber, Partner oder Lieferanten, zugegriffen werden. Gewachsene Systemlandschaften Natçrlich handelt es sich dabei um extreme Beispiele. Aber selbst diese offensichtlichen und vor allem bekannten Sicherheitslçcken sind in vielen SAP-Systemen weiterhin anzutreffen. Und mægliche Schwachstellen, die von einem Angreifer nicht mal besonderes technisches Wissen verlangen, gibt es einige. Fçr viele der bekannten Schwachstellen eines SAP-Systems reicht es, einen Standard-User und dessen Passwort zu kennen oder einen kurzen ABAP-Befehl in eine ingabemaske einzutragen. Mehr als eine kurze Internet-Suche ist dafçr nicht notwendig. 2 (Un-)Sicherheit von SAP Systemen Die relativ hohe Verwundbarkeit von SAP-Systemen hat verschiedene Grçnde. Da ist zunåchst die Technologie von SAP an sich. Der Kern eines jeden SAP-Systems basiert auf Technologie aus den 90er Jahren des vergangenen Jahrhunderts, als SAP mit R/3 die ersten großen rfolge feierte, Teile der Technologie existieren sogar schon seit den 70er Jahren. Um diesen Kern herum hat die SAP Ihre Anwendungen natçrlich den modernen Gegebenheiten angepasst, viele Sicherheitslçcken resultieren aber gerade aus diesen Anpassungen, die nicht unbedingt eine Vereinfachung des Systems mit sich brachten. Øhnlich sieht es bei den laufenden SAP-Systemen in den Unternehmen aus: Die Systeme sind çber die Jahre gewachsen, neue Module wurden hinzugefçgt, eigene Anwendungen wurden entwickelt, aktualisiert oder durch neue Anwendun- TÛV Media GmbH Seite 4

7 Sicherheit beim insatz von SAP-Systemen gen ersetzt. So werden potenzielle Schwachstellen oft çber Jahre mitgeschleppt, ohne aufzufallen. Sicherheit hat kaum Prioritåt Das ntwicklungssystem sollte nur fçr die unternehmensspezifische Parametrisierung und ntwicklung genutzt wer- ntwicklungssystem in weiterer Punkt: Die infçhrung von SAP-Anwendungen erfolgt oft unter großem Projektdruck. Darunter leidet sehr oft die Sicherheit, die auf der Prioritåtenliste nicht ganz oben zu finden ist. Dieser Druck sorgt oft auch dafçr, dass selbst nach nde des Projekts noch Administrationsberechtigungen verwendet werden und die Anwendung mit Workarounds gespickt ist, die wiederum zu Sicherheitslçcken fçhren kænnen und nur schwer zu beheben sind. Fçr Angreifer, die sich mit teilweise kostenlos verfçgbaren Mini-SAP-Systemen mit den bestehenden Schwachstellen ohne großen Aufwand vertraut machen kænnen, stellt SAP somit ein ideales Ziel dar. Aber wie lassen sich die vorhandenen Schwachstellen schließen und neue Lçcken mæglichst verhindern? 3 Grundlegende instellung im SAP-System Die von der SAP empfohlene Drei-System-Landschaft hat sich bei SAP-Kunden weitgehend durchgesetzt. Das ist durchaus sinnvoll, schließlich wird so ein sauberes Freigabeund Testverfahren ermæglicht und eine ntwicklung findet auf produktiven Systemen nicht mehr statt. Fçr die Sicherheit der einzelnen Systeme wie der dreistufigen Systemlinie insgesamt sollten dabei einige grundlegende Ûberlegungen bzw. instellungen in Betracht gezogen werden. TÛV Media GmbH Seite 5

8 Sicherheit beim insatz von SAP-Systemen den. Weiterhin sollten im ntwicklungssystem allgemeine funktionale Testaktivitåten durchgefçhrt werden. Integrationssystem Produktivsystem Im Integrationssystem sollte keine ntwicklung und kein Customizing durchgefçhrt werden. s sollte lediglich zu Testzwecken von aus dem ntwicklungssystem transportierten Funktionalitåten unter produktionsnahen Bedingungen dienen. Das Konsolidierungssystem sollte im Rahmen der Mandanteneinstellung den Status nicht ånderbar erhalten. Ûber die SAP-Transaktions-Codes S03 und SCC4 sollten die Sperren im System so eingestellt sein, dass die Konfiguration mandantenunabhångig und mandantenabhångig nicht direkt geåndert werden kann. Obwohl das Integrationssystem grundsåtzlich ein Abbild der Produktionsumgebung darstellt, sollte ein Konzept zur Testdatengenerierung oder zumindest Anonymisierung von zu Testzwecken verwendeten Produktivdaten in diesen Systemen entwickelt werden. Das Produktivsystem sollte ebenfalls çber die bereits erwåhnten Transaktionen auf den Status nicht ånderbar gesetzt werden. ntwicklungen sollten im Produktivsystem verboten sein. Um Inkonsistenzen zu vermeiden, sollten im Produktivsystem keine Berechtigungen geåndert, sondern nur SAP-User zu Benutzerrollen zugeordnet werden, da diese Ønderungen sonst leicht im vorgelagerten Integrationssystem versåumt werden. Die Vergabe von Berechtigungen sollte im Produktivsystem restriktiv erfolgen. Ûber diese rollenspezifischen Maßnahmen hinaus gibt es allerdings weitere instellungen, die gesetzt werden sollten, um das SAP-System schon in der Grundkonfiguration so weit wie mæglich abzusichern. TÛV Media GmbH Seite 6

9 Sicherheit beim insatz von SAP-Systemen 3.1 ingebaute Sicherheitsmaßnahmen Sicherheitshinweise der SAP Protokollierung aktivieren In den letzten Jahren hat SAP nicht nur sehr viel fçr die Sicherheit getan, es wurde auch ein Security Patchday eingefçhrt. ine Liste von håufig gestellten Fragen zum SAP Security Patchday finden Sie unter [1]. Inzwischen veræffentlicht die SAP einmal im Monat eine Liste von Sicherheitshinweisen, die potenzielle Sicherheitslçcken schließen sollen. Diese Hinweise sollte man, wenn mæglich, immer beachten und die entsprechenden Aktualisierungen einspielen. Um herauszufinden, ob in einem SAP-System bestimmte Sicherheitsaktualisierungen fehlen und noch eingespielt werden mçssen, hat die SAP den Report RSCNOT geschaffen; inzwischen wurde dieser Report von den System Recommendations des Solution Manager abgelæst. Beide Varianten geben genaue Auskunft çber fehlende Sicherheitshinweise. benfalls wichtig in diesem Zusammenhang ist die Aktivierung des Security Audit Log, das alle sicherheitsrelevanten reignisse in einem SAP-System mitprotokolliert. Im Standard werden hier jedoch nur wenige Informationen aufgezeichnet. Darum sollte ein weiterer Punkt auf der Liste der sicherheitsrelevanten instellungen die Aktivierung verschiedenster Protokolle sein, die SAP schon im Standard anbietet. SAP bietet fçr die Protokollierung verschiedene Werkzeuge an, die bis zu einer Protokollierung von Tabellenånderung gehen es bietet sich an, gerade diese letzte Option fçr besonders kritische Tabellen zu aktivieren, um damit im Rahmen forensischer Untersuchungen ggf. zweifelhafte Ønderungen nachvollziehen und plausibilisieren zu kænnen. TÛV Media GmbH Seite 7

10 Sicherheit beim insatz von SAP-Systemen 3.2 Umgang mit Standard-Nutzern Standard- Nutzer anpassen Die Spinne im Netz in wichtiger Schritt, der schon bei der Installation eines SAP-Systems umgesetzt werden sollte, ist der Umgang mit Standard-Nutzern. In jedem neuen SAP-System ist eine Reihe von Standard-Nutzern automatisch angelegt und aktiviert. Diese Standard-Nutzer sind mit bekannten Passwærtern angelegt und da diese Nutzer vor allem fçr Notfålle gedacht sind, besitzen sie zudem umfassende Berechtigungen. Daher sollten direkt nach der Installation eines Systems diese Standard- Nutzer dahin gehend geåndert werden, dass die Passwærter geåndert werden und die Standard-Nutzer den korrekten Nutzergruppen (z. B. Administratoren) zugeordnet werden. 3.3 Solution Manager Mit dem Solution Manager hat die SAP seit einiger Zeit eine Læsung im Portfolio, die dazu dient, SAP-Systemlandschaften von einer zentralen Stelle aus zu administrieren. Zu dieser Steuerung der angeschlossenen SAP-Systeme gehæren neben einer zentralen Benutzerverwaltung, einem Customizing- Abgleich oder einer zentralen Projektdokumentation auch einige Ûberwachungsfunktionen wie der arly Watch Service und fçr den Bereich Sicherheit besonders interessant der Security Optimization Service (SOS ). ine Ûbersicht zum SOS finden Sie unter [2]. Die zentrale Anlaufstelle, die der Solution Manager darstellt, birgt aber auch Risiken. So ist der Solution Manager ein beliebtes Angriffsziel fçr Hacker, weil diese wertvolle Systeminformationen bekommen und diese fçr weitere Angriffe auf andere Systeme ausnutzen kænnen. Hinzu kommt, dass der Solution Manager nicht im Fokus der Wirtschaftsprçfer und Revisoren steht und daher oftmals entsprechend wenig abgesichert ist. Neben den Sicherheitsmaßnahmen, die fçr jedes TÛV Media GmbH Seite 8

11 Sicherheit beim insatz von SAP-Systemen SAP-System gelten sollten, gibt es fçr den Solution Manager deshalb ein paar weitere Regeln, die beachtet werden sollten: Zugriff auf Betriebssystemordner: Das SAP-System muss auf einige Ordner des Servers zugreifen kænnen, um Daten abzulegen oder fçr den Betrieb notwendige Daten (z. B. Profilparameter) lesen zu kænnen. Leider schrånkt die Standardeinstellung eines SAP-Systems weder den Lesenoch in vielen Fållen den Schreibzugriff auf alle Ordner des Betriebssystems ein. Das æffnet potenziellen Angreifern viele Hintertçren, durch die entweder das Betriebssystem oder das SAP-System selbst kompromittiert wer- Betriebssystemzugriff minimieren Zugriff auf Betriebssystemordner einschrånken Absicherung der spezifischen instellungen fçr den Solution Manager dazu liefert die SAP bereits einige sehr gute Sicherheitsanleitungen. Keine Verbindung des produktiven Solution Manager mit Systemen auf einem niedrigeren Sicherheitslevel. WebGUI ist im Solution Manager immer aktiv, daher sollte mæglichst keine direkte Verbindung zwischen dem Solution Manager und dem æffentlichen Internet bestehen. 4 Betriebssystemkonfiguration fçr SAP Die Betriebssysteme eines Unternehmens sind heutzutage nicht zuletzt aufgrund des gestiegenen Sicherheitsbewusstseins in den meisten Fållen gegen Angriffe gut abgesichert. Auf die gångigen Sicherheitsmaßnahmen fçr Betriebssysteme bzw. Server soll daher hier nicht nåher eingegangen werden. Weniger bekannt ist aber, welche umfangreichen Rechte und Mæglichkeiten existieren, aus einem SAP-System heraus das Betriebssystem zu manipulieren. Zwei Dinge gilt es daher besonders zu beachten: TÛV Media GmbH Seite 9