Sicherheit & Compliance von SAP -Systemen

Transkript

1 TITEL bearbeiten Dr. Markus Schumacher Dr. Markus Schumacher Sicherheit & Compliance von SAP -Systemen Virtual Forge GmbH All rights reserved.

2 AGENDA TITEL bearbeiten Sicherheit und Compliance eine Frage der Perspektive Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Ausführen von Betriebssystemkommandos Ausnutzen fehlender/unvollständiger Berechtigungsprüfungen Manipulation von Datenbankabfragen Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

3 TITEL Sicherheitslücken bearbeiten aus Compliance-Sicht IKS-Struktur im ERP-Umfeld Generelle Second IT level Kontrollen (ITGC - IT General Controls) Änderungswesen (Change Management) ABAP-Code Risiken für Geschäftsprozesse Vollständigkeit Richtigkeit Funktionstrennung Rechte Nachvollziehbarkeit Datenschutz

4 Sicherheit & Compliance TITEL bearbeiten Eine Frage der Perspektive Nicht die Transaktionen sind gefährlich, sondern die ABAP-Befehle. Beispiel: Anlegen von ABAP-Programmen Risiko Transaktion ZTRANS1 Risiko Transaktion ZTRANS2 SE 80 Risiko REPORT ZREP SE 38 INSERT REPORT Risiko Web Dynpro Anwendung ZWD Risiko Funktionsbaustein ZFB1 Risiko Funktionsbaustein ZFB2 Risiko Business Server Page ZBSP

5 TITEL Wege in bearbeiten Ihr SAP -System Direkte Benutzeroberflächen SAP GUI BSP ITS WebDynpro ABAP Externe Systeme Standalone ITS SAP-System Non-SAP-System Indirekte Benutzeroberflächen Java-Applikationen Java EE/Portal WebDynpro Java (Web Application) Firewall ABAP-System Datenbank Dateien RFC PI Webservices

6 How To Break SAP TITEL bearbeiten Systems Öffentliches Wissen

7 Die Hackerszene und SAP. TITEL bearbeiten Und die Dunkelziffer? Quelle: DSAG-Technologietage 2012, Vortrag von Bernd Reske (SAP), SAP im Fokus der Hacker!?

8 AGENDA TITEL bearbeiten Sicherheit und Compliance eine Frage der Perspektive Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Ausführen von Betriebssystemkommandos Ausnutzen fehlender/unvollständiger Berechtigungsprüfungen Manipulation von Datenbankabfragen Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

9 TITEL Evolution bearbeiten der Angreifer Skriptkiddie geringes eigenes Know-how arbeitet mit Copy & Paste und nutzt vorhandene Anleitungen, Programme, Tools etc. um z.b. in fremde Computersysteme einzudringen oder Schaden anzurichten beliebige Angriffsziele Motivation: i.d.r. Anerkennung

10 TITEL Evolution bearbeiten der Angreifer Professionelle Angreifer hohe Fachkompetenz verfügen über entsprechende Ressourcen (Zeit, Geld etc.) gezielte Angriffe (z.b. Stuxnet) häufig auch Innentäter Motivation: Industriespionage, Sabotage, Verschaffung von Vorteilen

11 TITEL Unternehmen bearbeiten als Ziel von IT-Angriffen Quelle: Best Practice, Das Kundenmagazin von T-Systems, Ausgabe , S. 44.

12 AGENDA TITEL bearbeiten Sicherheit und Compliance eine Frage der Perspektive Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Ausführen von Betriebssystemkommandos Ausnutzen fehlender/unvollständiger Berechtigungsprüfungen Manipulation von Datenbankabfragen Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

13 Ausnutzen unvollständiger TITEL bearbeiten Berechtigungsprüfungen Roles & Authorizations AUTHORITY CHECK OK Failed ASSET 2010 Virtual Forge GmbH. All rights reserved. Missing / Incorrect authority checks Hard-coded users IF SY-UNAME = 'WIEGENSTEIN'.

14 TITEL Manipulation bearbeiten von Datenbankabfragen Übliche Suchmaske in einer SAP-Anwendung

15 TITEL Manipulation bearbeiten von Datenbankabfragen Daten werden aus Tabelle ausgelesen und angezeigt

16 TITEL Manipulation bearbeiten von Datenbankabfragen Click Denken to wie edit ein Master Angreifer text der styles SQL Injection Test

17 TITEL Manipulation bearbeiten von Datenbankabfragen provoziert einen Laufzeitfehler

18 TITEL Manipulation bearbeiten von Datenbankabfragen Einschleusen von zusätzlichem SQL-Code ändert Datenbankabfrage

19 TITEL Manipulation bearbeiten von Datenbankabfragen Es werden Daten angezeigt, die der Angreifer nicht sehen sollte!

20 TITEL Manipulation bearbeiten von Datenbankabfragen Buchung kann vorgenommen werden! Noch Second schwerwiegender level wäre Lesezugriff auf Datenbank! Integrität

21 AGENDA TITEL bearbeiten Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Ausführen von Betriebssystemkommandos Ausnutzen fehlender/unvollständiger Berechtigungsprüfungen Manipulation von Datenbankabfragen Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

22 Ansatzpunkte zur Verbesserung der TITEL bearbeiten Sicherheit von SAP -Systemen Technische Maßnahmen SAP Security Patch Day! Änderung aller Standard-Passwörter (SAP, DB, OS) Absicherung von SAP-Gateways und RFCs Restriktive Vergabe von Berechtigungen (S_RFC, S_TABU_DIS etc.) Sichere ABAP TM -Programmierung (Vorgaben, Ausbildung, Enforcement) Sichere Transportwege OS und DB Hardening Ständige Aktualisierung der SAP-Software / Einspielen von SAP Security Patches Nutzung von SNC (wird im Standard ausgeliefert) / SAP GUI Verschlüsselung Netzwerkabsicherung, PC-Schutz

23 Ansatzpunkte zur Verbesserung der TITEL bearbeiten Sicherheit von SAP -Systemen Unternehmenskultur Awareness für SAP -Sicherheit schaffen (z.b. durch Workshops) Training (Entscheider, Entwickler, Administratoren, Anwender) Organisation SAP-Sicherheit in relevante Unternehmensprozesse integrieren Schaffung verbindlicher Unternehmensstandards Compliance SAP-Sicherheit zur Vorgabe in Projekten machen Prüfung der Einhaltung der Unternehmensvorgaben (sofern möglich mit Werkzeugen) SAP-Sicherheit in den Audit-Plan aufnehmen

24 TITEL Welche bearbeiten Fragen haben Sie? Kontakt: Dr. Markus Schumacher Weitere Informationen: Website: Artikel Sicherheitslücken und Hintertüren im ABAP-Code (Link) Artikel Mit Schwachstellen umgehen und sie unter Kontrolle halten (Link) KuppingerCole Product Research Note zum Virtual Forge CodeProfiler (Link) Produktbroschüre Virtual Forge CodeProfiler (Link) SAP-Whitepaper Secure Configuration of SAP NetWeaver AS ABAP Besuchen Sie uns:

25 TITEL Disclaimer bearbeiten 2012 Virtual Forge GmbH. All rights reserved. SAP, ABAP und weitere im Text erwähnte SAP-Produkte und Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und anderen Ländern weltweit. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die vorliegenden Angaben werden von Virtual Forge bereitgestellt und dienen ausschließlich Informationszwecken. Virtual Forge über nimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterführende Haftung. Es gelten die Allgemeinen Geschäftsbedingungen von Virtual Forge einsehbar auf