Tipps von Deloitte

5 Sicherheitsschwachstellen in SAP-Systemen

17.05.2013 | von Michael Kallus
In SAP-Systemen setzen sich Web-Technologien durch, die Zugriff über Portale und mobile Endgeräte ermöglichen. Das erfordert eine exakte Konfiguration.
Die zunehmende Webaffinität von SAP erzeugt neue Einfallstore für Gefahren.
Die zunehmende Webaffinität von SAP erzeugt neue Einfallstore für Gefahren.
Foto: Petya Petrova, Fotolia.de

Das SAP-System ist die digitale Schatzkammer vieler Unternehmen. Hier liegen sämtliche Daten und Angaben zu Unternehmensstruktur und Prozessen. Angriffe können nicht nur finanziellen Schaden, sondern auch enorme Einbußen an Reputation und Vertrauen aufseiten der Kunden und Anteilseigner zur Folge haben.

Ein typisches Sicherheitsrisiko im SAP-Umfeld ist der Zugriff auf das ERP-System von außerhalb des Firmennetzwerks über Remote-Function-Call-Verbindungen (RFC). Die RFC-Schnittstelle ermöglicht Funktionsaufrufe zwischen zwei SAP-Systemen oder zwischen einem SAP- und einem externen System. Hier weist Deloitte auf fünf Versäumnisse hin, die einen unerwünschten Zugriff über RFC-Verbindungen begünstigen.

1. Benutzerkonten unzureichend geschützt

Softwareanbieter liefern alle Installationen mit den sogenannten Standardbenutzern wie SAP oder DDIC aus. Alle Benutzer-IDs und die zugehörigen voreingestellten Passwörter sind bei jeder Auslieferung zunächst gleich und diese Angaben sind über Internetportale allgemein zugänglich. Die Kenntnis von Teilen von Benutzername und Passwort erleichtert unbefugte Zugriffe sehr, so Deloitte.

2. RFC-Schnittstelle schlecht konfiguriert

Mit den gerade genannten Kenntnissen können Mitarbeiter mithilfe einer frei im Web erhältlichen Software uneingeschränkt auf kritische Unternehmensdaten auf Tabellenebene zugreifen, wenn die RFC-Schnittstellen unzureichend geschützt sind. Das gilt auch, wenn sie nicht über die dafür notwendigen Transaktionsberechtigungen innerhalb des SAP-Systems verfügen.

3. Firmennetzwerk unzureichend gesichert

Das Risiko eines unerlaubten Zugriffs erhöhen auch unzureichende Sicherheitsmaßnahmen für das Firmennetzwerk. Hier nennt Deloitte insbesondere Lücken in der Firewall-Konfiguration (offene Ports) und eine mangelhafte Auswertung der Zugriffsprotokolle.

Newsletter 'Nachrichten morgens' bestellen!