8.31 Uhr: Arndt Lingscheid besteigt den ICE in Mannheim, der ihn in knapp 45 Minuten zum Hauptbahnhof in Frankfurt/Main bringt. Von dort aus wird er mit dem Taxi zu einem Bankhaus in City-Nähe fahren. Hier wird er von Vertretern der Innenrevision und Finanzbuchhaltung sowie dem Chief Information Security Officer (CISO) erwartet. Gemeinsam mit einem Kollegen aus dem Vertrieb will Lingscheid Analyse-Werkzeuge vorstellen, mit denen SAP-Anwender Fehler und Risiken im eigenen ABAP-Code und der Systemkonfiguration aufspüren können.
Foto: Virtual Forge
Arndt Lingscheid arbeitet seit über vier Jahren bei Virtual Forge. Nach seinem Maschinenbau-Studium sammelte er bei einem SAP-Beratungsunternehmen Erfahrungen in Basisadministration, Produktentwicklung und Produktmanagement. An seinem Job als Presales Consultant für SAP-Sicherheitssoftware reizt ihn besonders die hohe Aktualität des Themas - so steigen die Security- und Compliance-Risiken im SAP-Umfeld kontinuierlich an. Außerdem gefällt es ihm, direkt zu den Unternehmen zu gehen und Schwachstellen in ihren SAP-Systemen aufzudecken.
10.00 Uhr: Der Berater stellt den Fachvertretern im Konferenzraum des Bankhauses zunächst sein Unternehmen und dessen Analysewerkzeuge vor. Dann greift er über eine VPN-Verbindung zu Virtual Forge direkt auf ein Demo-System zu und zeigt den Teilnehmern, wie die Scans funktionieren. Als Nächstes ist ein ausgewähltes SAP-System des Bankinstituts an der Reihe, das Kundenstammdaten verwaltet. Auf diesem System hat die interne IT-Abteilung im Vorfeld die Virtual Forge-Produkte installiert, die ihr über ein Portal zugänglich gemacht wurden. Während einige Kunden die Code-Scans zu diesem Zeitpunkt bereits vorgenommen haben, obliegt diese Aufgabe im Fall des Bankinstituts Lingscheid selbst. Er startet die Programme, und das betreffende SAP-System wird in wenigen Minuten auf mögliche Schwachstellen hin analysiert.
Nach einem Benchmark von Virtual Forge bei weltweit über 300 Anwenderunternehmen umfasst jedes SAP-Produktivsystem im Durchschnitt rund zwei Millionen Zeilen selbstgeschriebenen ABAP-Code. Höchst alarmierend ist das Ergebnis, dass pro System von rund 2000 kritischen Sicherheitslücken auszugehen ist. Davon sind 16 so hochkritisch, dass das System vollständig kompromittiert werden könnte.
Lockere Gesprächsatmosphäre beim Mittagessen
12.45 Uhr: Lingscheid und sein Vertriebskollege werden von den Bankhaus-Mitarbeitern zum Mittagessen in der Kantine eingeladen. Die Gesprächsatmosphäre ist locker und trägt zur Vertrauensbildung bei.
14.00 Uhr: Nach der Mittagspause stellt der Sicherheitsexperte die Ergebnisse der vorangegangenen Code-Analysen vor, zunächst im SAP-System selbst, dann anhand eines PDF. Zu diesem Termin sind auch einige Entwicklungsverantwortliche des Bankinstituts hinzugezogen worden, die - ebenso wie ihre Kollegen - erschrocken auf die Vielzahl gefundener Schwachstellen reagieren. Rein zahlenmäßig angeführt wird die Liste von mangelhaft programmierten oder fehlenden Berechtigungsprüfungen. Hinzu kommen zahlreiche Injection-Schwachstellen, versteckter ABAP-Code, Directory Traversals und vieles mehr. Lingscheid zeigt an einigen Beispielen, wie leicht sich die Sicherheitslücken von Angreifern ausnutzen lassen, um ganze Datenbestände zu kopieren, zu ändern oder zu löschen oder das SAP-System vollständig abzuschalten. Die Bank-Mitarbeiter sind von den Live-Hackings sichtlich beeindruckt.
Im Rahmen von Code-Scans bei Kunden stößt Virtual Forge immer wieder auf große Sicherheitslücken im ABAP-Kundencode. Dies kann fatale Folgen haben, da über die SAP-Systeme oft genug alle Prozesse in einem Unternehmen laufen - hier sind sämtliche Daten von Personal über Buchhaltung bis zur Produktion gespeichert. Wenn da etwas länger ausfällt, kann es geschehen, dass sich das Unternehmen nicht mehr davon erholt. Gleichzeitig zeigen aktuelle Studien, dass die Zahl der Cyber-Angriffe auf SAP-Systeme kontinuierlich zunimmt, mehr als die Hälfte der befragten Unternehmen gibt an, dass ihre SAP-Plattform innerhalb der letzten 24 Monate durchschnittlich zweimal angegriffen wurde.
Anschlussbericht im ICE
15.13 Uhr: Lingscheid fährt mit dem ICE nach Mannheim zurück. Er nutzt die Bahnfahrt, um am Abschlussbericht für den Kunden zu arbeiten, der die schwerwiegendsten Security- und Compliance-Fehler im ABAP-Code und der Konfiguration des geprüften SAP-System auflistet. Außerdem wird beschrieben, was für Folgen es haben kann, wenn Angreifer diese Schwachstellen ausnützen. In Mannheim angekommen, besteigt Lingscheid die Regionalbahn, um zu seinem Wohnort in der Nähe von Heidelberg zu gelangen. Den folgenden Tag wird er nutzen, um im Home-Office den Termin im Frankfurter Bankhaus nachzubereiten und einen neuen Termin vorzubereiten, den er zwei Tage später bei einem großen Retail-Unternehmen in München hat. Außerdem will er Angebote für potenzielle Kunden anfertigen. Zudem wird er sich auf den Einkaufsportalen von Betrieben nach entsprechenden Ausschreibungen umschauen und sich mit eigenen Angeboten beteiligen.
Zur einen Hälfte auf Kundenterminen unterwegs, zur anderen Hälfte am Heidelberger Firmensitz oder im Home-Office tätig: Arndt Lingscheid liebt die Abwechslung, die ihm sein Job als Presales Consultant für SAP-Sicherheitssoftware beschert. So lernt er viele unterschiedliche Branchen, Unternehmen und Menschen kennen und erlebt jeden Kundentermin, in den er zahlreiche eigene Ideen einbringen kann, anders. Zugleich schätzt er die flexible Arbeitsgestaltung, die ihm sein Unternehmen gewährt - sowohl was die Arbeitszeiten als auch die Möglichkeit zum Home-Office betrifft. Als junges Unternehmen, das im vergangenen Jahr sein 15-jähriges Jubiläum feierte, entspricht Virtual Forge Lingscheids Bedürfnissen nach kurzen Entscheidungswegen, flachen Hierarchien und starker Kundennähe. Ein weiteres Plus für ihn ist das umfassende SAP-Know-how innerhalb der Firma und die Möglichkeit, mit dem auch international stark expandierenden SAP-Sicherheitsanbieter in einem der größten Wachstumsmärkte unterwegs zu sein.