Millionenschäden drohen

SAP-Sicherheit - denn sie wissen nicht, was sie tun

Mariano Nunez ist Experte für SAP-Sicherheit. Schon früh veröffentlichte er Risiken in SAP-Konfigurationen und zeigte Möglichkeiten zur Minimierung auf. Zudem entwickelte als erster ein Open-Source-basiertes SAP- und ERP-Penetration-Test-Verfahren. Mit zahlreichen Fortune-100-Unternehmen und auch mit Vertretern von Sicherheitsdienstleistern oder Streitkräften steht er im Kontakt. Nunez ist Bachelor of Science für Computerwissenschaften.
SAP-Implementierungen sind gefährdet. Das liegt vielfach an einer unzulänglichen Sicherheitspolitik in den Unternehmen. Unklare Zuständigkeiten und fehlende Ressourcen befeuern die Unsicherheit zusätzlich.

Auch bei SAP-Systemen schwingt ein Gefühl der Unsicherheit mit. Das hat beispielsweise eine Befragung des Larry-Ponenom-Instituts vom Februar 2016 unter rund 600 der 2000 wichtigsten weltweiten Unternehmen der unterschiedlichsten Branchen gezeigt: Dabei stellten 44 Prozent der Befragten fest, ihr Unternehmen würde Sicherheitsvorfälle oder Einbrüche in Datenbestände ihrer unsicheren SAP-Implementierungen wahrscheinlich übersehen. Nur 25 Prozent glaubten, einen Einbruch sofort zu erkennen.

Gerade mal 53 Prozent der Befragten waren zuversichtlich, einen Einbruch innerhalb eines Jahres zu bemerken. Zugleich erklärten 32 Prozent, dass ihre SAP-Plattform innerhalb der letzten 24 Monate ein- bis zweimal angegriffen wurde - 16 Prozent drei- oder viermal und 12 Prozent fünf- oder sechsmal. Den Gesamtschaden einer daraus resultierenden notwendigen Abschaltung ihres SAP-Systems schätzen die Befragten im Schnitt auf rund 4,5 Millionen Dollar. Diese Summe schließt auch sofort erforderliche Bargeldausgaben, direkte und indirekte Lohnkosten für die Wiederherstellung der Systeme, allgemeine Unkosten sowie verlorene Geschäftsmöglichkeiten ein.

Es gibt ein weites Feld für Konfigurationsfehler und Schwachstellen

Diese Unsicherheit kommt nicht von ungefähr. Komplexe, historisch gewachsene, an die Cloud, das Web oder mobile Geräte angebundene SAP-Landschaften bieten ein weites Feld für Konfigurationsfehler und Schwachstellen. Auf dem Transaktionslayer, der in SAP-Systemen Zugriffsrechte und den Datenverkehr regelt, können Angreifer grundsätzlich jeden Angriffsmechanismus ausführen, den man auch aus der Nicht-SAP-IT kennt. Klassische Sicherheitsansätze aus der SAP-Welt, wie die Trennung von Zuständigkeiten und damit von Rechten (Segregation of Duties), hebeln Angreifer durch die Usurpation privilegierter Nutzerrechte auf.

Wie aber kommt es zu dieser Risikolage? Der Softwarehersteller leistet mit seinen regelmäßigen Patches die Hilfestellung, die er bieten kann. Ebenso wenig kann der Stab voreilig und pauschal über die Verantwortlichen im Unternehmen gebrochen werden. Auch wenn einige immer noch fälschlicherweise denken, SAP sei ein in sich geschlossenes System, welches nur SAP-Experten hacken können, lässt sich den meisten Managern nicht vorwerfen, sie seien zu sorglos.

Unklare Zuständigkeiten öffnen Hackern die Einfallstore

Das Problem liegt vielmehr darin, dass in etlichen Unternehmen die Kompetenzen im Bereich SAP-Sicherheit nicht klar definiert sind. So sind sich viele Verantwortliche nicht sicher, wer für den schlechten Zustand der eigenen SAP-Sicherheit zur Verantwortung zu ziehen wäre. 21 Prozent der Befragten der Ponemon-Studie hielten die IT-Infrastruktur-Teams verantwortlich, 19 Prozent das SAP-Sicherheitsteam, 18 Prozent die allgemeine IT-Sicherheit, sechs Prozent wiederum die Audit-Teams. Und zwei Prozent denken, diese Kompetenz falle in den Bereich des Aufsichtsrat.

Die bedenkliche Konsequenz einer solchen Unklarheit bezüglich der Zuständigkeiten ist eine regelrechte Sicherheits-Verantwortungslosigkeit. In jedem vierten Unternehmen wird laut der Ponemon-Studie die SAP-Sicherheit stiefmütterlich behandelt. Laut Ponemon-Umfrage liegt bei etwa einem Viertel der Befragten die Hauptverantwortung für die SAP-Sicherheit am Ende tatsächlich bei niemandem - ein unglaubliches und alarmierendes Kompetenzvakuum.

Solche Umfrageergebnisse zeigen deutlich, wie unklar die Verantwortung der SAP-Sicherheit verteilt ist. Allein das offenbart schon ein weiteres Sicherheitsrisiko. Ein weiteres Ergebnis dieser Unsicherheit ist eine undeutliche, kaum definierte SAP-Sicherheitspolitik.

Inhalt dieses Artikels