Immer wieder tauchen Meldungen auf, die sich auf Schwachstellen in ERP-Systemen beziehen. Dabei scheint insbesondere SAP R/3 zusehends in den Fokus der Hacker-Szene zu rücken, wie ein Vortrag des Hackers "FX" über Sicherheitslücken in SAP-Software anlässlich des "20. Chaos Communication Congress" (20C3) Ende letzten Jahres in Berlin zeigte.
Das hängt sicher auch damit zusammen, dass noch vor einigen Jahren leistungsfähige Unix-Server für den Betrieb einer R/3-Installation benötigt wurden. Entsprechend rar waren Versuche, ein SAP-System zu hacken. Heutzutage lässt sich R/3 jedoch problemlos auf einem Notebook oder PC installieren. Schon diese Tatsache macht SAP-Software für Hacker interessanter.
Für den sicheren Betrieb einer R/3-Installation ist es notwendig, alle denkbaren Zugriffsmöglichkeiten auf die Daten des SAP-Systems abzusichern. Beim Schutz der SAP-Server, der Datenbank sowie des Netzwerks gegen interne und externe Angriffe verlassen sich die meisten R/3-Anwender komplett auf die Möglichkeiten und Einstellungen der jeweiligen Programme und übernehmen unbesehen unsichere Default-Einstellungen.
Um eine reibungslose Funktion zu erreichen, werden bei der Installation der SAP-Lösung nicht alle möglichen Sicherheitseinstellungen der Basissysteme maximal aktiviert. Hier ist der Systemadministrator gefordert, die für den entsprechenden Anwendungsfall notwendigen Parameter zu setzen. Die möglichen Einstellungen sind im SAP-Sicherheitsleitfaden ausführlich dokumentiert. In den meisten Fällen unterbleibt jedoch diese notwendige Anpassung. Durch diese Nachlässigkeit während der Installation ist es oft möglich, dass Anwender unter Umgehung des in R/3 integrierten Berechtigungskonzepts direkten Zugriff auf die Tabellen der SAP-Datenbank erlangen und somit Daten einsehen oder sogar ändern können.
Durch Abschottung der SAP-Systeme vom normalen Intranet durch einen Port-Filter sowie Einsatz der von SAP bereitgestellten Zusatzlösungen wie Saprouter, Secure Network Communications (SNC) oder Secure Store and Foreward (SSF) kann der direkte Zugriff auf die SAP-Systeme beziehungsweise des Netzwerkverkehrs durch nicht privilegierte Nutzer verhindert werden.
Die SAP gewährleistet dem Kunden eine zuverlässige Integration externer Sicherheitsprodukte, wenn sie die Zertifizierungskriterien des Herstellers erfüllen. Insbesondere im Bereich Authentifizierung und User-Management bieten diverse Drittfirmen bereits SAP-kompatible Lösungen an.
Durch die Einführung offener Standards in das System ist SAP Forderungen nach einer besseren Integrationsmöglichkeit der Standardsoftware in firmenübergreifende Szenarien nachgekommen. Mit der Auslieferung des aktuellen Release 4.7 sind Schnittstellenspezifikationen wie HTTP, Soap, WSDL und XML Bestandteil der Software geworden. Neue Schnittstellen schaffen aber auch neue Sicherheistlücken. Hier ist beispielsweise der HTTP-Service "/public/ info" zu nennen, der es externen Angreifern erlaubt, sensible technische Informationen des SAP-Servers via Web-Browser abzufragen (siehe Screenshot).
Natürlich soll nicht jeder Anwender alle Daten im System sehen und ändern dürfen. Deshalb bietet R/3 ein mächtiges, leider aber auch kompliziertes Berechtigungssystem, welches auf Transaktionsebene oder programmgesteuert die Freigaben abfragt. Es benutzt dazu Profile, die dem einzelnen Mitarbeiter zugeordnet werden. Damit ist bei professioneller Einrichtung und ständiger Pflege prinzipiell ein starker Schutz der Unternehmensdaten auf R/3-Ebene möglich.
Wichtig: Berechtigungen regeln
Firmen investieren viel Geld in die Einführung spezieller Tools zur User- und Berechtigungsverwaltung und versuchen damit, ihre Umgebungen abzusichern. Anzuführen wären hier zum Beispiel Novells "eDirectory" sowie IBMs "Tivoli Identity Manager". Der Einsatz solcher Systeme vereinfacht sicher die systemübergreifende Verwaltung der Logon-Daten eines Users. Die komplexe Berechtigungspflege muss aber weiterhin in der SAP-Software selbst betrieben werden.
Ein ERP-System besteht aus vielen Einzelkomponenten wie zum Beispiel der Anwendungssoftware, der Middleware und einer Datenbank. Es greift außerdem auf zahlreiche Funktionen des zugrunde liegenden Betriebssystems zu. Bei der Konzeption einer Sicherheitsstrategie bedeutet dies zusätzliche Anstrengungen auch in den Bereichen, die nicht durch eine interne User-Verwaltung abgesichert werden können. Dieses sind zum Beispiel das Netzwerk, die SAP-Server sowie die Datenbank. Nur die Integration aller beteiligten Komponenten in ein einheitliches Konzept ermöglicht einen hohen Sicherheitsstandard.
Mit dem "Sicherheitsleitfaden für SAP R/3" liefert SAP eine gute Dokumentation, die alle Aspekte des Systembetriebs beleuchtet und Maßnahmen zur Absicherung der Einzelkomponenten empfiehlt. Die Erfahrung zeigt allerdings, dass nur wenige Kunden diese Vorschläge vollständig umsetzen: Im Rahmen von Security-Audits werden immer wieder schwere Verstöße gegen selbst simpelste Sicherheitsprinzipien festgestellt.
Dazu zählen unter anderem die im System vorgesehenen Standard-User, deren Kennwörter im Zuge der Installation unbedingt geändert werden sollten. Häufig wird diese ebenso einfache wie grundlegende Maßnahme jedoch schlicht vergessen.
Ein weiterer Schwachpunkt ist oft die Softwarelogistik. Wie mit jeder Programmiersprache lassen sich auch mit der "Abap Workbench" Viren und andere schädliche Programme schreiben. Glücklicherweise ist eine Verbreitung solcher Viren jedoch durch die fehlende Infrastruktur und Vernetzung der Systeme nahezu ausgeschlossen.
Trotzdem gilt es bei der Vergabe von Entwicklerberechtigungen und der Kontrolle des Entwicklungszyklus strenge Maßstäbe anzulegen. Wichtig ist eine Qualitätskontrolle der eigenentwickelten Reports und aller einzuspielenden Transporte. In den meisten Entwicklungszentren wird jedoch kaum darüber gewacht, welche Programme oder Reports mit welchen Funktionen die Programmierer auf das Produktionssystem transportieren können und dürfen. Ebenso sind Transporte in ein laufendes Produktionssystem keine Seltenheit.
Die Sicherheit einer ERP-Software beginnt bereits mit der Installation des Systems und erfordert permanente Kontrolle über dessen gesamte Lebensdauer hinweg. Sicherheitslücken in tieferen Systemschichten wie dem Betriebssystem oder der benutzten Datenbank wirken sich unmittelbar auf die Gesamtsicherheit aus. Daher empfiehlt es sich dringend, die ERP-Software in geschützten Bereichen eines Unternehmensnetzes zu betreiben. Mit Hilfe von Firewalls und eventuell zusätzlicher Schutzmaßnahmen lassen sich auch hohe Sicherheitsanforderungen erfüllen. Alle einzelnen Aktivitäten müssen jedoch fein aufeinander abgestimmt werden.
Spezialisierte Firmen bieten zusätzliche Tests und Audits an. Diese umfassen je nach vereinbartem Umfang Betriebssystem, Datenbank, Netzwerk und R/3-Anwendungskomponenten. Allerdings liefern derartige Überprüfungen zwangsläufig immer nur eine Momentaufnahme, denn an der konkreten Situation im Unternehmen kann sich jederzeit etwas ändern.
Obwohl vergangene Zwischenfälle eine Warnung sein sollten, sieht es mit der Sicherheit von ERP-System wie SAP R/3 nach wie vor nicht sonderlich gut aus. Teilweise liegt dies an den Anwendern, die die zur Verfügung stehenden Sicherungsmaßnahmen schlicht ignorieren. (ave)
*Ralph Behr ist SAP Security Consultant bei der Honico Systems GmbH in Hamburg.
Hier lesen Sie ...
- wieso auch ERP-Systeme Ziel von Hacker-Attacken sein können;
- dass die zunehmende Öffnung des SAP-Systems nicht nur von Vorteil ist;
- welche Fehler bei einer R/3-Installation zu vermeiden sind und
- welche Hilfsmittel SAP seinen Kunden an die Hand gibt.
Risiken im SAP-Umfeld
1. Nichtbeachtung des SAP-Sicherheitsleitfadens.
2. Default-Initialkennworte neuer User beziehungsweise nicht geänderte Kennwörter der voreingestellten User (SAP*, DDIC, TMSADM, EARLYWATCH, SAPCPIC und so weiter).
3. Nachlässige Kontrolle in der Softwarelogistik (Abap-Entwicklung und Transportwesen).
4. Zu umfangreiche Nutzerberechtigungen.
5. Nutzung von SAP-Internet-Lösungen ohne Sicherheitsaudit.