Enterprise Threat Detection (ETD)

SAP Patchen nach Maß

Dr. Markus Schumacher ist Mitgründer und Geschäftsführer der Virtual Forge GmbH. Zuvor war er Repräsentant des Fraunhofer Instituts für Sichere IT (SIT) und dort auch Leiter des Bereichs "Security and Embedded Devices".
Die Sicherheitslösung SAP Enterprise Threat Detection (ETD) bietet neuerdings auch die Möglichkeit, bekannte SAP-Sicherheitsschwachstellen in Echtzeit zu überwachen. IT-Abteilungen werden damit beim Priorisieren anstehender Patch-Installationen unterstützt.

Bisher veröffentlicht SAP die aktuellen Sicherheits-Updates im SAP Support Portal und SAP Solution Manager regelmäßig einmal im Monat - dem so genannten Patch Day. IT- Abteilungen erhalten damit Hinweise und Lösungen für relevante Sicherheitslücken, die sie möglichst zeitnah in ihre SAP-Systemumgebung einspielen sollten, damit diese nicht von Angreifern ausgenutzt werden können. Doch oft ist ein schnelles Update technisch oder organisatorisch nicht machbar, da das Einspielen der aktuellen Security Notes in sämtliche in Frage kommenden SAP-Systeme sehr viel Aufwand erfordern würde.

Darstellung einer Security Note in SAP ETD
Darstellung einer Security Note in SAP ETD
Foto: Virtual Forge

Viele Unternehmen warten zudem mit der Patch-Implementierung bis zum nächsten System-Wartungsfenster, um unnötige Stillstände zu vermeiden. Bis dahin sind die betroffenen SAP-Anwendungen jedoch höheren Risiken ausgesetzt, da mit der Veröffentlichung der Sicherheits-Updates ein großer Personenkreis von den vorhandenen Sicherheitslücken erfährt und diese gezielt ausnützen könnte. Sicherheitsexperten bezeichnen diesen Zeitraum daher als "Gefährdungsfenster" (engl. "Window of Exposure").

Dringlichkeit entscheidet

Damit IT-Abteilungen das Zeitfenster für diese Risiken möglichst klein halten können, wurde die Echtzeit-Sicherheitslösung SAP Enterprise Threat Detection (ETD) um Funktionen zur zeitnahen Überwachung der SAP Security Notes erweitert. SAP ETD schlägt sofort Alarm, wenn auf einem noch ungepatchten SAP-System gerade eine Funktion mit einer bekannten Sicherheitsschwachstelle ausgeführt wird. Dadurch lässt sich fundiert über die Dringlichkeit anstehender Patch-Installationen entscheiden: Je häufiger eine unsichere SAP-Funktion ausgeführt wird, desto schneller sollte das betreffende Sicherheits-Update eingespielt werden, um potenzielle Gefährdungen zu vermeiden. SAP ETD überprüft nicht nur die Ausführung von kritischen Softwarecode-Stellen, sondern in vielen Fällen auch die Ausnutzung der Schwachstelle an sich, zum Beispiel durch die Auswertung von Programmparametern.

SAP ETD State of Compromise: Wie häufig wurde eine ungepatchte Schwachstelle ausgenutzt?
SAP ETD State of Compromise: Wie häufig wurde eine ungepatchte Schwachstelle ausgenutzt?
Foto: Virtual Forge

Das Echtzeit-Monitoring gemeldeter SAP-Schwachstellen bietet IT-Abteilungen den Vorteil, hochkritische Security Notes zeitnah einzuspielen oder auf einer anderen Ebene die Gefahr temporär zu eliminieren - dies könnte das Blockieren einen RFC-Bausteines oder eines Ports sein, der unkritisch für die Geschäftsprozesse ist. Unkritischere Security Notes werden weiterhin während der geplanten Wartungsfenster eingespielt. Dieses Vorgehen spart Zeit und Personalressourcen. Die zeitnahe Überwachung der anderen noch ungepatchten Schwachstellen bietet die Möglichkeit, direkt auf weitere mögliche Risiken zu reagieren.

Vorgehen maßgeblich für Projekterfolg

Bei der Einführung der neuen ETD-Funktionen zum Monitoring der SAP Security Notes entscheidet eine strukturierte und effiziente Vorgehensweise über den Projekterfolg.

Prinzipiell gilt: Je heterogener die bestehenden Systemlandschaften und Release-Stände sind, desto mehr Aufwand ist mit der Einführung verbunden. Zu beachten ist auch der bis dahin aufgelaufene Arbeitsrückstand ("Backlog") an SAP Sicherheits-Updates. Erfahrungsgemäß gibt es bei vielen SAP-Kunden kein Sicherheits-Team, das sich systematisch und exklusiv um das Einspielen der aktuellen SAP-Patches kümmert. Daher kann sich aus vorangegangenen Patch Days ein großer Arbeitsrückstand an Sicherheits-Updates angesammelt haben, der zunächst abgearbeitet werden muss.

Zu den zentralen Projektanforderungen gehören:

  1. "Get clean" für den Patch-Arbeitsrückstand: Im ersten Schritt wird der vorhandene Backlog einer so genannten Triage, sprich: Sortierung nach Dringlichkeit, unterzogen. Dabei werden die Sicherheits-Updates daraufhin ausgewertet, wann und in welcher Reihenfolge sie in die SAP-Systeme eingespielt werden sollten. Ziel ist es, den angesammelten Arbeitsrückstand abzutragen und damit einen akzeptablen Ausgangszustand für die künftigen Auswertungen jedes Patch Days herzustellen.

  2. "Stay Clean" durch effizientes Vorgehen bei Sicherheitshinweisen: Danach sollten Unternehmen an jedem Patch Day eine Bewertung der aktuellen Sicherheits-Updates durchführen, um einen dauerhaften Schutz der SAP-Systeme zu erreichen. Angesichts der sehr großen Mengen an Patches und betroffenen Systeme ist es ratsam, sich auf die kritischen Security Notes zu fokussieren und die anderen auf Basis definierter Prüfregeln ins ETD-Monitoring einzubinden. Basis dafür ist das spezifische Risikoverständnis des Unternehmens.

  3. Angemessenes Alarmierungsniveau schaffen: Sendet ETD beim Aufruf unsicherer SAP-Funktionen laufend Alarme aus, kann seine Akzeptanz schlagartig sinken, weil solche Alarmfluten im Alltag schlichtweg nicht beherrschbar sind. Daher muss an jedem Patch Day für die ins ETD-Monitoring einzubindenden Sicherheitshinweise festgelegt werden, welche Alarme für ein Unternehmen relevant sind und ab welchen Schwellwerten sie angezeigt werden sollen.

Sicherheits- und SAP-Know-how kombinieren

Die Ausführungen zeigen: SAP-Kunden, die das Potenzial der neuen ETD-Funktionen heben möchten, müssen vor allem den Triage-Aufwand betreiben. Da es in vielen Unternehmen dafür keine ausreichenden Personalressourcen gibt, empfiehlt es sich, externe Sicherheitsanbieter an Bord zu holen - ob als einmalige Unterstützung beim Einführungsprojekt oder als dauerhafte Services pro Patch Day. Unverzichtbar ist, dass der Beratungspartner das erforderliche Sicherheits- und SAP-Know-how mitbringt, allen voran Erfahrungen in der Umsetzung von Patches, Verständnis für unterschiedliche SAP-Releases und Upgrade-Verfahren sowie Kenntnisse im Bereich Threat Detection - sowohl im Allgemeinen mit SIEM-Lösungen (Security Information and Event Management) als auch speziell mit SAP ETD.

Ergänzung durch präventiven Ansatz

Um die SAP-Sicherheit weiter zu steigern, kann die ETD-Echtzeitüberwachung ungepatchter Systeme durch einen präventiven Ansatz komplettiert werden, der Schwachstellen bereits im kundeneigenen Quellcode oder in den SAP-Systemeinstellungen identifiziert. Dass hier ein großes Gefahrenpotenzial besteht, zeigt ein aktueller Business Code Quality Benchmark. Demnach haben anonymisierte Scans bei weltweit mehr als 300 SAP-Kunden ergeben, dass kundenspezifische SAP-Anwendungen durchschnittlich 2000 kritische Sicherheitsfehler im selbstgeschriebenen ABAP-Code enthalten, die ein Unternehmen für Attacken verwundbar machen.

SAP Digital Boardroom for Security
SAP Digital Boardroom for Security
Foto: Virtual Forge

Mit spezieller SAP-Sicherheitssoftware können diese Schwachstellen im SAP-Kundencode automatisch aufgespürt und - soweit möglich - korrigiert werden. Ergänzend bietet es sich an, auch diese Sicherheitslücken ins ETD-Monitoring einzubinden, bis sie gefixt werden. Ähnliches gilt für bekannte Schwachstellen in Drittanbieter-Anwendungen, die viele SAP-Kunden im Einsatz haben: Auch hier schlägt ETD zeitnah Alarm, wenn unsichere Funktionen aufgerufen werden. Die vorgestellten Funktionen sind erhältlich ab SAP Enterprise Threat Detection 1.0 SP04

Lesen Sie mehr zum Thema SAP-Sicherheit:

Business App Security: Ist Ihr SAP sicher?

SAP-Sicherheit - denn sie wissen nicht, was sie tun

SAP-Cloud-Sicherheit lässt sich nicht delegieren

SAP-Sicherheit: Penetrationstests spüren Schwachstellen auf