Christoph Aschauer, Director, LogPoint for SAP
SAP ist Marktführer im Bereich der betriebswirtschaftlichen Software (Enterprise Application Software) und wird von 92 % der Forbes Global 2000-Unternehmen eingesetzt. Dazu gehören Unternehmen, die 78 % der weltweit produzierten Lebensmittel und 82 % der weltweit hergestellten Medizinprodukte und medizintechnischen Geräte vertreiben. In SAP-Systemen sind große Mengen sensibler, personenbezogener Daten gespeichert, unter anderem in den Modulen Enterprise Resource Planning, Human Capital Management, Sales, SRM und CRM.
In vielerlei Hinsicht könnte man ein SAP-System als Träger des geistigen Eigentums und der Erfolgsgeheimnisse eines Unternehmens bezeichnen. Es bildet die Grundlage für die Bereitstellung von Produkten und Dienstleistungen. SAP ist auch ein unverzichtbares Werkzeug für die Unternehmensplanung, die Fertigung mit ERP, das Product-Lifecycle-Management, Business Intelligence, die Materialwirtschaft und vieles mehr. Dies unterstreicht die Notwendigkeit, SAP-Systeme vor Cyberangriffen und Cyberkriminellen zu schützen.
Aufgrund der weit verbreiteten Nutzung von SAP weltweit sowie der sensiblen Daten, die SAP-Systeme für Unternehmen in allen Branchen verwalten, sind sie ein attraktives Ziel. Eine Analyse der SAP-Angriffsvektoren und der Bedrohungsakteure zeigt, dass umfassendes, SAP-spezifisches Fachwissen vorhanden ist, das es Cyberkriminellen ermöglicht, SAP-Systeme auf sehr raffinierte Art und Weise anzugreifen. Cyberkriminelle haben es auf die Kronjuwelen großer Unternehmen abgesehen und können kritische Infrastrukturen beeinträchtigen und schädigen.
Um Unternehmen, die SAP einsetzen, zu schützen, ist es unerlässlich, die Grundlagen der SAP-Sicherheit und ihre Schwachstellen zu verstehen. Zudem müssen Sie wissen, wie Sie einen ganzheitlichen 360-Grad-Ansatz für die Sicherheit umsetzen können, einschließlich eines modernen SIEMs für SAP.
Die Grundlagen der SAP-Sicherheit
SAP Security bietet ein umfangreiches Angebot, das Organisationen, Prozesse, Anwendungen, zugrundeliegende Systeme sowie IT-/OT-Umgebungen umfasst. Daher ist das Bewusstsein für SAP-Sicherheit von entscheidender Bedeutung, ebenso wie die Etablierung einer Security-Governance. Dies trägt dazu bei, die Grundlage für Strategien, Richtlinien und Standards für SAP zu schaffen. Wenn es um SAP-Sicherheit geht, sind Datenschutz und Datensicherheit entscheidende Themen. Sie sind unerlässlich für den Schutz des geistigen Eigentums eines Unternehmens, die Erfüllung von Audit-Anforderungen sowie die Einhaltung von gesetzlichen Vorgaben, beispielsweise der DSGVO.
Natürlich umfasst SAP Security Funktionen wie Benutzer- und Identitätsmanagement, Zugriffskontrolle und Berechtigungssteuerung, Code-Sicherheit, Netzwerksicherheit, Betriebssystemsicherheit, Datenbanksicherheit sowie Endpunkt-/Client-Sicherheit. Ein weiteres Element, das bei der Erörterung der SAP-Sicherheit berücksichtigt werden muss, sind Themen wie die Härtung von SAP-Systemen. Eine ausführliche Einführung in die SAP-Sicherheit finden Sie in meinem Blog-Beitrag über die Grundlagen der SAP-Sicherheit.
Um SAP-Systeme angemessen zu schützen, ist ein ganzheitlicher Ansatz erforderlich. Dies bedeutet, dass zunächst eine Strategie für die SAP-Security-Governance definiert und bewertet werden muss, die die Erstellung von Richtlinien sowie das Risikomanagement umfasst. Darüber hinaus müssen Richtlinien, Konzepte zur klaren Abgrenzung von Aufgaben sowie die Einhaltung der Compliance-Vorgaben anhand von Berichten oder in Echtzeit überwacht werden. Schließlich ist die Überwachung des Zugriffs auf wichtige Daten wie das geistige Eigentum eines Unternehmens sowie des Zugriffs auf personenbezogene Daten von entscheidender Bedeutung, da Sicherheitskonzepte jederzeit umgangen werden können.
SAP selbst stellt die gängigsten SAP-Sicherheitswerkzeuge mit dem Tool-Set „SAP Solution Manager und SAP Governance Risk and Compliance“ (SAP GRC) zur Verfügung. Größere SAP-Umgebungen werden in der Regel mit „SAP Focused Run“ verwaltet. SAP hat auch die Lösung „SAP Enterprise Threat Detection“ entwickelt, die als „SAP SIEM“ beworben wird, um sicherheitsrelevante SAP-Events und SAP-Aktivitäten nahezu in Echtzeit zu überwachen.
Die Schwachstelle: verschiedene Teams verantworten die Sicherheit
Historisch betrachtet basiert SAP-Sicherheit auf den von SAP selbst bereitgestellten Tools. Das liegt daran, dass sich die SAP-Sicherheit hauptsächlich auf das Identitätsmanagement, die Zugriffskontrolle sowie die Berechtigungssteuerung konzentriert – verwaltet von der SAP-Abteilung. Die für SAP verantwortliche Abteilung im Unternehmen ist oft Teil der Finanzorganisation oder des IT-Betriebs. SAP-Sicherheit ist nur selten ein gemeinsames Projekt mit dem Cybersecurity-Team, das die Sicherheit der gesamten Infrastruktur des Unternehmens verantwortet.
Unternehmen versäumen es oft, die Kräfte dieser beiden maßgeblichen Fachabteilungen zu bündeln, um ihre wertvollsten und anfälligsten Assets zu schützen. Während es den Cybersecurity-Abteilungen an Wissen über SAP-Sicherheit mangelt, fehlt es den SAP-Abteilungen oft an grundlegendem Wissen über Cybersecurity. Diese grundlegende Schwachstelle wird noch dadurch verstärkt, dass die meisten SAP-Kunden sich auf die einfachen SAP-Security-Tools verlassen und SAP Enterprise Threat Detection nicht einsetzen.
SAP Enterprise Threat Detection ermöglicht die dringend benötigte Überwachung von SAP-Systemen in Bezug auf Compliance, Systemeinstellungen und Systemaktivitäten nahezu in Echtzeit. Dennoch vergrößert es nur die Kluft zwischen SAP-Sicherheit und Cybersecurity.
Die Lücke zwischen SAP-Sicherheit und Cybersicherheit
Eine SIEM-Lösung, wie sie von vielen Cybersecurity-Teams eingesetzt wird, ist das einzige System, in dem alle Arten von sicherheitsrelevanten Informationen in Echtzeit gesammelt und analysiert werden. Diese Software ist darauf ausgelegt, Millionen von Ereignissen pro Tag zu empfangen, zu analysieren und Bedrohungen auf Grundlage vordefinierter Regeln und Anomalien im Benutzerverhalten zu erkennen. Eine SIEM-Lösung sammelt Daten von allen Arten von Netzwerkgeräten, von Systemen für das Identitäts- und Zugriffsmanagement, von Endpunkten, von Servern und Datenbanken, von IT-Infrastrukturen, von Betriebssystemen und Anwendungen.
Im Gegensatz dazu konzentriert sich SAP Enterprise Threat Detection ausschließlich auf die Überwachung von SAP-Sicherheitsinformationen. Diese Lösung unterstützt nicht die Korrelation von SAP-Daten und SAP-Events mit den Daten, die die SIEM-Anwendung im Cybersecurity-Team sammelt. Die SAP-Sicherheit ist somit wie eine „eigene Insel“ – vollkommen isoliert. So entsteht eine Lücke zwischen der SAP-Sicherheit und der Cybersicherheit. Entscheidende, kontextbezogene Sicherheitsinformationen aus der zugrundeliegenden, gesamten IT-Infrastruktur werden nicht genutzt – ebenso wenig wie die Kompetenzen des Cybersecurity-Teams.
Diese isolierte Betrachtungsweise von Sicherheitsinformationen ist ein erhebliches Hindernis für einen ganzheitlichen, 360-Grad-Ansatz für die IT-Sicherheit. Die Lücke verlangsamt die Erkennung und Reaktion auf sicherheitsrelevante Vorfälle und macht SAP-Systeme anfällig für Cyberkriminelle, die diese Lücke ausnutzen, um in SAP-Systeme einzudringen. Um diese Lücke zu schließen und eine ganzheitliche Sicht auf die Sicherheit zu unterstützen, sind moderne SAP-SIEM-Lösungen erforderlich.
Ein modernes SIEM für SAP
Ein moderner Ansatz für SAP-Sicherheit basiert auf der Kombination von SAP-Sicherheitsinformationen mit kontextbezogenen Sicherheitsinformationen aus der zugrundeliegenden IT-Infrastruktur, die in einer SIEM-Lösung gesammelt werden. SAP-Sicherheitsdaten werden mit diesen SIEM-Informationen kombiniert, und um die Kompetenzen des Cybersecurity-Teams ergänzt. So lässt sich die Lücke schließen, und die Erkennung von sicherheitsrelevanten Vorfällen sowie die Reaktion darauf beschleunigen und verbessern.
Dies ermöglicht es SAP-Sicherheitsteams zudem, von den Vorteilen der fortschrittlichen Analysen einer SIEM-Plattform zu profitieren. Hierzu zählt auch User and Entity Behavior Analytics (UEBA). Diese Verhaltensanalyse für Benutzer und Entitäten ergänzt den regelbasierten Standard-Ansatz (für bekannte Bedrohungen) um die Fähigkeit, unbekannte Bedrohungen und unbekanntes verdächtiges Verhalten zu erkennen. So lässt sich beispielsweise aufdecken, ob ein privilegiertes SAP-Konto infolge eines Phishing-Angriffs eine ungewöhnliche Finanztransaktion innerhalb der zulässigen Grenzen ausführt.
Sie stellen sich möglicherweise die Frage, wie ein SIEM-Analyst des Cybersecurity-Teams mit SAP-Sicherheitsinformationen arbeiten kann. Das SAP-SIEM der nächsten Generation unterstützt die Abbildung erkannter Bedrohungen im MITRE ATT&CK-Framework und unterstützt Cybersecurity-Analysten somit dabei, den Angriff zu verstehen und zu beheben. Zudem umfasst das Next-Generation-SAP-SIEM auch Playbooks für die Reaktion auf sicherheitsrelevante Vorfälle. So können Sie Reaktionsprozesse und Reaktionsmaßnahmen formalisieren und die Behebung automatisieren.
Das bedeutet jedoch auch, dass neue Fachkenntnisse erforderlich sein werden, die das Know-how auf den Gebieten SAP-Sicherheit und Cybersicherheit kombinieren. Die Integration von SAP in eine SIEM-Lösung ist jedoch die einzige Möglichkeit, SAP-Sicherheit und Cybersicherheit zusammenzuführen, um eine ganzheitliche Sicht und mehr Effizienz in der Cybersicherheit zu schaffen. Obgleich Advanced Analytics, die Abbildung in MITRE ATT&CK sowie die Automatisierung eine großartige Unterstützung bieten, besteht kein Zweifel daran, dass die Expertise und das Know-how von Mitarbeitern in den Bereichen SAP und Cybersecurity in Zukunft sehr gefragt sein werden. Jetzt ist es an der Zeit, zu handeln.