Blog
SAP-Systeme von 50.000 Unternehmen gefährdet – was können Sie tun?
Die Softwarebranche hat in den vergangenen 20 Jahren viele Milliarden Dollar in mehr Softwaresicherheit durch automatische Updates investiert. Ist Ihr SAP-System geschützt?
Ein Gastbeitrag von John Appleby
Die Chancen stehen gut, dass Sie in letzter Zeit Ihren Laptop aufgeklappt haben und eine Meldung Sie darüber informiert hat, dass zu Ihrer Sicherheit ein automatisches Update durchgeführt wurde. Das war längst nicht immer so. Noch vor 20 Jahren mussten Sie Updates manuell einspielen, ein Paradies für Hacker auf der Suche nach Sicherheitslücken, über die sich private Daten abgreifen lassen.
In den letzten 20 Jahren haben Softwarehersteller viele Milliarden Dollar ausgegeben, um durch Softwarebugs verursachte Angriffsvektoren zu schließen, die den Zugriff auf sensible Daten ermöglichen. Automatische Softwareupdates sollen heute Ihren Schutz gewährleisten, ohne dass Sie gezwungen sind, immer wieder manuelle Updates durchzuführen.
Man war zu der Erkenntnis gekommen, das Durchschnittsnutzer die Risiken verpasster Updates nicht wirklich verstehen oder zumindest davon ausgehen, dass ihnen schon nichts passieren wird und deshalb auf regelmäßige Updates verzichten. Ein ganz ähnliches Bild zeigt sich bei Herstellerrückrufen für Lebensmittel und Autos, weshalb Automobilhersteller im Fall der Fälle sehr viel Zeit damit verbringen, ihre Kunden ausfindig zu machen und sie darüber zu informieren, dass zum Beispiel ein undichter Kraftstofftank ausgetauscht werden muss.
SAP geht jedoch einen anderen Weg. Hier geht man davon aus, dass Kunden ihre Systeme schon selbst absichern werden, sie auf dem neuesten Stand halten und Einstellungen zur Aufrechterhaltung der Sicherheit entsprechend anpassen. Natürlich gibt es Kunden, die dies auch sehr akribisch tun, das gilt insbesondere für Unternehmen in Hochrisikobranchen wie der Pharmaindustrie und für staatliche Stellen.
Ein neuer Onapsis-Bericht hat jedoch sehr deutlich gezeigt, dass die überwiegende Mehrheit der SAP-Kunden dies eben nicht tut. Nicht, weil es ihnen egal ist, sondern weil es so unglaublich kompliziert ist, die Sicherheit von SAP-Systemen zu gewährleisten. Im Folgenden erfahren Sie, welche Schlüsselbereiche dringend Ihre Aufmerksamkeit erfordern.
Plattform – Betriebssystem und Datenbank
Viele der gängigsten Betriebssysteme, wie zum Beispiel SUSE Linux, bieten SAP-spezifische Installationen. Das hört sich zunächst nach mehr Sicherheit an, bedeutet aber im Endeffekt, dass Kunden keinen „Standard“-Build dieser Systeme einsetzen können, die meist mit Best Practices für die Unternehmenssicherheit ausgestattet sind. Hat man erstmal ein Sicherheitsupdate für den „Standard“-Build des Unternehmens durchgeführt, muss das Ganze auch noch für die SAP-spezifischen Installationen eingespielt werden. Unglücklicherweise lassen viele Kunden diesen wichtigen Schritt einfach aus.Das Gleiche gilt auch für Datenbanken. Auch sie benötigen eigene, von SAP unterstützte Versionen der Datenbanksoftware, was zum Beispiel im Falle von Oracle besonders kritisch ist, weil die Sicherheitsupdates von Oracle häufig in Konflikt mit einzuspielenden SAP-Fehlerbehebungen stehen. Bei SAP steigt die Zahl dieser Fehlerbehebungen schnell mal in die Hunderte, was zur Folge hat, dass kritische Sicherheitsfixe ausgelassen werden.
SAP-Einstellungen und -Parameter
Die Zahl der möglichen SAP-Einstellungen ist überwältigend und geht in die Zehntausende. Viele dieser Einstellungen werden bei der Installation standardmäßig vorkonfiguriert und in einem typischen Unternehmen gleicht kein SAP-System dem anderen. Hinzu kommt, dass diese Einstellungen an einer Vielzahl von Stellen vorgenommen werden müssen (SAP-Kernel, Profilparameter, Konfigurationsdateien usw.). Zwar haben Unternehmen in der Regel „Best Practice“-Konfigurationsvorgaben, diese erfordern aber viel manuelle Arbeit und entsprechende Audits sind als echte Zeitfresser bekannt.SAP-Updates
SAP-Updates lassen sich in drei Hauptkategorien unterteilen:
- Versionen
- Support Package Stacks
- SAP Notes
Was bedeutet das im Einzelnen?
Eine SAP-Version hat einen zeitlich begrenzten Support; SAP Business Suite 7.0 – die wohl am weitesten verbreitete SAP-Software – zum Beispiel wird noch bis ins Jahr 2025 unterstützt und bis dahin werden auch regelmäßig Sicherheitsupdates veröffentlicht. Es gibt aber natürlich auch Kunden, die ältere SAP-Version im Betrieb haben, deren Support längst ausgelaufen ist und für die keine Sicherheitsupdates verfügbar sind.
SAP stellt die Mehrzahl seiner Sicherheitsupdates per Support Package Stacks – also in einer Sammlung aus verschiedenen Softwareupdates – zur Verfügung. Die Zahl der betroffenen Codezeilen steigt da schnell in die Millionen und SAP zeichnet sich gerade dadurch aus, dass wirklich alles individuell anpassbar ist – so auch der von SAP gelieferte Code. In der Folge ist das Einspielen von Support Package Stacks immer auch mit hohen Kosten verbunden und sie werden von Kunden anders als Windows-Updates wenn überhaupt meist nur halbjährlich oder jährlich eingespielt.
Es gibt auch immer wieder Sicherheitsfixes, die als SAP Notes oder auch „Hot News“ bereitgestellt werden und manuell ins System eingespielt werden können. Betroffen sind in diesem Fall nur einige hundert oder tausend Codezeilen, was auch ein Einspielen mit minimalen Testaufwand möglich macht. Ihr SAP-Betriebsteam muss jedoch immer nach diesen Fixes Ausschau halten.
Warum sind SAP-Systeme notorisch unsicher?
Dies macht klar, warum SAP-Systeme so unsicher sind: Sie sind so komplex, so individuell auf Ihr Unternehmen zugeschnitten und so schwer auf dem neuesten Stand zu halten, dass es Kunden oft einfach nicht bewusst ist, dass in ihren Systemen riesige Sicherheitslücken klaffen; und in aller Regel fehlen einfach die Geldmittel, um diese Lücken zu schließen.Hinzu kommt die Tatsache, dass die installierte SAP-Basis zum überwiegenden Teil aus Legacy-Versionen besteht, die on-premises auf eigenen Servern betrieben werden, SAP sich aber immer mehr in Richtung Cloud bewegt. In der Cloud gehören die meisten dieser Probleme der Vergangenheit an, weil SAP selbst die volle Kontrolle über diese Umgebungen hat, neue Versionen und Fixes werden regelmäßig eingespielt, die gleichen Einstellungen gelten für alle Kunden und werden im Bedarfsfall auch für alle Kunden aktualisiert. Für SAP gibt es daher auch keinen Anreiz mehr, in die Sicherheit seiner installierten Basis zu investieren.
Wie können Unternehmen dieses Dilemma lösen?
Investitionen in umfassende Sicherheitsaudits, in Penetrationstests und Best Practices sind ein Mittel. Unglücklicherweise sind solche Maßnahmen auch mit sehr hohen Kosten verbunden und lösen das Problem nur kurzfristig. Fakt ist, dass sich die Mehrzahl der Probleme in SAP-Umgebungen auf fehlerhafte Konfigurationen und falsche Versionen zurückführen lassen.
Was aber, wenn es eine Software gäbe, die:
- eine Best-Practices-Vorlagensammlung für alle diese Bereiche bereitstellt, die sich einfach auf Ihre spezifischen Anforderungen abstimmen lässt,
- diese Best Practices entweder automatisch auf Ihre Systeme anwendet oder tägliche Audits für Ihre Systeme automatisch durchführt,
- Sie unverzüglich informiert, wenn es in einem System zu Compliance-Verstößen kommt und jegliche Änderungen aufzeichnet,
- Sie mit Upstream-Service-Tickets versorgt, damit Sicherheitsproblemen ein Vorfall zugeordnet werden kann?
Habe ich Ihr Interesse geweckt? Kontaktieren Sie uns, um Ihre persönliche Demo zu vereinbaren.
Related Articles
SAP-Sicherheitsaudit: Wie Sie sicherstellen, dass Ihr SAP-System...
Angesichts der großen Vielfalt an...
More from our blog
SAP-Sicherheitsaudit: Wie Sie sicherstellen,...
Angesichts der großen Vielfalt an maßgeschneiderten Anwendungen und Modulen, die von den einzelnen ...
Wie Sie SAP-Sicherheitslücken verhindern...
SAP stellt einige der weltweit beliebtesten Produkte für die Verwaltung von Informationen her, mit ...