Deutsch | English | Español

Der erste Schritt zu mehr Sicherheit: SAP® Penetrationstests

25. September 2017 | Von Peter Maier-Borst, Virtual Forge GmbH

close up of  a white box template on white background.jpegWer herausfinden will, ob die Türen seines Hauses sicher verschlossen sind, probiert es am Besten aus. Dabei ist der Bewohner gegenüber einem Eindringling im Vorteil: er kennt alle Türen und Fenster, die als Eingang ge- oder mißbraucht werden können. Das gilt genauso für SAP-Systeme: Ein Penetrationstest ist wesentlich effektiver, wenn ein Angriff von außen (black box pentesting) mit der Analyse möglicher Schwachstellen von innen heraus (white box pentesting) kombiniert wird.

Wilma Feuerstein: ”Fred, ist unsere Tür sicher versperrt?“

Fred Feuerstein: ”Ich schau gleich mal nach, Wilma!”      
(The Flintstones, 30.09.1960.)

Dieser Dialog hatte seine Premiere wohl kurz, nachdem Mensch vom Baum gestiegen war, um seine Nächte künftig in Wohnhöhlen zu verbringen - und er war für unsere Vorfahren überlebenswichtig.

Den Erfolg der menschlichen Spezies verdanken wir allgemein unserer Fähigkeit, relevante Fragen zu stellen und für diese die richtigen Antworten zu finden. Über die letzten 10.000 Jahre sind die Fragen der besorgten Wilmas dabei immer komplexer geworden, während die Freds unsere Strategien zum Auffinden der richtigen Antworten eher geringfügig weiterentwickelt haben:

“Ist mein SAP-System geschützt, Fred?”

“Ich mach demnächst mal einen Penetrationstest, Wilma!”

Schon die Annahme, dass man komplexe Themen auf einige wenige Indikatoren reduzieren kann und dass es ausreicht, deren Werte punktuell oder über einen relativ kurzen Zeitraum zu ermitteln, erscheint gelinde gesagt optimistisch. Dies ist einer der Gründe, warum im berühmten Abspann der Feuerstein-Serie Fred die Nacht letztlich im Freien verbringen muss, während sein Hund auf dem Sofa schläft. Fred verschloss die Tür sicher, versäumte aber vorauszusehen, dass sein Hund mit Leichtigkeit durch das offene Fenster eindringen würde.

Ist es also nicht sinnvoll, SAP Pentests durchzuführen?

Doch, in jedem Fall! Aber es kommt darauf an, welche Ziele Fred verfolgt.

  • Wenn Fred erreichen möchte, dass Wilma sich in seinen Armen entspannt, empfehlen wir ihm, ein bisschen am Felsbrocken des Eingangs zu rütteln und dann seiner Frau zu versichern, dass alles in bester Ordnung ist.
  • Möchte Fred hingegen Wilma davon überzeugen, dass der Eingang der Höhle renoviert werden muss, sollte er zeigen, wie leicht ein böswilliger Eindringling in die Höhle gelangen könnte.

Wenn es jedoch das Ziel eines Pentests ist, die Wahrscheinlichkeit für einen erfolgreichen Angriff auf ein SAP-System zu ermitteln und adäquate Maßnahmen zu identifizieren, um dies zu verhindern, müssen bestimmte Tatsachen bedacht werden: Zunächst müssen wir uns bewusst machen, dass die Angreifer des Jahres 2017 erfahrene Profis sind, die spezielle (im Deep Web erhältliche) Werkzeuge gegen SAP-Systeme nutzen. Sie arbeiten bei ihren Angriffen arbeitsteilig entsprechend ihrer Spezialisierungen (Kommunikation, Netzwerke, SAP-Zugang, Diebstahl und Manipulation von Daten, Datenverschlüsselung und Erpressung).

Ein gehacktes SAP-System bedeutet für einen hypothetischen Verbrecher einen großen Gewinn und somit muss man davon ausgehen, dass für die Angriffe beträchtliche Mengen an qualifizierten Ressourcen investiert werden, die das Budget für einen Penetrationstest bei weitem übersteigen.

Erfolgreiche Angriffsstrategien zu antizipieren muss das Ziel unserer Pentests sein, nicht das Beschwichtigen besorgter System-Nutzer oder Auditoren. Wir geben SAP-Anwendern daher folgende Empfehlungen:

  • Betrachten Sie SAP Penetrationstests als eine Maßnahme unter vielen.
  • Beauftragen Sie auf SAP-Angriffe spezialisierte Anbieter.
  • Um den quantitativen Ressourcen-Nachteil zu kompensieren, sollten sie den Pen-Testern bestimmte zusätzliche Privilegien geben, über die ein Angreifer typischerweise nicht verfügt, z.B. Zugang zu bestimmten SAP-Einstellungen
    (“grey-box penetration testing”).

Im Laufe der Jahre haben wir die Sicherheit vieler SAP-Systeme untersucht. Wir haben dabei teilweise sehr gut geschützte Systeme vorgefunden, teilweise wurde man aber auch an Fred Feuersteins Hütte erinnert: keine vergitterten Fenster, keine Scheiben oder Vorhänge. In jedem Fall konnten wir den aktuellen Status des Schutzes ermitteln und demonstrieren, anschließend Verbesserungen planen und deren Umsetzung unterstützen. Grey-box Penetrationstests als erster Schritt haben sich dabei als die effizienteste Taktik bewährt, um die ungeteilte Aufmerksamkeit und die Unterstützung der “Wilmas” für unsere Anliegen zu gewinnen. ¡JABADABADOOOOO!

Author: Peter Maier-Borst, Virtual Forge GmbH



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png