Deutsch | English | Español

SAP-SCHNITTSTELLEN - ZÜNDSTOFF FÜR DATENLECKS

1. Oktober 2018 | Von Dr. Oleksandr Panchenko

Oleksandr PanchenkoInterview erschienen am 28.09. in IT MANAGEMENT – DSAG SPEZIAL

Die im Markt verfügbaren Werkzeuge bieten keinen umfassenden Überblick über SAP-Schnittstellen. Diese sind ein wachsendes IT-Sicherheitsrisiko. Wie sich Unternehmen wirksam vor Bedrohungen schützen können, erläutert Dr. Oleksandr Panchenko, Security Architect bei Virtual Forge im Interview.

it management: Warum rücken SAP-Schnittstellen vermehrt ins Visier von Datendieben, Wirtschaftsspionen und Saboteuren?

Dr. Panchenko: In den meisten Betrieben sind in den vergangenen Jahren hochkomplexe SAP-Systemumgebungen entstanden. Zum einen hat die Globalisierung einen starken unternehmerischen Wandel in Gang gesetzt. Betriebe expandieren, fusionieren und kaufen andere Gesellschaften mitsamt ihren IT-Systemen zu. Gleichzeitig führt der digitale Wandel, befördert durch Trends wie Cloud Computing und Industrie 4.0, zu immer stärker vernetzten IT-Infrastrukturen. Dabei geht leider oft der Überblick über die vorhandenen Schnittstellen verloren – in typischen SAP-Systemlandschaften gibt es mehrere Tausend davon. Die Unternehmen sind außerstande, die Schnittstellen vor unberechtigten Zugriffen zu schützen – und öffnen Cyberkriminellen damit Tür und Tor.

it management: Welche Auswirkungen können ungesicherte SAP-Schnittstellen haben?

Dr. Panchenko: Wenn es Cyberkriminellen gelingt, auf ganze Datenbestände zuzugreifen, um sie zu kopieren, zu ändern oder zu löschen, kann der wirtschaftliche Schaden für ein Unternehmen immens sein – etwa wenn die Hacker die Bilanzergebnisse verfälschen oder SAP-Systeme komplett abschalten. Zudem leidet die Reputation und das Vertrauen von Kunden und Partnern schwindet. Verstärkt wird dieser Druck durch immer strengere regulatorische Anforderungen wie die EU-DSGVO, die Verstöße gegen die neuen Vorgaben zum Schutz personenbezogener Daten mit hohen Bußgeldern ahndet.

it management: Warum bekommen die Unternehmen das Problem nicht besser in den Griff?

Dr. Panchenko: Weil es meist keine zentrale Stelle gibt, die über eine lückenlose Dokumentation sämtlicher Schnittstellen und darüber ausgetauschter Daten verfügt. Zwar führen manche Unternehmen manuelle Analysen der sicherheitskritischen Parameter der Schnittstellen und Laufzeitstatistiken durch, um wenigstens einigermaßen Transparenz zu erhalten. Das bleibt jedoch auf Stichproben beschränkt, da händische Auswertungen sehr aufwändig sind.

it management: Wie sieht es mit IT-gestützten Analysen der SAP-Schnittstellen aus?

Dr. Panchenko: Auch die im Markt verfügbaren Werkzeuge bieten keinen umfassenden Überblick. Zum einen weil sie sich auf die Auswertung einzelner Schnittstellen-Technologien beschränken und nicht die gesamte Bandbreite einer typischen SAP-Umgebung abdecken, wie zum Beispiel Remote Function Call, HTTP,FTP, Java Connector oder Schnittstellen zu einem Drucker. Zum anderen lassen sich die Schnittstellen und Datenflüsse nur lokal,das heißt aus einem einzigen System heraus analysieren – was nicht ausreicht, umein möglichst vollständiges Bild der Kommunikationsbeziehungen innerhalb einer SAP-Systemumgebung zu erhalten. Und schließlich beschränken sich viele Analysewerkzeuge auf eine einzige Problemstellung, zum Beispiel auf die Frage, welche Art von Daten über den SAP GUI heruntergeladen werden.

it management: In diese Lücke stoßen Sie nun mit dem neuen Virtual Forge InterfaceProfiler?

Dr. Panchenko: Richtig, denn dieses Werkzeug ermöglicht eine komplette Inventarisierung der Schnittstellen, darunter auch solche, die vielen Anwendern gar nicht bewusst sind, wie unbefugte Downloads von Listen über den SAP GUI, direkte Zugriffe auf die Datenbank oder den Austausch mit externen Systemen. Dazu werden die Kommunikationsbeziehungen der gesamten Systemumgebung analysiert und die Ergebnisse grafisch dargestellt. Treten dabei Sicherheitsschwachstellen, wie fehlende Verschlüsselung, unsichere Verbindungen oder Berechtigungsprobleme bei Remote Function Call-Verbindungen zutage, erhalten die Systemverantwortlichen Hinweise zur besseren Absicherung.

it management: Welche Einsatzszenarien bieten sich für den Interface-Profiler an?

Dr. Panchenko: Eine Option ist die Verwendung im Rahmen von Projekten. Zieht zum Beispiel ein Unternehmen seine SAP-Systeme in ein anderes Rechenzentrum um, ist es wichtig zu wissen, welche Schnittstellen zu welchen anderen Komponenten aktiv sind – nur so können alle benötigten Systeme und Komponenten mit umgezogen und in der neuen Umgebung richtig konfiguriert werden. Gleichzeitig bietet sich dabei eine gute Gelegenheit, in der Systemlandschaft aufzuräumen. Im laufenden Betrieb überwacht der InterfaceProfiler die Datenflüsse. Dazu werden Regeln für die gewünschte SAP-System- und-Schnittstellenlandschaft im Werkzeug hinterlegt und im Rahmen von Soll-Ist-Analysen mit den laufenden Informationen verglichen. Will etwa ein Vertriebsmitarbeiter vertrauliche HR-Daten herunterladen, erfolgt ein Alarm und der Systemverantwortliche kann die betreffende Schnittstelle sofort kappen. Auch lässt sich durch Regeln verhindern, dass personenbezogene Daten, wie Kundennamen oder Kreditkartennummern, nach draußen gelangen. Unternehmen sind damit konform mit der Datenschutz-Grundverordnung (DSGVO).

it management: Welche Vorteile bietet es, dass Ihr Werkzeug erstmal seine automatische Klassifizierung der Daten erlaubt?

Dr. Panchenko: Anwender können damit auch bei sehr großen Datenmengen einen klaren Überblick behalten und sich auf kritische Datenströme konzentrieren. Durch die Kategorisierung brauchen sie die Datenflüsse nämlich nicht direkt zu überwachen, sondern können anhand von Metadaten der Funktionsaufrufe und Kommunikationsbeziehungen darauf schließen, welche Art von Daten ausgetauscht werden. Dies beschleunigt auch die Such- und die Alert-Funktion ganz erheblich. Wichtig für unsere Kunden ist, dass wir ihnen mit dem InterfaceProfiler vordefinierte Klassifizierungen zur Verfügung stellen, die sie granular verfeinern und an ihre individuellen Anforderungen anpassen können. Sie müssen also nicht auf der grünen Wiese beginnen, sondern können von unserer langjährigen Expertise in Form von mitgeliefertem Content profitieren.

it management: Wie gestaltet sich die Einführung des neuen Werkzeugs konkret?

Dr. Panchenko: Zunächst gibt es mehrere Möglichkeiten, wie wir an die Schnittstellennutzungsstatistiken in der SAP-Systemumgebung eines Kunden gelangen. Den geringsten Aufwand verursachtes sicher, wenn wir ein SAP-System so belassen, wie es ist. Der InterfaceProfiler lädt dann einfach die Nutzungsdaten über eine SAP-Standardfunktion herunter, um herauszufinden, mit welchen Anwendungen das System kommuniziert und welche Nutzer darauf zugreifen. Eine zweite Möglichkeit ist, dass wir auf einem SAP-System unsere eigenen Datensammler installieren. Das kostet zwar mehr Aufwand, bietet aber bessere Datenquellen. Auf jeden Fall empfiehlt es sich, zunächst mit einigen ausgewählten SAP-Anwendungen zu starten und den InterfaceProfiler dann sukzessive in die gesamte Systemumgebung zu integrieren. Damit können die Kunden von den Vorteilen einer möglichst vollständigen Überwachung der Schnittstellen profitieren, ohne Wartungsfenster auf mehreren Systemen synchronisieren zu müssen.



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png