Deutsch | English | Español

Transport Threat Detection – von  scheinbarer Sicherheit zu echtem Schutz

22. November 2018 | Von Thomas Fritsch, Virtual Forge GmbH

Keep out -- chain link fence with barbed wire against partly cloudy skyIch erinnere mich an einen Einsatz während meiner Bundeswehrzeit, da mussten wir ausrücken, weil die S-Draht-Rollen (die mit den kleinen scharfen Messerchen), die normalerweise auf dem Außenzaun des Geschwaders befestigt waren, ersetzt wurden. Wir sollten zum temporären Schutz entsprechende Rollen innen vor den Maschendrahtzaun legen. Auf die Frage hin, was das denn bringe, es könne doch momentan jeder von außen auf den Zaun klettern und dann die ca. 40 cm breiten und hohen  Rollen überspringen, kam die Antwort: „Das machen wir, damit keiner unten durchkriechen kann!“.

Ein Paradebeispiel für scheinbare Sicherheit. Viele werden jetzt sagen, so dumm ist doch keiner (ich schwöre, die Geschichte ist wahr!). Ich muss heute jedoch immer wieder an diesen Tag denken, wenn  ich erlebe, mit welcher Sorglosigkeit, SAP-Kunden Transportaufträge von Drittanbietern einspielen – oft Firmen, die in Offshore-Zentren in Indien, Russland oder China entwickeln lassen. Selbstverständlich werden solche Transportaufträge in der Regel zunächst vom Kunden mit den handelsüblichen Virenscannern überprüft – schließlich will man sich ja keinen Virus einfangen (oder um beim Beispiel zu bleiben: „Es soll ja keiner unter dem Zaun durchkriechen“).

Wenn es aber um die Risikobewertung der eigentlichen Transportinhalte geht, stelle ich immer wieder eine erschreckende Sorglosigkeit fest. Transporte werden zwar oft noch zuvor in ein Sandbox-System eingespielt, jedoch in der Regel nur um zu sehen, ob sie erfolgreich importiert werden können, funktional das liefern, was gefordert wurde und dies mit einer akzeptablen Geschwindigkeit getan wird.

Völlig außer Acht gelassen wird dabei die Tatsache, dass es nicht das Wissen anonymer ausländischer Spezialeinheiten braucht, um in ein SAP-System einzudringen – man kann auch durch den gezielten Transport bestimmter Einstellungen ein System angreifen oder für einen bevorstehenden Angriff vorbereiten („auf den Zaun und rüber“). Das hierzu notwendige Wissen kann sich jeder Entwickler leicht selbst aneignen. Die möglichen Auswirkungen reichen dabei vom Datendiebstahl über Identitätsdiebstahl bis hin zum kompletten Verlust des SAP-Systems.

Ein schon älterer, jedoch nicht minder aktueller Beitrag von Dennis Buroh in der Computerwoche vom März 2017 beschreibt sehr beeindruckend, wie hoch aber auch die Gefahr von Angriffen durch interne Mitarbeiter ist (So wird man zum Innentäter). Hier stellen die weitreichenden Möglichkeiten der Entwickler im Entwicklungssystem, zusammen mit der Option, Änderungen sehr einfach über das Transportwesen in Produktion bringen zu lassen, eine brisante Kombination dar.

Die Virtual Forge GmbH hat als führender Anbieter von Security-Produkten für SAP dieses große Sicherheitsproblem identifiziert und bietet SAP-Kunden mit dem Produkt Transport Threat Detection (TTD) eine Lösung an, die ähnlich einem klassischen Virenscanner, jeden neuen Transportauftrag automatisch auf schadhafte Transportinhalte untersucht. Dabei ist der Installationsaufwand extrem gering, da die Software auf nur einem SAP-System installiert werden muss. Da Transport Threat Detection nicht in den bestehenden Change- und Transportprozess eingreift, sondern lediglich bei Erkennen eines Angriffs entsprechende Notifikationen versendet, ist die Lösung  adhoc einsetzbar. Nutzen Sie das Know How aus 12 Jahren Erfahrung in SAP Security und schützen Sie Ihre SAP-Systeme wirklich – oder anders ausgedrückt: Lassen Sie niemanden einfach auf den Zaun steigen und rüberspringen...

Topics: Transport Security



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png