Deutsch | English | Español

Warum das rechtzeitige Einspielen von SAP® Sicherheitshinweisen immer wichtiger wird

12. Oktober 2017 | Von Virtual Forge GmbH

3D character holding chain together - isolated over a white background.jpegIn der vergangenen Woche wurden einige SAP-Sicherheitslücken öffentlich, die es Angreifern ermöglicht hätten, unbemerkt Daten zu stehlen oder SAP-Server zu sabotieren. Kritische Schwachstellen, die in Anwendungen der SAP gefunden wurden und bei vielen Kunden im Einsatz sind.

Die Schwachstellen wurden von SAP® mit der Veröffentlichung entsprechender Security Notes bereits geschlossen. Kunden wird geraten, diese Sicherheitshinweise so schnell wie möglich einzuspielen. Leider zeigt unsere Erfahrung, dass Sicherheitshinweise nicht immer sofort eingespielt werden. So zeigt eine Studie des IT-Onlinemagazins unter SAP-Kunden, dass fast ein Drittel der Kunden, Patches erst nach mehr als drei Monaten einspielen.

Besonders eine der im Artikel genannten Schwachstellen zeigt, dass SAP-Kunden die Sicherheitshinweise im vorliegenden Fall unbedingt einspielen sollten: Es wird  eine Lücke im Web Dynpro Island Development ausgenutzt. Das Island Development wird von Entwicklern vor allem dazu genutzt, Beschränkungen in der Nutzeroberfläche von Web Dynpro-Anwendungen zu umgehen. Man kann davon ausgehen, dass diese Schwachstellen in vielen Anwendungen vorhanden sind, die aus dem öffentlichen Internet erreichbar sind.

Mit anderen Worten: Sowohl der Schaden, als auch die Eintrittswahrscheinlichkeit eines Angriffs sind in diesem Fall relativ hoch. Warum werden Sicherheitshinweise dennoch oft so spät eingespielt? Das kann verschiedene Gründe haben: Fehlende Ressourcen zur Verwaltung von Sicherheitshinweisen oder die Sorge, dass bestimmte Prozesse nicht mehr funktionieren, was in einem produktiven SAP-System zu hohen Kosten führen kann. Dabei gilt, dass spätestens mit oben genanntem Artikel auch die Angreifer um diese Lücke wissen und mit Sicherheit versuchen werden, diese auszunutzen.

Abhilfe schafft nur die Etablierung eines Patch-Management-Prozesses. Unser Security Advisory Service hilft Kunden dabei, indem wir monatlich alle veröffentlichten Sicherheitshinweise analysieren und mit der SAP-Systemlandschaft des Kunden abgleichen. Auf Wunsch unterstützen wir auch dabei, die Hinweise einzuspielen.

Eine weitere Möglichkeit besteht im sogenannten „Virtual Patching“. Diese Funktion bietet die SAP selbst mit der neuesten Version der Enterprise Threat Detection (ETD): Angriffe, die auf eine bestimmte Schwachstelle abzielen, werden sofort erkannt und Gegenmaßnahmen können ergriffen werden. Unsere Beratungsleistungen zu SAP ETD beinhalten die Einrichtung eines solchen virtuellen Patchings und auf Wunsch auch den zugehörigen Managed Service, um diese und andere Angriffe zu erkennen und einzuordnen.

Für Kunden, die zur Absicherung Ihrer SAP-Systemkonfiguration den SystemProfiler einsetzen, besteht oft eine weitere Möglichkeit: Wir bieten im SystemProfiler über 500 Prüfungen an, die bekannte Schwachstellen automatisiert finden und die Konfiguration kontinuierlich überwachen. Natürlich decken wir damit nicht immer neu gefundene Angriffsvektoren, wie die eingangs genannten, ab. Der SystemProfiler bietet die Möglichkeit an, eigene Testfälle ohne großen Aufwand zu erstellen und so Sicherheitslücken kurzfristig zu stopfen. In Kombination mit unserem CodeProfiler, der kundeneigenes Coding für ABAP- wie für HANA-Entwicklungen absichert und ebenfalls einige hundert Prüfungen mitliefert, dürften Schwachstellen wie die gerade veröffentlichten unseren Kunden kein Kopfzerbrechen bereiten. Sprechen Sie uns an.

 



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png