IT-Sicherheit: SAP als Cyberwaffe
SAP-Systeme verfügen über eine große Angriffsfläche – auch dann, wenn sie nicht direkt an das Internet oder an die Geschäftspartner angebunden sind.
(Bild: Laura-Sophie Gruhn / Heise Medienwerk)
- Andreas Wiegenstein
Weltweit nutzen mehr als 480.000 Unternehmen, Organisationen und Kommunen SAP, um ihre Geschäftsprozesse zu verwalten – von kleinen Betrieben bis hin zu Konzernen wie Apple, Walmart oder Nestlé. Ein Ausfall der SAP-Systeme, die Veröffentlichung oder gar der Verlust ihrer SAP-Daten hätte für viele Kunden verheerende Folgen. Dennoch hinken die Sicherheitsmaßnahmen für SAP-Systeme in vielen Unternehmen anderen IT- oder OT-Sicherheitsmaßnahmen hinterher. Vielen CISOs ist nicht bewusst, welche Risiken mit dem Betrieb einer SAP-Installation verbunden sind.
Viele Wege fĂĽhren nach Rom
SAP-Systeme verfügen über eine große Angriffsfläche. Selbst Unternehmen, deren SAP-Systeme keine direkten Verbindungen zum Internet oder zu Geschäftspartnern haben, sind externen Risiken ausgesetzt. Denn praktisch jedes Unternehmen setzt Produkte von Drittanbietern ein (Add-ons), die den Funktionsumfang von SAP in bestimmten Nischen erweitern. Selbst wenn dies nicht der Fall ist, installiert spätestens der Wirtschaftsprüfer eigene Prüfsoftware, die in SAPs Programmiersprache ABAP geschrieben ist. Man sollte meinen, dass zumindest SAP-zertifizierte Add-ons und Software von Wirtschaftsprüfern frei von Sicherheitsrisiken sind. Die Realität sieht leider anders aus.
- Obwohl SAP weltweit die fĂĽhrende ERP-Software ist, hinken in den meisten Unternehmen die SicherheitsmaĂźnahmen deutlich denen anderer Systeme hinterher.
- Manche Stärken des ABAP-Codes sind auch gleichzeitig seine Schwächen: Er kann sich benötigte Rechte einfach besorgen – und damit auch ein Angreifer.
- Die beste Verteidigung ist Prävention: ABAP-Malware muss man durch geeignete Maßnahmen möglichst früh entdecken. Denn ist sie erst einmal im System, wird man sie fast nicht wieder los.
Während man darüber diskutieren kann, warum nicht alle Wirtschaftsprüfungsunternehmen und Drittanbieter sichere ABAP-Produkte ausliefern können, ist der relevante Punkt ein ganz anderer. Sämtliche in ABAP entwickelte Software wird designbedingt als Quellcode ausgeliefert. Selbst der SAP-Standardcode ist vollständig als Quellcode auf den Kundensystemen vorhanden. Diese Designentscheidung ermöglicht es dem SAP-Support, potenzielle Programmierfehler in der Software per Debugging aufzuspüren, unmittelbar zu korrigieren und neu zu kompilieren. Zudem erlaubt dies prinzipiell jedem Kunden, extern gelieferten Code auf Sicherheitsfehler zu prüfen, sei es durch statische Analyse oder durch manuelle Code-Reviews.
Das war die Leseprobe unseres heise-Plus-Artikels "IT-Sicherheit: SAP als Cyberwaffe". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
