Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

Interview: Penetrationstests von SAP-Systemen

Carla spricht mit dem Geschäftsführer der IBS Schreiber GmbH und SAP-Sicherheitsexperten Thomas Tiede.

Hallo Thomas, wir beschäftigen uns heute mit Penetrationstests für SAP-Systeme. Wie können diese durchgeführt werden und warum sind sie überhaupt wichtig?

SAP-Systeme zählen zu den komplexesten Systemen innerhalb einer IT-Landschaft. Einerseits ist die Erstellung des Berechtigungskonzepts eine Herausforderung an jedes Unternehmen, andererseits bieten diese Strukturen, durch die Vielzahl von SAP-Komponenten und Diensten (SAP-Router, SAP-Web-Dispatcher, SAP-Cloud-Connector, SAP-Host-Agent etc.), eine große Angriffsfläche für Cyberkriminelle. Be­trachtet man nur die von SAP genutzten Netzwerkdienste, kommt man auf ca. 250. Fraud-Delikte nehmen insbesondere in SAP-Systemen immer mehr zu, befinden sich dort meist die wirklich interessanten Daten. Um in einem SAP®-System Daten auszuspähen bzw. zu manipulieren ist lediglich Wissen zum technischen Aufbau eines SAP® NetWeaver und den „versteckten“ bzw. fehlerhaft konfigurierten Funktionen erforderlich.

Daher ist es sinnvoll, nicht nur eine Berechtigungsprüfung der SAP-Systeme durchzuführen, sondern eine Sicherheitsbetrachtung durch alle Schichten aller SAP-Systeme. Ziel dieser Tests ist das Aufzeigen potenzieller Schwachstellen Ihrer gesamten SAP-Landschaft.

In der aktuellen Lage erlauben viele Unternehmen keinen externen Zutritt mehr, können diese Pentests auch von außerhalb durchgeführt werden?

Ja, interne Pentests können wir auch remote durchführen. Normalerweise wird der Penetrationstest aus den Räumlichkeiten des Kunden durchgeführt. Alternativ ist aber auch eine Remote-Durchführung möglich. Dazu stellt die IBS Schreiber unterschiedliche technische Varianten zur Verfügung. Diese werden vor Beginn des Penetrationstests mit dem Kunden abgesprochen.

Welche Systeme werden bei einem SAP-Pentest denn betrachtet?

Bei einem SAP-Penetrationstest betrachten wir u. a. folgende Systeme (wenn vorhanden):

  • SAP ERP- und S/4HANA Systemlandschaften
  • SAP NetWeaver (ABAP und Java)
    • ICM
    • StartSRV
    • Dispatcher
    • Gateway
  • SAP-Router
  • SAP-Cloud-Connector

Was versteht man unter einem Greybox-Pentest und was unter einem Whitebox-Pentest und welches sind die jeweiligen Prüfschritte?

  1. Bei einem Greybox-Penetrationstest (ohne Zugangsdaten) werden folgende Prüfschritte durchgeführt:
  • Identifikation der verwendeten Anwendungen/Protokolle/Dienste und deren Verwundbarkeit
  • Auslesen der von den Systemen gesendeten Hard- und Softwareinformationen
  • Analyse der Sicherheit von übertragenen Zugangsdaten
  • Schwachstellenanalyse der zu prüfenden Systeme (u. a. nach OWASP Top 10, SAP Sicherheitsleitfäden, DSAG Prüfleitfäden und BSI SAP Baustein)
  • Prüfen und bewerten der gefundenen Schwachstellen innerhalb der Systeme
  • Analyse der Sicherheit eingesetzter Verschlüsselungstechniken
  • Testen der Integrität und Vertraulichkeit der Daten (können beispielsweise Sessions, Daten oder gar Absender gefälscht oder abgegriffen werden?)

 

  1. Bei einem Whitebox-Penetrationstest (also mit Zugangsdaten) wird zusätzlich noch ein CheckAud-Scan durchgeführt:
  • Analyse spezifischer Manipulationsmöglichkeiten innerhalb der SAP-Systeme (beispielsweise Manipulation von Rollen, Berechtigungen etc.).
  • Vergabe kritischer Basisberechtigungen im SAP-System
    • Gesetzeskritische Berechtigungen
    • Systemkritische Berechtigungen
    • Berechtigungen für Entwickler-Tools
    • Berechtigungen zur Betreuung der SAP Systeme (SAP-Basis, Rechenzentrum)
    • Berechtigungen in den nicht produktiven Mandanten (000, 001, 066)
  • Analyse der sicherheitsrelevanten SAP Systemkonfiguration (System- / Mandantenänderbarkeit, Transportkonfiguration)
  • Protokollierungskomponenten (Tabellenprotokollierung, Änderungsbelege, Security AuditLog etc.)
  • Absicherung der Anwendungsentwicklung / des Customizing
  • Analyse der RFC-Verbindungen und der RFC-Berechtigungen

Wenn ich nun bei den Security-Experten der IBS Schreiber einen SAP-Pentest in Auftrag gebe, was erhalte ich als Ergebnis?

Als Ergebnis erhalten unsere Kunden:

  • einen Management Summary
  • ein detailliertes Reporting der durchgeführten Sicherheitstests und deren Ergebnisse
  • eine Risikoeinschätzung der Schwachstellen
  • und wertvolle Handlungsempfehlungen zu den gefundenen Schwachstellen bzw. Feststellungen

Was enthält der finale Bericht an Informationen und wie kann ich diese dann nutzen?

Der Bericht dokumentiert den genauen Verlauf und vor allem auch die Vorgehensweise bei der Durchführung des Penetrationstests. Darüber hinaus werden das zuvor abgestimmte Ziel und etwaige Einschränkungen und Randbedingungen beschrieben. Der Bericht zeigt relevante Schwachstellen auf und klassifiziert diese nach unterschiedlichen Risikoklassen. Er enthält Empfehlungen in Form eines Maßnahmenkataloges, wie die gefundenen Schwachstellen beseitigt werden können, und zeigt auf, welche Vorgaben (beispielsweise gesetzliche Vorgaben) zu der jeweiligen Feststellung existieren. Somit können die Ergebnisse eines Penetrationstests als Ausgangspunkt für eine Verbesserung der IT‑Sicherheit im Unternehmen genutzt werden. Es wird die Berichtsvorlage der IBS Schreiber GmbH genutzt. Die Berichtssprache ist Deutsch. Sofern eine Übersetzung in weitere Sprachen erforderlich ist, muss dies gesondert angefragt und beauftragt werden. Sämtliche Arbeitspapiere und Auswertungen werden zum Bericht in elektronischer Form zur Verfügung gestellt. Die Ergebnisse aller mit CheckAud® ausgewerteten Berechtigungen werden nach Berichtskapiteln strukturiert und in Dateiform mit zum Bericht ausgeliefert. In den Auswertungen ist zu den Benutzern auch jeweils die Herkunft der Berechtigung mit enthalten (aus welchen Rollen / Profilen kommen sie; welche Berechtigungsobjekte und Feldwerte sind betroffen). Auf Wunsch stellen wir Ihnen vorab gern einen Beispielbericht inkl. Anhänge in elektronischer Form zur Verfügung.

Wie kann ich mir die Durchführung eines solchen Sicherheits-Checks konkret vorstellen und wieviel Zeit muss ich als Kunde hierfür einplanen?

Arbeitsschritte

  • Kick-Off-Meeting und Vorbereitung
  • Scannen und Prüfen der Systeme
  • Manuelles Testen der Systeme
  • Berichtserstellung

Kick-Off

In einer kurzen telefonischen Vorbesprechung wird der Ablauf des Penetrationstests besprochen. Unsere Auditoren gehen dazu mit dem Ansprechpartner Ihres Unternehmens u. a. folgende Themen durch:

  • Zeitraum der Durchführung
  • Ansprechpartner und deren Erreichbarkeit
  • Umgang mit der Erkennung von Feststellungen
  • Allgemeines zur Durchführung
  • Fragen und Wünsche des Kunden zum Testablauf

Scannen und Prüfen der Systeme

Es wird ein Penetrationstest, mit Genehmigung durch den Kunden, auf das/die definierte(n) System(e) durchgeführt. Hierzu werden diverse Tools zur Analyse der Transport-, Daten- und Applikationssicherheit eingesetzt. Funktionen, Rechte und Anwendungen der zu prüfenden Systeme werden bestimmt. In dieser Phase werden Informationen über Software, Hardwarekomponenten, IP-Adressbereiche und Sicherheitssysteme ermittelt. Potenzielle Schwachstellen (beispielsweise Cross-Site-Scripting oder SQL-Injection) werden identifiziert.

Für die Prüfung der sicherheitsrelevanten Einstellungen und der SAP Berechtigungen wird eine Analyse mit CheckAud® durchgeführt. Hierfür ist es notwendig, dass die Mandanten des zu prüfenden SAP-Systems mit dem Tool gescannt werden. Hierfür wird das entsprechende Scan-Modul von der IBS zur Verfügung gestellt. Der Support der IBS Schreiber GmbH kann hierbei telefonisch und per Mail unterstützen.

Manuelles Testen der Systeme

Die gefundenen Schwachstellen werden identifiziert und je nach Wahl der Aggressivitätsstufe ausgenutzt. Hierbei kommen sogenannte Exploits zum Einsatz, mit denen sensitive Informationen ausgelesen werden können oder womit es dem Auditor ermöglicht wird, Systeme zu kompromittieren. Ist dies gelungen, so kann von dort aus dann weiter in das Netzwerk eingedrungen werden, da nun Zugriff auf weitere mögliche Angriffsziele besteht, die vorher noch nicht erreichbar waren. Über diese neuen, unbekannten Systeme können dann wieder Informationen beschafft werden, um auch diese weiter angreifen zu können (Kreislauf). Eingesetzte Versionen der Systeme bzw. Dienste werden auf bekannte Schwachstellen geprüft. Anschließend findet ein Vergleich mit Empfehlungen der Hersteller statt. Zusätzlich werden aus den SAP-Systemen selbst Auswertungen benötigt. Hierfür kann während der Prüfung ein Zugriff auf die zu prüfenden Mandanten mit lesenden Berechtigungen notwendig sein.

Sofern während des Tests hochkritische Sicherheitslücken/Schwachstellen entdeckt werden, bei denen IBS ein umgehendes Eingreifen des Kunden als erforderlich sieht, so erfolgt eine sofortige Information an den Auftraggeber. Der entsprechende Ansprechpartner hierzu wird im Kick-Off festgelegt.

Individuell – nicht Standard

IT-Systeme und Verfahren in Unternehmen unterscheiden sich voneinander – Strukturen und technische Organisationen sind ausschlaggebend für Ausprägungen und individuelle Prozesse. Daher ist es nicht sinnvoll, Penetrationstests in einem festen, einheitlichen Schema ablaufen zu lassen. Ein Test sollte möglichst flexibel sein, je nachdem welches Kriterium entscheidend ist. Abhängig von der Perspektive, der Aggressivität und Vorgehensweise des Prüfablaufs, dem Umfang der zu überprüfenden Systeme und der bereitgestellten Informationsbasis führen wir einen individuellen und zielgerichteten Penetrationstest durch. Bei unseren Penetrationstests legen wir daher viel Wert darauf, die zu untersuchenden Systeme nicht einfach automatisiert abzuscannen. Scanergebnisse über Tools bilden bei unseren Tests lediglich eine Basis, auf der wir anschließend mit manueller Vorgehensweise und Analyse weitere Tests durchführen. Aus den gewonnenen Informationen können sich anschließend wieder weitere Vorgehensweisen ergeben.

Rahmenbedingungen

Informationsbasis: Greybox

Bei einem Greybox-Test werden dem Auditor grundlegende Informationen über die zu prüfenden SAP-Systeme (beispielsweise IP-Adressen oder DNS-Namen) zur Verfügung gestellt.

Informationsbasis: Whitebox

Bei einem Whitebox-Test werden dem Auditor zusätzlich Zugangsdaten für das SAP-System bereitgestellt.

Eine Kombination aus beiden Testvarianten ist selbstverständlich möglich.

Bei den Auswertungen im Bericht erfolgt ein Hinweis ob die entsprechenden Feststellungen mit oder ohne Anmeldung am System erkannt wurden.

Vorgehensweise: offensichtlich

Es werden keine Maßnahmen getroffen, die den Angriff verschleiern.

Aggressivität: vorsichtig

Es werden aktiv Informationen gesammelt, gefundene Schwachstellen identifiziert und versucht, diese auszunutzen. Unter Umständen könnten diese Tests zu Systembeeinträchtigungen führen, jedoch ist das Ziel, Systemausfälle zu vermeiden.

 

Thomas Tiede ist seit Anfang des Jahres 2000 Geschäftsführer der IBS Schreiber GmbH. Seine umfangreichen Erfahrungen im Bereich der Unternehmensprüfung fließen in seine langjährige Seminartätigkeit ein. Er gilt als anerkannter Experte der Zugriffs- und Sicherheitsphilosophien von Betriebssystemen, Datenbanken und SAP. An der Entwicklung des Prüfungstools CheckAud® war und ist Thomas Tiede maßgeblich beteiligt. Er ist Autor des Standardwerkes „Sicherheit und Prüfung von SAP-Systemen“ sowie des im Juli 2019 erscheinenden „SAP HANA – Sicherheit und Berechtigungen“.

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Prüfung & Beratung