SAP – Ein blinder Fleck für die IT-Security?

Tatsächlich laufen die wichtigsten Geschäftsprozesse in den meisten Unternehmen auf SAP-Anwendungen. Mitarbeiter, externe Berater, Anbieter, Lieferanten und weitere Personen erhalten Zugriff. Ihre Benutzerkonten sind mit individuellen Berechtigungen und Privilegien innerhalb der SAP Landschaften ausgestattet, um spezifische Aufgaben zu ermöglichen und den Geschäftsbetrieb sicher zu stellen. Dieser SAP-Zugriff kann in Kombination mit anderen Tools ebenso verwendet werden, um Betrug, Diebstahl oder Sabotage-Operationen zu begehen. Das Szenario wird noch erschreckender, wenn wir berücksichtigen, dass die unterschiedlichen Übertragungsmedien und Endgeräte beim Zugriff auf SAP sind ebenfalls anfällig gegenüber Angriffen sind.

Weil SAP-Anwendungen in Netzwerkumgebungen mit Web, E-Mail, Cloud-Services und anderen Anwendungen laufen, ist es unvermeidlich, SAP innerhalb der zentralen IT-Infrastruktur zu überwachen. Es ist ein Muss, Event-Daten aus zahlreichen Systemen zu sammeln wie z.B.:

• Netzwerk-Equipment (z.B. Router, Switches, Load Balancer),
• Security-Geräte (z.B. Firewalls, IPS, Content-Filter, Proxy),
• Betriebssysteme,
• Datenbanken und Applikationsserver,
• Client-Systeme (z.B. Workstations, Notebooks, Smartphones),
• Kommunikationsaktivitäten (z.B. Exchange, Chat, Peer-to-Peer, Cloud-Services),
• Weitere Firmen-Anwendungen

SAP-Landschaften in großen Organisationen können sehr komplex sein: mit Tausenden von Benutzern und Rollen, unzähligen Prozessen innerhalb des gesamten Unternehmens und massiven Anforderungen an die Infrastruktur. Organisationen sind verpflichtet, hierfür Kontrollen einzurichten und sicherzustellen, dass ihre SAP-Umgebung wie vorgesehen funktioniert, z. B.

• Verhindern, dass ein Benutzer einen virtuellen Lieferanten einrichtet und nicht ausgeführte Leistungen vergütet (Segregation of Duties)
• Sicherstellen, dass einfache Administratoren keine neuen Benutzer erstellen oder Berechtigungen ändern können (SoD)
• Überprüfen, dass die Benutzerrechte in keine Konflikte laufen und sicherstellen, dass nur die benötigten Rechte vergeben werden (Least Privilege)

Bei Audits kämpfen Organisationen oftmals damit, einen wirksamen Nachweis für ihre Kontrollen zu erbringen, da diese nur schwer automatisiert werden können. In manchen Fällen, in denen erforderliche Kontrollen nicht eingerichtet oder aufrecht erhalten werden können, sind ergänzende Prozesse notwendig, um ein Ziel zu erreichen, und das Unternehmen weiter schützen. Das Feuerwehrmann-Szenario ist ein gutes Beispiel, um den organisatorischen Bedarf zu veranschaulichen, nur vorübergehend Rollen an Benutzer zuzuweisen, die SoD-Kontrolle verletzen. Um dieses Risiko auszugleichen wird es notwendig, auch Feuerwehr-Aktivitäten im Hinblick auf möglichen Missbrauch zu überwachen.