SAP-SECURITY25. Februar 2016

SAP-Sicherheit: Virtual Forge warnt vor „Killerfehlern“ im ABAP-Kundencode

CTO Andreas WiegensteinVirtual Forge
CTO Andreas Wiegenstein Virtual Forge

Ein aktueller Benchmark zeigt: ABAP-Kundencode ist ein hochkritisches Sicherheitsrisiko für SAP-Systeme. So sind pro Anwendung durchschnittlich 16 „Killerfehler“ zu finden, die Hackerangriffen Tür und Tor öffnen können. Finanzdienstleister brauchen eine nachhaltige Sicherheitsstrategie, wollen sie den strengen Datenschutz-Auflagen in der Branche genügen.

von Andreas Wiegenstein, CTO Virtual Forge

Virtual Forge führt seit mehreren Jahren weltweite Risikobewertungen von Eigenentwicklungen in SAP-Systemen durch. Der aktuelle ABAP Quality Benchmark aggregiert die Erkenntnisse aus anonymisierten Scans von mehr als 300 SAP-Systemen in Unternehmen aller Größen und Branchen, vor allem in Deutschland und den USA. Zunächst ist festzuhalten, dass jedes SAP-Produktivsystem im Durchschnitt eine signifikante Menge an selbstgeschriebenem Kundencode umfasst: nämlich rund 2 Millionen Zeilen. Äußerst überraschend ist auch die hohe Fehlerzahl in jedem Kundencode. So wurden pro SAP-System rund 2.000 Sicherheitslücken entdeckt, die ein Unternehmen anfällig für Attacken machen und Probleme beim Compliance Audit verursachen können.

Hauptursache: Fehlende Berechtigungsprüfungen

eBook-BCQ-Report_400
Virtual Forge

Den Hauptteil der Kundencode-Fehler bilden mangelhaft programmierte oder fehlende Berechtigungsprüfungen. Sie können dazu führen, dass unbefugte Mitarbeiter auf bestimmte Daten zugreifen und damit einen Missbrauch betreiben, der in den betroffenen Unternehmen gravierende Schäden anrichtet. Weitaus gefährlicher sind jedoch die so genannten „Killerfehler“ im ABAP-Kundencode. Jeder einzelne ist so riskant, dass ihn Angreifer dazu nutzen können, um die vollständige Kontrolle über ein SAP-System zu erlangen. Hacker erhalten damit ein Schlupfloch, um komplette Datenbestände zu stehlen, zu löschen oder zu manipulieren. Im schlimmsten Fall lässt sich ein SAP-System von außen vollständig sabotieren.

Virtual Forge
Virtual Forge

Gerade für Banken und Versicherungen kann es einen hohen wirtschaftlichen Schaden und Imageverlust bedeuten, wenn bei einem solchen Angriff sensible Finanz-, Kreditkarten- oder Kundendaten in die falschen Hände gelangen. So müssen die Banken und Sparkassen beispielsweise für nicht autorisierte Zahlungsvorgänge aufgrund von Datendiebstahl haften. Darüber hinaus stellen IT-Sicherheit und Datenschutz für die Finanzinstitute ein zentrales Verkaufsargument bei der Akquise und langfristigen Bindung von Kunden dar.

Mehrstufige Sicherheitsstrategie erforderlich

Um den Risiken fehlerhaften ABAP-Kundencodes wirksam zu begegnen, empfiehlt sich eine mehrstufige Sicherheitsstrategie, die bereits bei der Entwicklung ansetzt. Werden unternehmensinterne Programmierer für diese Aufgabe eingesetzt, sollten für sie ABAP-Sicherheitsschulungen verpflichtend sein, etwa auf Basis der Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI). Übernehmen externe Beratungshäuser die gewünschten ABAP-Erweiterungen, sollten die Auftraggeber darauf achten, entsprechende Code-Qualitätsstandards in die Service-Vereinbarungen aufzunehmen, zu kontrollieren und auch einzufordern.

Das Angebot von Virtual Forge
Virtual Forge rät zur Teilnahme am ABAP Quality Benchmark, um “in kürzester Zeit Transparenz über die Qualität des eigenentwickelten ABAP-Codes” zu erhalten. Dazu werde der Kundencode eines ausgewählten SAP-Systems komplett gescannt. Schon dabei würden oft Schwachstellen im Kundencode zutage treten, die nicht nur die Sicherheit, sondern auch die Leistung eines SAP-Systems mindern. Seien die Fehler beseitigt, stelle manches Unternehmen erfreut fest, dass das betroffene SAP-System nicht nur sicherer, sondern auch wesentlich stabiler und schneller laufen würde.eBook-BCQ-Report_2016_620 Der aktuelle ABAP Code Quality Benchmark Report kann hier als Gratis-E-Book bezogen werden.

Technische Vorkehrungen und Sicherheitsmaßnahmen

Darüber hinaus sind verschiedene technische Sicherheitsmaßnahmen erforderlich, die über die üblichen Vorkehrungen hinausgehen. Da die Fehler dem ABAP-Kundencode inhärent sind, reichen Firewalls, Antiviren-Software und gute Passwörter nämlich nicht aus, um potenzielle Einfallstore für externe Angreifer zu schließen. Vielmehr sollten alle vorhandenen ABAP-Eigenentwicklungen gründlichen Scans unterzogen werden, und zwar auf Basis spezieller Prüfsoftware, die die vorhandenen Fehler automatisch identifiziert und gleich korrigiert, soweit möglich. Solche Scans nehmen in der Regel nur wenige Minuten Zeit in Anspruch und bieten sich auch für alle neuen SAP-Eigenentwicklungen an. Denn nur so lässt sich sicherstellen, dass diese keine kritischen Fehler mehr enthalten, wenn sie produktiv gehen.

Darüber hinaus sollten die Unternehmen darauf achten, zeitnah alle von SAP veröffentlichten Sicherheitspatches einzuspielen und ein laufendes Monitoring ihrer SAP-Systeme vorzunehmen, um auf mögliche Attacken direkt reagieren zu können. Leider merken viele Unternehmen erst nach geraumer Zeit, dass ihre SAP-Systeme angegriffen wurden, etwa bei Routineprüfungen oder per Zufall. Da kann es natürlich schon zu spät für eine wirksame Schadensbegrenzung sein.

Unbedingt erforderlich sind geeignete Notfallpläne, wenn trotz aller Vorsichtsmaßnahmen ein SAP-System gehackt worden ist.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert