Ist WannaCry für SAP-Systeme möglich?

shutterstock_157006316_akqwWannaCry hat Unternehmen im vergangenen Jahr an den Rand des Ruins gebracht. Die häufigsten Einstiegsszenarien sind bekannt, trotzdem machen es Unternehmen den Hackern immer noch zu leicht.

Offiziell waren es E-Mails, die Schuld waren am größten Cyberangriff der letzten Jahre. Einmal auf den Mail-Anhang geklickt, nistete „WannaCry“ eine Schadsoftware in den Rechnern ein, breitete sich aus und verschlüsselte augenblicklich verfügbare Daten. Eine andere Alternative: Hacker hatten sich beim Hersteller eines Subsystems eingeschlichen und den Schadcode in einen Softwarepatch eingebaut.
Während unbekannte E-Mails einfach gelöscht werden können, ist bei einem aufgespielten Patch das eigene Sicherheitssystem gefährlich schnell ausgehebelt.

Vier von fünf Unternehmen innerhalb von einer Stunde „geknackt“
„Unsere Penetrationstests für SAP-Systeme zeigen immer wieder, dass Sicherheitsdefizite in Unternehmen die Regel sind. Wir gelangten bei über 80% der Unternehmen innerhalb von einer Stunde erfolgreich in SAP- und angeschlossene Systeme, was gerade einmal von nur sechs Prozent der Betroffenen überhaupt bemerkt wird. Mehr als drei Viertel der Unternehmen sichern ihre Systeme nicht ausreichend ab und bieten Hackern Steigbügel, um an Personal- und Kundendaten, an Konstruktionspläne, Rezepturen und Gehaltslisten zu kommen.“, so lautet das Resümee von Bodo Kahl, Geschäftsführer „SAST“ bei AKQUINET.

Bitkom, Ernst & Young: Mindestens zwei Drittel der Unternehmen von IT-Sicherheitsvorfällen betroffen
Diese interne Erhebung bestätigen auch externe unabhängige Studien. Mittlerweile waren zwei Drittel (67 %) aller Unternehmen von „IT-Vorfällen“ betroffen, so die Marktforscher des IT-Verbands Bitkom. Und auch das Beratungshaus Ernst & Young sieht auf Basis des „Global Information Security Surveys 2017/2018“ starken Handlungsbedarf: Denn nur 4% der weltweit befragten Security-Experten waren davon überzeugt, ihre Sicherheits-Strategie umfassend genug umgesetzt zu haben, um relevante Bedrohungen registrieren und wirkungsvoll bekämpfen zu können. Das ist auch Kahls Eindruck: „Viele Unternehmen bemerken gar nicht, dass ihre geheimen Pläne kopiert werden und ihr Wissen abfließt“.

In der Regel ist es vor allem aufmerksamen Mitarbeitern und internen Prüfungen zu verdanken oder aber purer Zufall, dass ein Datendiebstahl überhaupt entdeckt wird. In 99% der Fälle versagen Sicherheitssysteme, nach Erkenntnissen von Bitkom. Immerhin haben die Unternehmen vor, ihre Ausgaben für Sicherheitstechnologie zu erhöhen (45%), regelmäßige Bedarfsanalysen für IT-Sicherheit durchzuführen (36%) und zusätzliche Mitarbeiter einzustellen (31%). Doch ist es damit dann getan? Besser wäre natürlich, sofort zu registrieren, wenn sich jemand an den eigenen Daten vergreift.

Bewerber- und Lieferantenportale oft als Einstiegsluke genutzt
Nach unserer Erfahrung mangelt es Unternehmen an einem ganzheitlichen Sicherheitskonzept. Datenbanken, Netzwerke, Schnittstellen und Portale lassen sich längst nicht mehr alleine mit einer Firewall schützen. Erfahrungsgemäß stiegen Hacker besonders über Bewerber- und Lieferantenportale in die Unternehmenssysteme ein. Bei SAP-Kunden zeigte sich zudem, dass besonders der SAP Solution Manager oft nicht ausreichend geschützt war. „Es nützt nichts, wenn die Produktivdaten optimal geschützt sind, der SAP Solution Manager aber nicht“, erläutert Kahl.

Erst Systeme analysieren, dann „härten“
Ein „Security & Compliance Audit“ ist oft der Einstiegspunkt, das geeignete Sicherheitskonzept für Unternehmen zu entwickeln. Der Ablauf ist folgender:

1)  Eine umfangreiche Bestandsaufnahme der SAP-Sicherheit bei den Kunden ermöglicht eine detaillierte Analyse, die die wichtigsten individuellen Schwachstellen benennt und Prioritäten setzt. Da Hacker SAP-Systeme gerne umgehen, gilt ein besonderes Augenmerk den Datenbanken, Netzwerken und Betriebssystemen. SAP gibt zwar Guidelines heraus, die exakt beschreiben, wie SAP-Systeme voreingestellt und parametrisiert werden sollen, doch sind sie sehr umfangreich und nach unserer Erfahrung manuell kaum zu bewältigen.

2)  Nur ein ausgewählter Personenkreis darf im Rahmen einer „Data Leakage Prevention“ die Berechtigung haben, sensible Daten aus dem SAP-System herunterzuladen. „Ein gutes Sicherheitssystem sollte in der Lage sein, auf Knopfdruck zu sehen, ob jemand zu viele Rechte hat“, meint Kahl.

3)  Detektionssysteme dienen dazu, möglichst in Echtzeit festzustellen, wenn Unbefugte in Systeme eindringen und lösen einen Alarm aus. Auf einem Dashboard sind beispielsweise kritische Berechtigungen der Mitarbeiter, kritische Systemparameter sowie Sicherheitsvorfälle auf einen Blick zu sehen.

Mit vorkonfigurierter Sicherheits-Suite Systemsicherheit herstellen und Echtzeitüberwachung etablieren.
Die Herausforderung in großen Unternehmen und Konzernen besteht darin, die Komplexität der Systemwelten in den Griff zu bekommen. Dafür hat AKQUINET mit der SAST-Suite eine Software entwickelt, die von der „Platform Security“ und dem „Identity and User Access Management“ bis hin zu 360-Grad-Echtzeitanalysen alle wichtigen Bausteine für die Absicherung von SAP-Systeme enthält. Auch wenn das in größeren SAP-Landschaften beispielsweise bedeutet hunderte Schnittstellen abzusichern, benötigten Kunden letztlich nur wenige Wochen bis die Echtzeit-Überwachung etabliert ist. Ein Grund dafür liegt darin, dass sehr viele Regelwerke in der SAST-Suite – im Gegensatz zu anderen Security-Tools – bereits vorkonfiguriert sind und somit diese zeitraubende Aufgabe zu Beginn entfällt.

„Für die Analyse und Härtung eines einzigen Systems inklusive der Anpassungen von zentralen Zugriffsrechten veranschlagen wir in der Regel wenige Tage“, erläutert Kahl, dabei übernimmt AKQUINET die Echtzeitanalyse für Kunden bei Bedarf auch im Managed Service.

Sicherheit im Managed Service: Expertenwissen zukaufen
Gerade die Managed Services sind in vielen Unternehmen derzeit gefragt: Denn oft fehlt es am nötigen Fachwissen, nicht nur um die Konfigurierung und Parametrisierung der komplexen Systeme selbst vorzunehmen und moderne Monitoring- und Security-Tools zielgerichtet einzusetzen, sondern vor allem, um die später auf dem Dashboard erscheinenden Ergebnisse richtig zu interpretieren. Doch registriert das System einen Angriff, zählt jede Minute. Über Service-Level-Agreements lassen sich die Reaktionszeiten je nach Schweregrad eines Vorfalls festlegen und regelmäßige Reports geben den Security-Verantwortlichen in den Unternehmen jederzeit Transparenz über den Security-Status.

Angriffsszenarien verstehen: Wie Hacker denken
„Durch die permanente Konfrontation mit aktuellen IT-Sicherheitsvorfällen haben wir die Möglichkeit, ständig neue Angriffsszenarien zu analysieren“, erläutert Kahl. Das Ziel besteht darin, es Hackern so schwer wie möglich zu machen, in die Unternehmensnetze einzudringen. „90% der Angriffe konzentrieren sich – das haben unsere Penetrationstests ergeben – auf Schnittstellen, angehängte Dokumente, Lieferanten- und Bewerberportale oder aber den SAP Solution Manager. Wer diese Einstiegsluken schließt, hat so gut wie gewonnen.“

Noch immer investieren Unternehmen lieber in mehr Produktivität, Effizienz und in Innovationen als in Sicherheit. Das könnte sich jedoch sehr bald ändern: Spätestens wenn Ende Mai 2018 die Übergangsfrist für die Datenschutzgrundverordnung (DS GVO) abläuft, werden sich die potenziellen Schäden durch versäumte IT-Sicherheit weiter aufsummieren. Denn fließen künftig Kundendaten ab, ist nicht nur das Unternehmensimage beschädigt. Auch die Datenschutzbehörde bittet dann zur Kasse – mit bis zu vier Prozent vom Umsatz.

Abb_BodoKahl_akquinet
Bodo Kahl
Geschäftsführer „SAST“ bei AKQUINET

Besuchen Sie unsere Webinare, um sich ohne viel Zeitaufwand über dieses und andere aktuelle Themen aus dem Bereich SAP Security & Compliance zu informieren – live und maßgeschneidert auf Ihre Fragen.

Den Artikel finden Sie auch in der Printausgabe „IT-SICHERHEIT Best Practice 1/2018“