Best Practices für die Härtung von SAP-Landschaften und Behebung von SystemschwachstellenSo werden SAP-Umgebungen effizient gesichert
20. Januar 2025
Schwachstellen in SAP entstehen in erster Linie durch unsichere Systemkonfigurationen, fehlende Patches oder SAP-Hinweise, unsichere Codierung in kundenspezifischen Anwendungen und kritische Zugriffspfade zwischen verschiedenen SAP-Systemen.
Um ein SAP-System zu härten und dadurch die allgemeine Sicherheitslage zu verbessern, müssen zunächst die üblichen Schwachstellen beseitigt werden. Doch wie funktioniert das effizient?
Bei der Behebung von Schwachstellen in der Systemkonfiguration sollte man wie immer mit den „low hanging fruits“ im Bereich Sicherheit und Compliance beginnen. Dies sind Probleme, die aufgrund ihres hohen Ausnutzungsrisikos kritisch sind, aber eine geringe Komplexität aufweisen.
Daher können sie mit geringem Aufwand gelöst werden und spielen überdurchschnittlich auf die Verbesserung der Sicherheit ein. Eine Roadmap hilft bei der Priorisierung von Aufgaben, indem sie die Auswirkungen gegen die Komplexität und den Aufwand abwägt. Ziel ist es, Schwachstellen mit dem höchsten Ausnutzungsrisiko zuerst zu beheben, insbesondere solche, die schnell behoben werden können.
Kritische SAP-Hinweise und Sicherheits-Patches rechtzeitig implementieren
Monatlich veröffentlicht SAP seine Sicherheits-Updates, um bekannte Schwachstellen zu beseitigen. Die kritischsten Hinweise, („Hot News“) sollten naturgemäß umgehend implementiert werden. Securitybridge hat in seiner Sicherheitsplattform eine Heat Map eingebaut.
In ihr kann man den eigenen Patch-Implementierungsrückstand gut visualisieren und priorisieren. Es empfiehlt sich eine möglichst weitgehende automatisierte Implementierung von SAP-Hinweisen, um ihre rechtzeitige und konsistente Anwendung sicherzustellen.
Behebung von Code-Schwachstellen in häufig verwendeten benutzerdefinierten Anwendungen
Benutzerdefinierte Anwendungen sind oft ein blinder Fleck in der Sicherheitslage von SAP-Kunden. Die ABAP-Codebasis muss deshalb kontinuierlich nach Schwachstellen durchsucht und diese müssen behoben werden. Securitybridge stellt dafür einen Code Vulnerability Analyzer bereit, der in den kundeneigenen Entwicklungs-Workflow integriert werden kann.
Mittels statischer und dynamischer Analysen deckt er potenzielle Schwachstellen auf, bevor sie die Produktion erreichen. Auf diese Weise werden nicht nur bestehende Schwachstellen behoben, sondern auch die technischen Altlasten im Laufe der Zeit reduziert.
Kritische Zugriffspfade überprüfen und eliminieren
Kritische Zugriffspfade in einer SAP-Landschaft entstehen durch direkte RFC-Verbindungen zwischen SAP-Systemen mit geringer Sicherheit (z.B. Entwicklungssystemen) und Produktionssystemen. Diese Verbindungen ermöglichen es Angreifern, sogenannte laterale Bewegungen über Systeme hinweg durchzuführen.
Ihre Identifizierung und Beseitigung kann unbeabsichtigte unberechtigte Zugriffe auf geschäftskritische Daten verhindern. Securitybridge stellt dafür eine Interface Traffic Monitor bereit. Er weist direkt auf die kritischen Zugriffspfade hin und dort versteckte Sicherheitsrisiken in der SAP-Landschaft werden sofort beseitigt.
Holger Hügel ist Product Management Director bei Securitybridge.
