Information und Bildungsarbeit von und für die SAP®-Community
,

Die Krux mit den SAP-Schnittstellen

Ungeschützte SAP-Schnittstellen öffnen Hackern Tür und Tor. Das wissen viele Unternehmen – verfügen aber bis heute über keine ausreichenden Sicherheitsmaßnahmen. Erforderlich sind Lösungen, mit denen die Schnittstellen flächendeckend analysiert und überwacht werden können.
Oleksandr Panchenko, Virtual Forge
14. Februar 2018
Die Krux mit den SAP-Schnittstellen
avatar

SAP-Systemumgebungen wachsen und verändern sich ständig. Dies liegt an allgemeinen Marktentwicklungen, wie der Globalisierung, die zu immer komplexeren Geschäftsprozessen führt. Unternehmen expandieren, fusionieren und kaufen andere Gesellschaften zu. Hinzu kommen neue Digitalisierungstrends, zum Beispiel Cloud Computing und Industrie 4.0, die eine zunehmend starke IT-Vernetzung erfordern.

Im Laufe der Jahre sind dadurch vielerorts heterogene Systemlandschaften mit bis zu mehreren Tausend Datenschnittstellen entstanden, die die SAP-Anwendungen miteinander, aber auch mit Non-SAP-Systemen verbinden.

Neben den bekannten Schnittstellen gibt es etliche, die den Systemverantwortlichen gar nicht als solche bewusst sind, etwa unbefugte Downloads von Listen über den SAP GUI, direkte Zugriffe auf die Datenbank oder die Kommunikation mit externen Systemen.

Schlupfloch für Datendiebe

Sind diese Schnittstellen veraltet, falsch konfiguriert oder unzureichend geschützt, bieten sie Hackern attraktive Einfallstore, um an Informationen zu gelangen. Datendiebe, Wirtschaftsspione und Saboteure sind dann in der Lage, ganze Datenbestände zu kopieren, zu ändern oder zu löschen und damit das Bilanzergebnis zu verfälschen oder das SAP-System komplett abzuschalten.

Dies kann für ein Unternehmen beträchtliche finanzielle und rechtliche Folgen haben, zudem leidet seine Reputation. Verschärft wird der Druck durch immer striktere gesetzliche Datenschutzgesetze, wie die neue EU-Datenschutz-­Grundverordnung (DSGVO), die ab 25. Mai 2018 verbindlich anzuwenden ist.

Mit der EU-DSGVO werden die Regeln für die Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Einrichtungen EU-weit vereinheitlicht. Diese werden zu angemessenen technischen und organisatorischen Maßnahmen verpflichtet, um personenbezogene Daten zum Beispiel gegen die Verarbeitung durch Unbefugte und gegen unbeabsichtigten Verlust zu schützen.

Darüber hinaus werden die Dokumentationspflichten gegenüber den bisher gültigen Datenschutz-Bestimmungen verschärft: So sollte der für die Datenverarbeitung Verantwortliche die Konformität mit den EU-DSGVO-Richtlinien nachweisen können. Verstöße werden mit hohen Strafgeldern von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens bewehrt.

Obwohl die Risiken ungesicherter SAP-Schnittstellen längst bekannt sind, haben die meisten Unternehmen das Problem nicht im Griff – vor allem, weil es keine umfassende Transparenz über die vorhandenen Schnittstellen gibt.

Oleksandr Panchenko Infra 1802

Keine zentrale Dokumentation

In der Regel existiert keine zentrale Stelle, die über eine lückenlose Dokumentation sämtlicher Schnittstellen und darüber ausgetauschter Daten verfügt. Oft handeln die Fachbereiche die Schnittstellen ihrer SAP-Systeme direkt mit den Kunden, Zulieferern oder Systemherstellern aus, ohne dass dies in eine firmenübergreifende Bestandsaufnahme einfließen würde.

So ist es für Unternehmen kaum möglich, die aktuellen SAP-Schnittstellen laufend auszuwerten und zu überwachen, um sie vor möglichen Angriffen zu schützen. Ebenso wenig sind sie in der Lage, den Bestimmungen der EU-DSGVO nachzukommen, da sie nicht einmal genau wissen, über welche SAP-Schnittstellen personenbezogene Informationen überhaupt ausgetauscht werden oder werden können.

Ohne diese Kenntnis jedoch können sie auch nicht nachweisen, dass sie die entsprechenden Schnittstellen nach dem Stand der Technik abgesichert haben, um die personenbezogenen Daten vor unberechtigten Zugriffen oder versehentlichem Abfluss zu schützen.

Viel Aufwand für manuelle Analysen

Um solche Probleme zu vermeiden und Transparenz über ihre Schnittstellenlandschaft zu gewinnen, setzen manche Betriebe bereits auf manuelle Analysen der sicherheitskritischen Parameter der Schnittstellen und Laufzeitstatistiken.

Diese Auswertungen sind in der Regel jedoch nur stichprobenartig durchführbar, da sie enorm aufwändig sind. Ähnliche Beschränkungen gibt es beim Einsatz verschiedener im Markt angebotener Analysewerkzeuge.

Dies hat im Wesentlichen drei Gründe. Zum einen fokussieren sich die vorhandenen Lösungen auf die Auswertung einzelner Schnittstellen-Technologien, wie sie in einer gewachsenen SAP-Systemumgebung nebenei­nander in großer Zahl zu finden sind: zum Beispiel Remote Function Call (RFC), HTTP, FTP, Java Connector (JCo) und viele andere.

Wer einen möglichst vollständigen Überblick über die aktuell vorhandenen Schnittstellen gewinnen will, muss also jede Technologie einzeln analysieren und die Ergebnisse manuell konsolidieren: Auch dieser Zeit- und Kostenaufwand ist beträchtlich.

Verfügbare Lösungen reichen nicht aus

Ein weiterer Nachteil der verfügbaren Lösungen ist, dass sie die Schnittstellen und Datenflüsse nur lokal, das heißt aus einem einzigen System heraus analysieren. Um ein möglichst vollständiges Bild der Kommunikationsbeziehungen innerhalb einer SAP-Systemlandschaft zu erhalten, muss jedoch jede Schnittstelle auf beiden Seiten ausgewertet werden.

Viele herkömmliche Analyse-Werkzeuge konzentrieren sich auf nur eine Problemstellung, etwa auf die Frage, welche Daten über den SAP GUI heruntergeladen werden. In jedem Fall wird nur punktuell Klarheit über die vorhandene Schnittstellenlandschaft erzielt.

Einen vollständigen Überblick können Unternehmen mit Lösungen wie dem Virtual Forge InterfaceProfiler gewinnen. Sie können ein Modell oder Regelwerk für die gewünschte SAP-System- und -Schnittstellenlandschaft erstellen und mit den laufend gesammelten Informationen vergleichen (Soll-Ist-­Analyse).

Dabei werden die Abweichungen gemeldet und dokumentiert. Ausgehend von einem zentralen SAP-System analysiert der InterfaceProfiler die Kommunikationsbeziehungen der gesamten Systemumgebung.

Die Ergebnisse werden grafisch dargestellt und Protokolle der gefundenen Schwachstellen einschließlich ihrer Kritikalität erzeugt. Zudem werden Vorschläge zur möglichen Verbesserung der Sicherheit und technischen Ausgestaltung der Schnittstellen gemacht.

Mit speziellen Sicherheitsfunktionen ist es auf Knopfdruck möglich, zahlreichen Risiken im täglichen Systembetrieb zu begegnen, etwa Berechtigungen zum Download von Ergebnislisten im SAP GUI zu blockieren.

Ebenso lassen sich Copy-and-Paste-Operationen von ALV-Listen vermeiden. Die Berechtigungen können im Cockpit des InterfaceProfiler übersichtlich und feingranular dargestellt werden – eine wichtige Voraussetzung, um die DSGVO zu erfüllen.

Eine Monitoring-Komponente gibt Auskunft über Schnittstellen, die zwar technisch noch funktionsfähig sind, aber seit längerer Zeit nicht mehr genutzt werden. Zudem können die Nutzungsintervalle noch genutzter Schnittstellen ermittelt und damit unbefugte, außerplanmäßige Schnittstellenaktivitäten identifiziert werden. Alle Events werden umfangreich protokolliert und können aktiv gemeldet werden.

 

https://e-3.de/partners/virtual-forge-gmbh/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

magnifiercrosschevron-down