Wie sich die neu veröffentlichte OWASP Top 10 auf Ihre SAP-Systeme auswirkt

Nach eingehender Prüfung und verschiedene Release-KandidatenOWASP hat seinen neuen Top 10 die die Sicherheitsrisiken widerspiegelt, die allgemein als die kritischsten für Webanwendungen gelten. Die OWASP-Stiftung genießt hohes Ansehen und nutzt Rückmeldungen aus der Sicherheitsgemeinschaft, um sicherzustellen, dass das „Top 10“-Projekt die häufigsten und schwerwiegendsten Sicherheitslücken widerspiegelt. Auch wenn die „Top 10“ keine offizielle Vorschrift oder Norm darstellen, sind sie doch ein äußerst wirkungsvolles Modell zur Sensibilisierung und gelten als wichtigster Maßstab für das Verständnis und die Behebung von Web-Sicherheitslücken.

Die Top 10 stehen nicht nur für bestimmte Arten von Sicherheitsproblemen in Webanwendungen, sondern auch für die Sicherheitsmentalität, die Sie an den Tag legen sollten, wenn Sie sich mit Geschäftssystemen befassen – insbesondere mit den geschäftskritischen Systemen, auf denen große Unternehmen basieren.

Wenn es um die Sicherheit Ihrer SAP- und Oracle-Systeme geht – einschließlich derjenigen, auf die nicht über eine Web-Benutzeroberfläche zugegriffen wird –, sind die Empfehlungen der OWASP Top 10 von großer Bedeutung. Im Folgenden werden ausgewählte Punkte der Top 10 im Zusammenhang mit ERP-Anwendungen und der SAP-Sicherheit erläutert.Die vollständige Liste finden Sie hier. 

A2:2017 – Fehlerhafte Authentifizierung
Die Authentifizierung ist eine zentrale Verteidigungslinie für jede Anwendung. Es ist unerlässlich, den Zugriff auf Benutzer zu beschränken, von denen bekannt ist (oder angenommen wird), dass sie vertrauenswürdig sind, und die Anfälligkeit der Anwendung gegenüber Hackern zu verringern. Wie ausdem im letzten Jahr veröffentlichten Bericht des US-CERT hervorgeht, können die Folgen einer Umgehung der Authentifizierung, durch die eine nicht authentifizierte Person Zugriff auf ein System erhält, verheerend sein.

A3:2017 – Offenlegung sensibler Daten
Die Stärke von ERP-Systemen für Unternehmen liegt in ihrer Fähigkeit, sich mit jedem System und Prozess im Unternehmen zu vernetzen. Durch diese umfangreichenRFC-Verbindungen können automatisierte Prozesse und der Datenaustausch stattfinden – sie sind der Herzschlag des Unternehmens. Sind diese Verbindungen nicht ordnungsgemäß gesichert, sind diese Daten und die darauf basierenden Geschäftsentscheidungen gefährdet.

A5:2017 – Fehlerhaftes Control
Die Verwaltung von Berechtigungen ist in jeder großen, komplexen Lösung naturgemäß eine Herausforderung, und ein fehlerhaftes (oder gar nicht vorhandenes) control stellt ein erhebliches Sicherheits- und Geschäftsrisiko dar. Wenn ein Unternehmen Autorisierungsprobleme löst, indem es einem Benutzer/einer Rolle einfach weitere Berechtigungen hinzufügt, ohne den tatsächlichen Bedarf für diese Rolle zu verstehen, ist das Konzept der control Autorisierung hinfällig. Selbst mit einem guten Autorisierungsmodell können Benutzer, wenn keine Autorisierungsprüfungen vorhanden sind, auf Daten oder Transaktionen zugreifen, auf die sie keinen Zugriff haben sollten, und versehentlich oder absichtlich Betrugs- oder Sabotageakte begehen.

A6:2017 – Fehlkonfigurationen der Sicherheit
Das mag wie „Sicherheit für Anfänger“ klingen, steht aber aus gutem Grund auf dieser Liste. Fehlkonfigurationen, die sich negativ auf die Sicherheit auswirken, sind sehr verbreitet, und die Ursachen sind vielfältig. Ob es nun daran liegt, dass dem mit der Systemimplementierung beauftragten Auftragnehmer die Erfahrung im Bereich Sicherheit fehlt, dass in seinem Leistungsumfang keine Anforderungen zur Systemsicherheit enthalten sind oder dass Sicherheitshinweise des Anbieters zu neu entdeckten Schwachstellen in der ursprünglich veröffentlichten Software durch sicherheitsrelevante Konfigurationsänderungen behoben werden müssen. Die imUS-CERTausgenutzte Schwachstelle wurde durch einen Patch und eine Konfigurationsänderung behoben. Ohne diese Änderung konnten Systeme von nicht authentifizierten Angreifern aus der Ferne ausgenutzt werden.

Zudem sind Fehlkonfigurationen im Sicherheitsbereich oft Ausdruck einer mangelnden Sicherheitswahrnehmung. Systeme sind falsch konfiguriert, weil niemand sie überwacht, um zu verstehen, wie sich ihre aktuelle Konfiguration auf ihre Sicherheitslage auswirkt. Es ist wichtig, Änderungen zu ermitteln, die das Risiko für das jeweilige System und das Unternehmen insgesamt am besten verringern.

A9:2017 – Verwendung von Komponenten mit bekannten Sicherheitslücken
Zusammen mit A6 bildet dies die Grundlage eines Sicherheitsprogramms. Der entscheidende Punkt ist hier nicht, dass sich das Unternehmen bewusst dafür entschieden hat, eine Komponente mit bekannten Sicherheitslücken zu verwenden (und in den Fällen, in denen dies aus geschäftlichen Gründen erforderlich ist, muss A10 umgesetzt werden), sondern dass dem Unternehmen das Vorhandensein dieser Sicherheitslücken nicht bekannt ist.

Wie bei der falschen Sicherheitskonfiguration deutet dies auf eine „Sicherheitsblindheit“ hin. Das Unternehmen bezieht diese ERP-Systeme mit ziemlicher Sicherheit nicht in sein bestehendes Schwachstellenmanagement und Sicherheitsprogramm ein. Dies liegt höchstwahrscheinlich daran, dass herkömmliche Sicherheitstools keine „ERP-Sprache“ sprechen und daher nicht in der Lage sind, diese Systeme zu bewerten. Infolgedessen stellen diese Systeme eine Lücke in der Sicherheitsübersicht und im Verständnis des Unternehmens dar. Ironischerweise sind genau diese Systeme für das Unternehmen am kritischsten, und daher sollte das Unternehmen die Risiken für diese Systeme am besten verstehen, nicht am schlechtesten.

A10:2017 – Unzureichende Protokollierung und Überwachung
Der Schlüssel zur Protokollierung ist die Überwachung. Und der Schlüssel zur Überwachung ist das Wissen, was protokolliert werden muss. Protokolle zu führen, nur weil man glaubt, dass man es tun sollte, ohne jedoch über einen Prozess zur Auswertung dieser Protokolle zu verfügen, bedeutet, dass diese Protokolle keinen Nutzen haben. Bei Systemen wie ERP, an denen Unternehmen nur ungern Änderungen vornehmen (einschließlich Änderungen zur Behebung kritischer Sicherheitslücken), ist eine aktive Überwachung eine entscheidende control das mit dem Vorhandensein dieser Sicherheitslücke verbundene Risiko auszugleichen. 

Darüber hinaus können eine ordnungsgemäße Protokollierung und Überwachung dazu beitragen, die mit A5 (Broken Access Control) verbundenen Risiken zu mindern. Wenn Sie Zeit benötigen, um die Rollen und Berechtigungen unternehmensweit unter Einbeziehung der Überwachungsmaßnahmen gründlich zu überprüfen und anzupassen, können Sie Missbrauch von Zugriffsrechten erkennen und control ergreifen, control das zugrunde liegende Problem behoben ist.

Die Bedeutung von OWASP für die Cybersicherheit
Es gibt einen Grund, warumdie OWASP Top 10ein solcher De-facto-Standard für Sicherheit sind, obwohl OWASP keine Regulierungsbehörde ist. Der Grund liegt darin, dass die Top 10 die Schlüsselbereiche darstellen, in denen die meisten Anwendungen aus Sicherheitssicht versagen. Umgekehrt zeigen sie also die wichtigsten Wege auf, auf denen Geschäftsanwendungen unsicher entwickelt, bereitgestellt und ausgenutzt werden.

Diese Sicherheitsphilosophie stand im Mittelpunkt unserer Überlegungen, als Onapsis dieerste Cybersicherheitslösung für SAP entwickelte. Sie bildet nach wie vor den Kern jeder Entscheidung, die wir treffen, um die Funktionen und den Nutzen von OSP für jene Unternehmen weiter auszubauen, die darauf vertrauen, um ihre Compliance- und Risikoprobleme im Zusammenhang mit ihren ERP-Systemen zu verstehen und anzugehen.

Wenn Sie mehr darüber erfahren möchten, wie Sie die Onapsis Security Platform nutzen können, Platform die Sicherheit Ihrer ERP-Systeme zu erhöhen,kontaktieren Sie uns bitte.