SAP-Sicherheitshinweise: Rückblick auf 2019 und Ausblick auf 2020

Von:

31. Januar 2020

„Nach dem Spiel ist vor dem Spiel…!“ – Sepp Herberger, bekannter deutscher Fußballtrainer

Es war im Jahr 1954 nach dem Viertelfinale der Fußballweltmeisterschaft, als der deutsche Nationaltrainer Sepp Herberger diese Worte sprach. Zwei Spiele später gewann Deutschland überraschend die Weltmeisterschaft. Mit dieser einfachen Aussage wollte er verdeutlichen, dass man sich niemals auf seinen Erfolgen und Anstrengungen der Vergangenheit ausruhen darf – das nächste Spiel erfordert immer die volle Aufmerksamkeit und eine 100-prozentige Vorbereitung.

Das Gleiche gilt für die ständigen neuen Herausforderungen durch Cyberangriffe, mit einer einzigen Ausnahme: Du hast vielleicht alle bisherigen Kämpfe gewonnen, aber wenn du den nächsten verlierst, könnte es dein letzter sein!

Rückblick auf „The Last Match“

Ein Rückblick auf das Jahr 2019 zeigt , dass wir bei 10KBLAZE noch weit davon entfernt sind, stets gepatchte und aktuelle SAP-Umgebungen zu haben. Obwohl SAP bereits vor einigen Jahren Konfigurationsanweisungen zur Behebung der Sicherheitslücke bereitgestellt hatte, waren schätzungsweise 9 von 10 SAP-Kunden aufgrund fehlender Konfigurationen weiterhin anfällig für Angriffe. Aber warum hatten Unternehmen dies auch nach so langer Zeit noch nicht gepatcht? Der Grund dafür ist, dass die entsprechenden Anweisungen die Pflege kundenspezifischer Control beinhalten – ein manueller Konfigurationsschritt, der niemals durch ein nachfolgendes Support-Paket oder einen Kernel-Patch abgedeckt werden konnte.

Welche Erkenntnisse lassen sich also aus 10KBLAZE ziehen?

  • Nicht jede Korrekturmaßnahme kann durch ein Nachrüstpaket oder einen Kernel-Patch abgedeckt werden
  • Die Schwere einer Sicherheitslücke kann sich im Laufe der Zeit erhöhen (z. B. wenn die entsprechenden Exploits veröffentlicht werden)

Im April 2019 hat das Onapsis Research Labs eine schwerwiegende Sicherheitslücke im SAP Diagnostics Agent an Walldorf. Der SAP Solution Manager (SolMan) verfügt über eine Grundfunktion, mit der über eine bestimmte SolMan-Komponente einige speziell gestaltete und eingeschränkte Befehle auf den Agenten ausgeführt werden können. Diese Befehle werden anhand einer Whitelist überprüft, um die Ausführung beliebiger Befehle zu verhindern. Die Onapsis Research Labs zuvor eine Umgehungsmöglichkeit für einen der zulässigen Befehle entdeckt, mit der beliebige andere Betriebssystembefehle als SolMan-Admin-Benutzer ausgeführt werden können – und zwar auf jedem der verbundenen SAP-Systeme! Der erste Patch für diese Schwachstelle wurde im Juli veröffentlicht (SAP Security Note#2808158). Die Überprüfung der veröffentlichten Lösung durch unser Forschungsteam führte zu zwei Updates (SAP Security Note#2823733 im September und SAP Security Note#2839864 im November). Das erste Update deckt zusätzliche Betriebssysteme ab, die im ursprünglichen Patch fehlten, und das zweite Update berücksichtigt weitere vordefinierte, auf der Whitelist stehende Befehle, die ausgenutzt werden könnten, um beliebige Befehle auf einem verbundenen Satellitensystem auszuführen. Aufgrund des großen Angriffsvektors und der Tatsache, dass der SAP Diagnostics Agent über die gesamte SAP-Landschaft verteilt ist, wurde die Schwachstelle mit einem CVSS-Wert von 9,1 bewertet. Zwei Dinge sind dabei zu beachten:

  • Achten Sie besonders auf Ihre technischen Schlüsselkomponenten (oder, um auf die einleitende Metapher zurückzukommen: „Ihre wichtigsten Akteure“)
  • Teamarbeit ist ein entscheidender Faktor bei der Abwehr von Cyberangriffen:
    • Onapsis (Sicherheitslücke in Forschungsbericht) > SAP (Sicherheitspatch) > Kunde (Patch installieren)

Ein ständiger Begleiter der monatlichen SAP-Patch-Tage im Jahr 2019 war der SAP-Sicherheitshinweis Nr. 2622660, der Kunden über die aktuellste von SAP Business Client unterstützte Google-Chromium-Version informiert. Ein Blick auf die Historie der Security Note zeigt, dass die CVSS-Bewertung der behobenen Schwachstellen zwischen 8,8 und 9,8 variiert. Dies sollte alle daran erinnern, dass auch Produkte von Drittanbietern in diesem „Zusammenhang“ eine Rolle spielen, die besondere Aufmerksamkeit erfordern – und während neue Chromium-Versionen durch SAP Business Client-Updates abgedeckt sind, sind Korrekturen für andere externe Produkte möglicherweise nicht in den SAP-Patches enthalten.

  • Überprüfen Sie regelmäßig die produktspezifischen Kanäle Ihrer Drittanbieterprodukte auf wichtige Sicherheitsupdates

2019 in Zahlen 

Die 179 im Jahr 2019 veröffentlichten SAP-Sicherheitshinweise entsprechen einem Rückgang von 17 % gegenüber den 215 Hinweisen im Jahr 2018. Diese gegenüber dem Vorjahr leicht rückläufige Zahl ist hauptsächlich auf den Trend zurückzuführen, mehrere Schwachstellen in einem Sicherheitshinweis zusammenzufassen. Die Zahl der kritischen Hinweise ging deutlich um 27 % zurück (35 im Jahr 2019 und 48 im Jahr 2018). Interessanterweise sind 13 der 35 kritischen Hinweise im Jahr 2019 HotNews-Hinweise, was im Vergleich zu 2018 einen Anstieg von 160 % bei der höchsten Prioritätsstufe für Sicherheitshinweise bedeutet. 

4 dieser 13 „HotNews“-Hinweise und 5 der 22 Hinweise mit hoher Priorität gingen auf Sicherheitslücken zurück, die von den Onapsis Research Labs entdeckt wurden. Insgesamt wurden 27 Hinweise veröffentlicht, die von Onapsis entdeckte Sicherheitslücken beheben. Das bedeutet, dass 26 % der kritischen Hinweise und 15 % ALLER im Jahr 2019 veröffentlichten SAP-Sicherheitshinweise das Ergebnis der kontinuierlichen Bemühungen von Onapsis sind, SAP-Systeme vor böswilligen Aktivitäten zu schützen!

Historischer Überblick 2019

Die drei häufigsten Sicherheitslücken der letzten zwei Jahre haben ihren Spitzenplatz sogar noch ausgebaut. Erneut ist die fehlende Berechtigungsprüfung mit 27 % der veröffentlichten Meldungen die häufigste Kategorie, während Cross-Site-Scripting-Schwachstellen (XSS) mit 20 % auf dem zweiten Platz liegen. An dritter Stelle steht die Offenlegung von Informationen mit 16 %, weit dahinter folgen Cross-Site-Request-Forgery-Fehler mit 4 %.

Arten von Sicherheitslücken 2019

Ein Blick auf das nächste Spiel

Es besteht kein Zweifel daran, dass ERP-Systeme zunehmend zu einem bevorzugten Ziel von Cyberangriffen werden. SAP und Onapsis haben zahlreiche Maßnahmen ergriffen, damit die Kunden bestmöglich auf die Herausforderungen des Jahres 2020 vorbereitet sind.

Im Juni 2019 begann SAP damit, Korrekturen für kritische Sicherheitslücken (Prioritäten „HotNews“ und „High“) für Support-Pakete bereitzustellen, die innerhalb der letzten 24 Monate (zuvor innerhalb der letzten 18 Monate) ausgeliefert wurden. Dadurch können mehr Kunden, die nicht immer auf die neuesten Support-Pakete aktualisieren können, kritische Sicherheitslücken beheben.

Ein noch bedeutenderer Meilenstein ist die konsequente Unterstützung digital signierter SAP-Sicherheitshinweise. Ab 2020 unterstützt die Transaktion SNOTE ausschließlich den Download digital signierter SAP-Sicherheitshinweise. Dies ist eine entscheidende Verbesserung, da der Aktualisierungsprozess selbst in der Vergangenheit ein potenzielles Angriffsziel darstellte, da die Integrität der heruntergeladenen Konfigurationen nicht gewährleistet werden konnte. Weitere Informationen finden Sie in unserem Blogbeitrag „Umgang mit digital signierten Sicherheitshinweisen“.

Wie schon in den vergangenen Jahren wird Onapsis auch 2020 nach jedem SAP Patch Day einen monatlichen Blogbeitrag und ein Webinar veröffentlichen, um allen SAP-Kunden wertvolle Einblicke und Hintergrundinformationen zu den neu veröffentlichten SAP-Sicherheitshinweisen zu bieten.

Mit der Übernahme des deutschen SAP-Sicherheitsspezialisten Virtual Forge bietet Onapsis nun eine einzige platform für die Aufgabentrennung, die Analyse von benutzerdefiniertem Code, Schwachstellenanalysen, sicheres Änderungsmanagement, Compliance-Automatisierung und kontinuierliche Überwachung. Onapsis-Kunde Mario Chiock, Schlumberger Fellow und CISO Emeritus, fasst die Vorteile der Übernahme wie folgt zusammen:

„…Mit dieser Übernahme steht uns und allen SAP-Kunden nun eine zentrale Anlaufstelle für alle Anforderungen im Bereich der SAP-Cybersicherheit zur Verfügung, wodurch Ressourcen, Zeit und Kosten eingespart sowie die Anforderungen an Berichterstattung und Compliance gebündelt werden.“  

Gibt es eine bessere Vorbereitung auf das bevorstehende Spiel?

Stichwörter, , , , ,
Über den Autor

Thomas Fritsch

Als führender SAP-Sicherheitsforscher bei Onapsis gilt Thomas Fritsch als anerkannte Autorität in den Bereichen vulnerability management und neue Bedrohungen. Aufgrund seiner langjährigen Erfahrung als SAP-Experte konzentriert er sich auf hochtechnische Bereiche wie die Konfiguration von SAP-Systemen und das Transportmanagement. Thomas’ Analysen der neuesten SAP-Sicherheitspatches und -Schwachstellen sind ein zentraler Bestandteil der Forschungsarbeit, die Unternehmen die fundierten und umsetzbaren Erkenntnisse liefert, die sie zum Schutz ihrer Systeme benötigen. Seine Rolle als angesehener Redner und Autor festigt seinen Ruf als maßgebliche Stimme im Bereich der SAP-Cybersicherheit und trägt dazu bei, die Lücke zwischen komplexer Forschung und praktischen Sicherheitsmaßnahmen in der realen Welt zu schließen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen