Über den Patch hinaus: Warum das SAP-Schwachstellenmanagement mehr ist als nur SAP-Notes

Teilen

Für die meisten SAP-Basis- und Sicherheitsteams ist der zweite Dienstag jedes Monats mit einem vertrauten Ritual verbunden: dem SAP-Patch-Day. SAP veröffentlicht neue Sicherheitshinweise, und es beginnt ein Wettlauf um das Testen und Bereitstellen der Korrekturen, bevor Angreifer die neu bekannt gewordenen Schwachstellen ausnutzen können.

Das ist ein unverzichtbarer Prozess. Wenn Ihre SAP-Schwachstellenmanagement-Strategie jedoch lediglich darin besteht, SAP-Notes anzuwenden, sehen Sie damit nur die Spitze des Cybersicherheits-Eisbergs.

SAP-Umgebungen sind komplexe, eng miteinander verflochtene Ökosysteme, die die Finanz-, Lieferketten- und Personalprozesse Ihres Unternehmens steuern. Wenn Sie sich ausschließlich auf reaktive Patches verlassen, anstatt ein kontinuierliches Management der SAP-Sicherheitsrisiken zu betreiben, lassen Sie Angreifern riesige, unsichtbare Einfallstore weit offen. Um Ihre kritischen Geschäftsanwendungen wirklich zu schützen, müssen Sie über den Patch hinausdenken.

Die Illusion des Patching: Warum SAP-Notes nur die halbe Miete sind

Durch das Anwenden eines SAP-Notes wird ein bestimmter Fehler oder Mangel in der von SAP bereitgestellten Standardsoftware behoben. Menschliche Fehler, unsichere Einstellungen oder veraltete Konfigurationen, die sich im Laufe der Zeit verändert haben, werden dadurch jedoch nicht behoben.

Stellen Sie sich das wie die Sicherung eines Hauses vor. Die Anbringung eines robusten Riegelschlosses an Ihrer Haustür ist ein hervorragender und notwendiger erster Schritt, aber wenn die Seitentüren und Fenster unverschlossen bleiben, haben Sie nur eine teilweise Absicherung erreicht. Der Haupteingang mag zwar gesichert sein, doch der Rest des Gebäudes bleibt ungeschützt. 

Ein umfassender Ansatz für das SAP-Schwachstellenmanagement erfordert Einblick in mehrere kritische Ebenen, die mit SAP-Notes allein einfach nicht abgedeckt werden können.

Drei Bereiche mit versteckten SAP-Risiken

Um eine widerstandsfähige Cybersicherheitsstrategie aufzubauen, müssen Sicherheitsteams die betrieblichen und strukturellen Gegebenheiten ihrer SAP-Landschaften genau unter die Lupe nehmen. Das bedeutet, dass der Schwerpunkt vor allem auf drei Schlüsselbereichen liegen muss:

1. Systemfehler bei der Konfiguration

Unsichere Systemkonfigurationen stellen ein verstecktes, aber erhebliches Risiko in SAP-Landschaften dar. Ein Beispiel hierfür ist „10KBLAZE“, eine Reihe öffentlicher Exploits, die 2019 veröffentlicht wurden und auf Fehlkonfigurationen des SAP Message Servers und des Gateways abzielten, von denen damals schätzungsweise Hunderte von SAP-Systemen betroffen waren. Es kommt erschreckend häufig vor, dass interne Kommunikationseinstellungen wie diese unzureichend gesichert sind, sodass nicht authentifizierte Angreifer aus der Ferne Sicherheitskontrollen vollständig umgehen und control volle administrative control das System erlangen können, ohne überhaupt einen Softwarefehler ausnutzen zu müssen.

2. Probleme mit benutzerdefiniertem Code: 

Die meisten Unternehmen nutzen große Mengen an benutzerdefiniertem Code, der auf ihre spezifischen Geschäftsprozesse zugeschnitten ist. SAP-Notes beheben lediglich Fehler im Standard-SAP-Code; sie können keine Probleme beheben, die durch benutzerdefinierten Code verursacht wurden, der von Ihren eigenen internen Entwicklern oder externen Auftragnehmern geschrieben wurde. Unsicherer benutzerdefinierter Code kann schwerwiegende Sicherheitslücken wie SQL-Injection oder unbefugten Dateizugriff verursachen, wodurch Angreifer die standardmäßigen SAP-Berechtigungsprüfungen vollständig umgehen können.

3. Übermäßige Berechtigungen und Benutzerzugriff

Oft konzentrieren wir uns so sehr darauf, externe Bedrohungen fernzuhalten, dass wir vergessen, einen Blick darauf zu werfen, was innerhalb der Systemgrenzen geschieht. Falsch verwaltete Benutzerrechte stellen ein tickendes Risiko dar – sei es durch einen externen Akteur, der ein gekapertes Konto missbraucht, oder durch eine Insider-Bedrohung, die über zu viel Macht verfügt. Ein Beispiel hierfür ist das Profil „SAP_ALL“, das pauschalen Administratorzugriff gewährt. Es kommt erschreckend häufig vor, dass normalen Geschäftsanwendern oder alten Testkonten nach wie vor diese gottgleichen Berechtigungen zugewiesen sind, was massive Insider-Bedrohungsvektoren und Compliance-Alpträume schafft.

Die Realität: Einem Angreifer ist es egal, ob er Ihr System über eine ungepatchte Sicherheitslücke oder einen schlecht konfigurierten Message-Server kompromittiert. Für ihn ist eine offene Tür einfach eine offene Tür.

Die Auswirkungen auf die Compliance: Warum Audits mehr erfordern als nur Patches

Sich ausschließlich auf SAP-Notes zu verlassen, gefährdet nicht nur Ihre Sicherheit, sondern birgt auch ein enormes regulatorisches Risiko. Für Unternehmen, die an Rahmenwerke wie SOX, DSGVO oder PCI-DSS gebunden sind, ist Compliance nicht einfach nur eine Checkliste installierter Software-Updates. Vielmehr hängt sie in hohem Maße von der Stärke Ihrer allgemeinen IT-Kontrollen (ITGCs) ab.

ITGCs bilden den grundlegenden Rahmen für Datenintegrität, Vertraulichkeit und Betriebssicherheit in Ihrer gesamten IT-Umgebung. Wenn externe Prüfer assess SAP-Landschaft assess , bewerten sie Ihre betriebliche Disziplin und nicht nur Ihre Fähigkeit, mit der Installation von Patches Schritt zu halten. Durch Patches werden zwar Softwarefehler behoben, doch tragen sie in keiner Weise dazu bei, zwei der wichtigsten Bereiche der ITGCs zu erfüllen:

  • Zugriff auf Programme und Daten (Benutzereinstellungen): Auditoren verlangen eine strikte Einhaltung des Prinzips der geringsten Berechtigungen und der Aufgabentrennung (Segregation of Duties, SoD). Stellt ein Auditor beispielsweise fest, dass normale Geschäftsanwender weiterhin über SAP_ALL-Zugriffsrechte verfügen oder dass alte Testkonten mit Administratorrechten noch aktiv sind, stellt dies einen direkten Verstoß gegen Ihre ITGC-Zugriffskontrollen dar.
  • Systembetrieb und Änderungsmanagement (Konfigurationen): ITGCs verlangen, dass sich Ihre Systeme in einem bekannten, sicheren und autorisierten Zustand befinden. Wenn Konfigurationen im Laufe der Zeit abweichen – beispielsweise wenn Gateway-ACLs dem 10KBlaze-Vektor ausgesetzt bleiben oder unverschlüsselte RFC-Verbindungen zugelassen werden –, ist dies für Auditoren ein Beleg dafür, dass Ihre Systeme nicht unter kontrollierten Parametern betrieben werden.

Ohne kontinuierlichen Überblick über diese Konfigurationen und Benutzereinstellungen brechen Ihre IT-Kontrollmechanismen zusammen. Selbst wenn Ihre SAP-Notes zu 100 % auf dem neuesten Stand sind, können dennoch Sicherheitsmängel bei Audits festgestellt werden, da Ihre täglichen operativen Kontrollmechanismen nicht funktionieren. Um die Anforderungen der Auditoren zu erfüllen und Ihr Unternehmen wirklich zu schützen, müssen Sicherheitsteams die Konfigurations- und Berechtigungshygiene als zentrale Säulen ihrer Compliance-Strategie betrachten.

Der Vorteil von Onapsis: Umfassende Transparenz und echte Reduzierung der Risiken

Genau hier versagen andere SAP-Tools zum Schwachstellenmanagement, während Onapsis für Klarheit sorgt. Onapsis geht über einfache, oberflächliche Scans hinaus und führt tiefgreifendere, kontextbezogene Prüfungen durch. Basierend auf mehr als 16 Jahren Erfahrung und bewährten Sicherheitsverfahren aus den Onapsis Research Labs decken wir die verborgenen Sicherheits- und Compliance-Risiken auf, die anderen Tools entgehen.

So verringert Onapsis Ihr Risiko:

Beschleunigte und vollständig verifizierte Patches: 

Onapsis Assess optimiert Ihren Patch-Prozess, indem es die Priorisierung der monatlichen SAP-Notes automatisiert und die korrekte Umsetzung auf einzigartige Weise überprüft – einschließlich der in der Note angegebenen manuellen Schritte (Link zum Blogbeitrag über die manuelle Überprüfung einfügen, sobald dieser verfügbar ist). Im Gegensatz zu anderen Anbietern, die sich auf Selbstauskünfte verlassen, erstellt Onapsis spezifische Schwachstellenprüfungen, um sicherzustellen, dass Aufgaben nach der Installation, Workarounds oder Konfigurationsänderungen tatsächlich durchgeführt wurden. Sie können sich darauf verlassen, dass das Risiko vollständig beseitigt wurde.

Erweiterte Konfigurations- und Berechtigungsprüfung: 

Onapsis Assess macht Schluss mit dem Rätselraten bei SAP-Anwendungs- und Benutzereinstellungen, identifiziert Ihre kritischsten Fehlkonfigurationen und fehlerhaften Berechtigungen und zeigt Ihnen genau, wie Sie diese beheben können. Onapsis Defend überwacht kontinuierlich Tausende von SAP-Konfigurations- und Benutzereinstellungen und bietet erweiterte Anpassungsmöglichkeiten, sodass Sie Benachrichtigungen für praktisch jede Einstellungsänderung erhalten können, die Sie überwachen möchten. Diese Benachrichtigungen dienen als Frühwarnsystem für Konfigurationsabweichungen oder potenzielle Verstöße gegen Ihr Kontrollsystem, sodass Sie diese beheben können, bevor sie bei einem Audit auffallen oder von böswilligen Akteuren ausgenutzt werden.

Automatisierte Codesicherheit über den gesamten Entwicklungszyklus hinweg: 

Onapsis Control überprüft Ihren benutzerdefinierten Code während der Entwicklung und im Verlauf der Qualitätssicherungsphasen und identifiziert kritische Schwachstellen, bevor diese überhaupt in die Produktion gelangen. Onapsis Assess ist als einziges Tool in der Lage, benutzerdefinierten Code zu scannen, der bereits in der Produktion läuft. So können Sie Schwachstellen identifizieren, die seit der ersten Prüfung des Codes entdeckt wurden oder durch importierten, von Drittanbietern entwickelten Code entstanden sind. 

Automatisierte Compliance-Zuordnung: 

Onapsis Comply packs ordnen Ihre SAP-Konfigurations- und Berechtigungseinstellungen automatisch den wichtigsten Compliance-Rahmenwerken (z. B. SOX und DSGVO) zu. Diese Automatisierung macht manuelle Arbeitsschritte im Zusammenhang mit ITGC-Tests und der Erfassung von Prüfungsnachweisen überflüssig, verbessert die Genauigkeit erheblich und spart Ihrem Team Wochen an Vorbereitungszeit, da sofortige, prüfungsfertige Berichte bereitgestellt werden, die bereits control zugeordnet sind.

Letztendlich geht es bei einem effektiven SAP-Schwachstellenmanagement um weit mehr, als nur die neuesten SAP-Notes von Ihrer monatlichen To-do-Liste abzuhaken. Eine echte Risikominderung erfordert eine Strategie, die über das übliche Patchen hinausgeht und Ihre Konfigurationen, Ihren benutzerdefinierten Code sowie Ihre Benutzerrechte absichert. Mit Onapsis erhalten Sie die präzisen, nach Priorität geordneten Einblicke, die Sie benötigen, um über das reine Patchen hinauszugehen, Ihre blinden Flecken zu beseitigen und Ihr Gesamtrisiko drastisch zu reduzieren.

Häufig gestellte Fragen

Warum reicht es nicht aus, SAP-Notes stets auf dem neuesten Stand zu halten, um meine SAP-Landschaft zu sichern?

SAP-Notes dienen dazu, bestimmte Softwarefehler und Sicherheitslücken im SAP-Standardcode zu beheben. Sie beheben jedoch keine menschlichen Fehler, unsichere Architekturkonzepte, Fehler in kundenspezifischem Code oder Identitätsrisiken. Ein System kann zwar auf dem neuesten Stand der Patches sein, aber dennoch aufgrund falsch konfigurierter Gateways (wie beim 10KBlaze-Vektor) oder Benutzerprofilen mit übermäßigen Berechtigungen angreifbar sein.

Kann unser Standard-Schwachstellenscanner für Unternehmen diese versteckten SAP-Risiken aufdecken?

Nein. „Herkömmliche“ Tools zum Schwachstellenmanagement bieten keine ausreichende Unterstützung für SAP. Ihnen fehlt das erforderliche tiefgreifende Verständnis der Anwendungsebene sowie die speziellen Schwachstellenprüfungen, die für die Analyse der internen Tabellen, der spezifischen Konfigurationsparameter, des benutzerdefinierten Codes und der Benutzerberechtigungen von SAP notwendig sind.

Inwiefern wirken sich SAP-Anwendungskonfigurationen und Benutzereinstellungen auf die Einhaltung der ITGC-Vorschriften bei Audits wie SOX aus?

Vorschriften wie SOX verlangen von Ihnen den Nachweis, dass Ihre Systeme sicher und Ihre Daten korrekt sind. Wenn Wirtschaftsprüfer Ihre allgemeinen IT-Kontrollen (ITGCs) überprüfen, sind Ihre SAP-Konfigurationen und Benutzereinstellungen die konkreten Belege, die sie sich ansehen. Denn diese Einstellungen zeigen genau, wer Zugriff hat, wie Änderungen nachverfolgt werden und ob Ihr Team über die richtigen Kontrollmechanismen verfügt.