Sicherheitslücken, die SAP-KI-Dienste betreffen

Von:

22. Juli 2024

Die Bedeutung des Schutzes der Grundpfeiler Ihres Unternehmens

Am 17. Juli 2024 veröffentlichte Hillai Ben-Sasson, ein Sicherheitsforscher des cloud WIZ, die Ergebnisse einer Untersuchung zu Cloud SAP Cloud , die Teil einer umfassenderen Studie zu gängigen KI cloud war, zu denen auch Hugging Face und Replicate gehörten. Der Forscher identifizierte eine Reihe von Schwachstellen in der cloud des SAP Core AI-Dienstes. Genauer gesagt handelte es sich um die Möglichkeit, die Benutzer-ID auf beliebige Werte (außer „root“) zu ändern und die Netzwerkregeln zu übernehmen, die an bestimmte Benutzer-IDs gebunden waren (in diesem Fall die reservierte Benutzer-ID, die für den Istio-Sidecar-Proxy konfiguriert war, nämlich 1337).

Dies ermöglichte es dem Forscher, von einem Kubernetes-Pod aus letztlich auf das interne Netzwerk dieses cloud zuzugreifen, einschließlich vieler Anwendungen, die nicht ordnungsgemäß gesichert waren und zudem eigene Schwachstellen aufwiesen. Wie im Blog erwähnt, hätte ein Angreifer, der sich als legitimer SAP-Kunde ausgab, Zugriff auf die Trainingsdaten anderer Kunden und sogar auf interne cloud von SAP-Kunden haben können, die den SAP Core AI-Dienst nutzen.

Diese Untersuchung unterstreicht einmal mehr die Notwendigkeit eines ganzheitlichen Sicherheitskonzepts in den heutigen hybriden SAP-Umgebungen, die sowohl cloud als auch SAP-Anwendungen umfassen. Die Komplexität und die kritische Bedeutung dieser Umgebungen erfordern nichts Geringeres als einen ganzheitlichen Sicherheitsansatz.

Sicherheitslücken zu vermeiden ist nur ein Teil der Lösung: Die Notwendigkeit einer kontinuierlichen Überwachung 

Auch wenn die von dieser Untersuchung ausgehende Gefahr nur von kurzer Dauer ist, da alle Sicherheitslücken von SAP in der cloud und die Kunden keine Änderungen in ihren Umgebungen vornehmen müssen, sind die Probleme dennoch sehr repräsentativ für den gesamten SAP-Technologie-Stack, da sie die Notwendigkeit von Sicherheit in cloud über die Räumlichkeiten des Kunden hinaus verdeutlichen.

Obwohl diese Sicherheitslücken von SAP behoben wurden und kein SAP-Sicherheitshinweis erforderlich war, ist es wichtig zu erwähnen, dass es in der Vergangenheit SAP-Sicherheitshinweise gab, von denen bekannt ist, dass sie cloud auf ähnliche Weise betrafen. 

Dies sind nur einige Beispiele für behobene Sicherheitslücken, die speziell SAP-Anwendungen und -Dienste in der cloud betreffen.

Heutzutage betreiben nur noch sehr wenige große SAP-Kunden ihre SAP-Umgebungen ausschließlich vor Ort. Die überwiegende Mehrheit von ihnen nutzt eine Art Hybridumgebung, in der sie eine Kombination aus folgenden Komponenten einsetzen:

  • On-Premise-Anwendungen: Dabei kann es sich um herkömmliche ABAP- oder Java-basierte Anwendungen handeln, wie beispielsweise SAP ERP, S/4HANA, SAP Solution Manager, SAP Portal oder SAP PI/PO
  • Anwendungen in der Cloud IaaS): Immer mehr Unternehmen migrieren ihre klassischen SAP-Anwendungen, darunter auch SAP S/4HANA, zu cloud wie GCP, Azure oder AWS. Dazu gehören auch Initiativen wie „RISE with SAP“.
  • Reine Cloud (SaaS): Durch Übernahmen und die Einführung neuer Technologien bietet SAP Anwendungen als SaaS-Lösungen an. Beispiele für solche Anwendungen sind SAP Ariba, Concur oder SuccessFactors.
  • Platform a Service in der Cloud PaaS): Dies ist vor allem auf die zunehmende Verbreitung von SAP BTP und all seiner cloud , einschließlich KI-Diensten, für die Anwendungsentwicklung in der cloud die Integration mit On-Premise-Anwendungen.

Das bedeutet, dass wir, wenn wir über die Sicherheit von SAP-Umgebungen sprechen, nicht mehr von der Sicherheit von On-Premise-Anwendungen sprechen, sondern von einer Kombination aus vielen Umgebungen oder Bausteinen, wobei all diese Bausteine unterschiedlichen Arten von Sicherheitslücken und Risiken ausgesetzt sein können. 

Betrachtet man die jüngstenvon Onapsis und Flashpoint veröffentlichten Threat Intelligence , die die Bedrohungslage für SAP-Anwendungen beleuchten – darunter Exploits, Sicherheitslücken und Ransomware –, so ist es wichtig zu betonen, dass Unternehmen, die SAP-Anwendungen oder -Dienste nutzen, diese in ihre bestehenden Sicherheitsprozesse integrieren sollten, unter anderem:

Durch die Integration von SAP-Anwendungen und -Diensten in ihre bestehenden IT-Sicherheitsprozesse können Unternehmen verhindern, dass neue Schwachstellen in das Unternehmen gelangen, und dabei bestehende Risiken ganzheitlich verwalten – von den lokalen Anwendungen bis hin zur cloud Umgebungen und Dienste.

Stichworte, , , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen